Cyber-Betrüger nutzen momentan vermehrt bestehende Hotelbuchungen, um an Kreditkartendaten zu gelangen (Phishing). Das Schweizer Bundesamt für Cybersicherheit verzeichnet einen Anstieg an Meldungen zu betrügerischen WhatsApp-Nachrichten in diesem Zusammenhang. Die Täterinnen und Täter nutzen demnach „besonders perfide und glaubwürdige Maschen“, um an die Kreditkartendaten der Opfer zu gelangen.
Wie stark hat das zugenommen?
Ganz massiv. Im Mai verdreifachten sich die gemeldeten Fälle gegenüber dem Vormonat – von 8 auf 23 Meldungen. Einen vergleichbaren Anstieg gab es in den Jahren 2024 und 2025 nicht.
Woher wissen die Betrüger von meiner Buchung?
Das ist das besonders Alarmierende: Die Kriminellen kennen Ihren Namen, das gebuchte Hotel und Details Ihrer Buchung. Das Bacs führt das auf ein Datenleck im Umfeld von Booking.com vom April zurück, bei dem sich Kriminelle Zugriff auf sensible Buchungsdaten verschafft hatten.
Wie läuft der Betrug konkret ab?
Es gibt zwei Varianten:
Variante 1 – Der Rückerstattungstrick: Sie erhalten eine unaufgeforderte WhatsApp-Nachricht, die scheinbar von Booking.com oder Ihrem Hotel stammt. Die Nachricht behauptet, bei Ihrer früheren Buchung sei ein Fehler passiert – Ihnen stehe eine Rückerstattung zu. Um das Geld zu erhalten, sollen Sie einen Link anklicken. Dieser führt auf eine gefälschte „Twint“-Seite und von dort weiter auf eine Phishing-Seite einer Bank, wo Ihre Kreditkartendaten abgegriffen werden.
Variante 2 – Die Buchungsdrohung: Hier verschaffen sich Betrüger zunächst über Phishing oder Schadsoftware Zugang zu Hotel-Buchungssystemen. Dann kontaktieren diese Gäste direkt über das offizielle Nachrichtensystem der Plattform – oder per E-Mail und WhatsApp. Der Trick: Sie drohen mit einer Stornierung der Buchung, wenn Sie nicht sofort Ihre Kreditkartendaten über einen Link verifizieren oder eine angebliche Vorauszahlung leisten.
Woran erkenne ich den Betrug?
Sie werden unaufgefordert wegen einer Rückerstattung kontaktiert. Es wird Zeitdruck aufgebaut („sofort“, „sonst wird storniert“). Sie sollen einen QR-Code scannen oder Zugangsdaten angeben.
Was soll ich tun, wenn ich so eine Nachricht bekomme?
Keinesfalls einen Link anklicken und/oder Kreditkarten oder Bankdaten eingeben, sondern direkt über die offizielle App oder Website in Ihr Buchungskonto einloggen. Im Zweifel: Das Hotel über eine selbst recherchierte Telefonnummer anrufen.
Und wenn ich meine Daten bereits eingegeben habe?
Sofort handeln: Kontaktieren Sie Ihre Bank oder Kreditkartenfirma, um die Karte sperren zu lassen. Wurde bereits Geld gestohlen, empfiehlt das Bacs, Anzeige bei der Polizei zu erstatten.
