Seit einigen Monaten kommt es vermehrt zu betrügerischen Phishing-Angriffen auf Gäste von Hotels und anderen online buchbaren Unterkünften. Beim Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) ist hierzu eine Vielzahl an Meldungen von Verletzungen des Schutzes personenbezogener Daten nach Art. 33 Datenschutzgrundverordnung (DS-GVO) und Beschwerden betroffener Gäste nach Art. 77 DS-GVO eingegangen. Damit sich Gäste besser vor den mit den Angriffen verbundenen Risiken schützen können, möchte der HBDI über die aktuellen Gefahren informieren und Hinweise zum Umgang bereitstellen.
Risiken durch Phishing-Angriffe
Bei einem Phishing-Angriff geben sich die Angreifer als Buchungsplattform oder Hotel aus, bei dem ein Gast zuvor eine Buchung getätigt hat. Hierzu nutzen die Täter Messenger-Nachrichten, E-Mails und Webseiten, die auf den ersten Blick vertrauenswürdig wirken. Auch greifen die Angreifer auf aktuelle Buchungsdaten der Opfer zurück, um ihre Nachrichten glaubhaft zu gestalten und suggerieren einen dringenden Handlungsbedarf, indem sie beispielsweise die Stornierung einer Buchung androhen.
In den Nachrichten werden die Empfängerinnen und Empfänger aufgefordert, über einen mitgesendeten Link eine von den Tätern kontrollierte Website zu besuchen, die den Originalseiten des Anbieters der Unterkunft oder der Buchungsplattform täuschend ähnlich sieht. Dort werden die Betroffenen dazu aufgefordert, sensible Daten wie Zahlungsinformationen einzugeben.
Mit den so erbeuteten Daten veranlassen die Kriminellen z. B. illegale Abbuchungen von den Konten der Geschädigten. Alternativ werden Empfängerinnen und Empfänger direkt dazu aufgefordert, eine Zahlung an eine von den Tätern kontrollierte Bankverbindung durchzuführen.
Empfehlungen des HBDI
Im Folgenden möchte der HBDI Ihnen einige, nicht abschließende Hinweise geben, die Sie beim Erkennen einer Phishing-Nachricht unterstützen sollen.
Der HBDI rät Gäste grundsätzlich zu besonderer Vorsicht, wenn sie im Zusammenhang mit Buchungen unerwartet oder über unüblich Kommunikationswege kontaktiert werden.
Prüfen Sie Links und Absender:
Öffnen Sie keine verdächtigen Links, auch wenn die Nachricht auf den ersten Blick seriös erscheint.
Nutzen Sie keine mitgesendeten Links:
Geben Sie persönliche Daten nur auf den offiziellen Webseiten der Buchungsplattformen oder der Unterkunft ein, z. B., indem Sie die Ihnen bekannte Internetadresse selbst eingeben oder aus einer vertrauenswürdigen Quelle beziehen.
Eingabe von Zahlungsinformationen oder Durchführen von Zahlungen:
Gewöhnlich fordern Anbieter von Unterkünften die Kunden nach abgeschlossenen Buchungen nicht über E-Mail oder Messenger-Nachrichten dazu auf, erneut personenbezogene Daten oder gar Zahlungsinformationen preiszugeben. Dasselbe gilt für Aufforderungen, eine erneute Zahlung durchzuführen.
Melden Sie verdächtige Nachrichten:
Bei Zweifeln wenden Sie sich zur Klärung direkt an den jeweiligen Anbieter der Unterkunft. Nutzen Sie hierzu Kontaktdaten, die Sie auf einem anderen Weg erhalten haben.
Betroffene Kreditkarten sperren:
Sollten Sie bereits Opfer eines solchen Angriffs geworden sein, dann sperren Sie ggf. betroffene Kreditkarten, beobachten Sie Ihre Kontobewegungen und erstatten Sie Anzeige bei der Polizei. Falls bereits Zahlungen erfolgt sind, informieren Sie Ihr Kreditinstitut, damit, sofern möglich, Rückbuchungen erfolgen können oder führen Sie diese selbst durch.
Weiterführende Informationen
54. Tätigkeitsbericht zum Datenschutz und 8. Tätigkeitsbericht zur Informationsfreiheit: 16.11 Aufarbeitung und Prävention von Datenschutzvorfällen durch PhishingÖffnet sich in einem neuen Fenster (S. 255)
Verbraucherzentrale: Betrugsversuche bei Booking.com: Gefälschte ZahlungsaufforderungenÖffnet sich in einem neuen Fenster
HBDI: Umgang mit Identitätsdiebstahl – Erkennen, Reagieren, Vorbeugen