usa-reise.de Forum
Unterhaltung & aktuelle Hinweise => Aktuelle Meldungen / Radio- & Fernsehtipps => Thema gestartet von: Jack Black am 04.11.2023, 13:09 Uhr
-
Ich habe gestern abend eine "verdächtige" Email bekommen, die ich dann auch erst mal vorsichtig gelesen und analysiert habe, dann habe ich mit Google gesucht und gefunden, es ist tatsächlich eine ganz neue Masche, die Menschen zu betrügen.
Das ist diesmal so trickreich, dass ich Euch davor warnen wollte. Man bekommt also eine Email (vermeintlich von Booking.com) und im Betreff steht tatsächlich eine existierende Buchung bei Booking.com (das macht es so tückisch!) und auch in der Email selbst ist eine Header Grafiik von Booking.com und darin ein Link auf Booking.com inkl. der richtigen(!) Buchungsnummer dieser Buchung. Da das alles vertrauliche Daten aus Eurer Buchung sind, entsteht hier natürlich ganz besonders der Eindruck, dass diese Email auch von Booking.com selbst kommt.
Dem ist aber nicht so!
In der Email wird erstmal belangloses Zeug gelabert ("Hello Rainer Halstenbach. Thank you for booking with us, we would like to inform you that our check-in time is 3:00 PM and check-out time is 11:00 AM. ... bla bla bla"), aber weiter unten kommt dann die "schlechte Nachricht" (und ab da wird es gefährlich). Es wird nämlich behauptet, dass mit meinem hinterlegten Zahlungsmittel etwas nicht in Ordnung wäre und die Veriifizierung nicht geklappt hätte. Aus diesem Grunde wäre die Buchung gefährdet. Originaltext:
Dear Rainer Halstenbach, unfortunately your booking might be cancelled due to an error during verification of your payment method.
Usually in this case Booking asks to verify your payment method and confirm your identity as a holder.
You can verify your payment method through a personal link:
Und im nächsten Abschnitt kommt natürlich dann eine URL (die aber nicht verlinkt ist, sehr pfiffig!) die nach booking.com aussieht (aber wer Kenntnisse von Computern hat, der sieht, dass der Domainname falsch herum ist, das ist keine Subdomain von booking.com, sondern eine Subdomain von guest-ik43142.com mit dem Namen "booking"), die aber nicht auf booking.com verweist. Die Tatsache, dass dieser URL nicht verlinkt ist, ist nochmal besonders perfide, es kommt dann nämlich nochmal der Hinweis, man solle nicht in Emails auf Links klicken. Stattdessen wird suggeriert, man solle diese URL kopieren und in den Browser eingeben - was natürlich auf dasselbe hinauskommt als hätte man darauf geklickt. Es erzeugt so herum nur ein falsches Sicherheitsgefühl.
Wenn man das macht (ich empfehle allerdings, es nicht zu probieren, wenn man nicht haargenau weiß, was man tut), dann kommt man auf eine getürkte booking.com Seite und soll Kreditkartendaten eingeben. Das darf man natürlich auf gar keinen Fall tun!!
Die absolute Besonderheit dieser Email besteht natürlich in dem Umstand, dass die Täter offensichtlich über echte Buchungsdaten verfügen. Das genannte Motel und auch die genannte Buchungsnummer sind echt und richtige Buchungsnummern. Das ist der Hammer. Ich habe natürlich auch sofort weiter geforscht, wie so etwas denn möglich sein kann. Der aktuelle Ermittlungsstand weißt darauf hin, dass es nicht (wie vermutet) eine Sicherheitslücke bei booking.com gibt (das wäre echt ein Trauerspiel), sondern man ist sich relativ sicher, dass Hacker nicht bei Booking.com, sondern bei den jeweiligen Motels und Veranstaltern (bei mir ein Motel aus Moab) deren Verwaltungssoftware gehacked haben, mit einiger Wahrscheinlichkeit werden dort auch die Daten von booking.com gespeichert sein (Buchungsnummer, Names des Gasts inkl. Email).
Also eine absolut perfide Email, die auch aktuell noch nicht als SPAM von den Providern eingestuft wird. Wer via booking.com bucht (das dürften viele sein) und wer so eine Email bekommt: bitte auf gar keinen Fall auf die genannte URL surfen und auf keinen Fall irgendwelche Kreditkartendaten irgendwo eingeben. Das ist Lug und Trug und Eure Buchung bei booking.com ist natürlich überhaupt nicht gefährdet. Mein grundsätzlicher Ratschlag lautet: nie, nie, nie auf irgendwelche Links in Emails klicken (oder auch kopieren und im Browser einfügen). Das ist IMMER Betrug.
-
Das wundert mich jetzt aber doch sehr. Es ist seit vielen Wochen bekannt und wird in allen Foren verbreitet, dass booking.com gehackt wurde und diese betrügerischen e-mails verschickt werden. Booking.com selbst kann nichts dafür. Aber es ist eigentlich selbstverständlich, dass man solche links nicht anklickt.
-
Ich habe ebenfalls so ein Email bekommen. Dort war neben den Buchungsdaten (sogar) bekannt, dass bereits mit KK bezahlt war. Laut Booking.com ist wohl der Hotelaccount geknackt worden. Daher soll das Hotel nicht über den Booking.com-Account sondern per Email kontaktiert werden.
-
Danke für den Hinweis, gut, dass ich da derzeit keine offenen Buchungen habe.
-
Das wundert mich jetzt aber doch sehr. Es ist seit vielen Wochen bekannt und wird in allen Foren verbreitet, dass booking.com gehackt wurde
1. In diesem Forum wurde es bisher nicht verbreitet. Habe auch mal schnell bei Angie geschaut, da steht auch nichts. Ich habe noch kein Forum gesehen (ich kenne natürlich auch nicht alle), wo genau davor gewarnt wird. Da Du ja auch diesen Thread hier sofort gesehen hast - wieso hast Du nicht selbst schon vor Wochen geschrieben, dass Dir bekannt ist, dass booking.com gehackt wurde?
2) Es ist eben zudem nicht richtig, dass Booking.com gehackt wurde. Richtig ist die Darstellung von "partybombe", dass (manche) Hotelaccounts geknackt wurden.
3) Ich habe gestern zum ersten Mal so eine Email bekommen. Und meine Buchung ist Monate alt.
4) Aber es ist eigentlich selbstverständlich, dass man solche links nicht anklickt.
Genau das wird ja auch in der Email geschrieben, es ist nicht einmal ein aktiver Link in der Email drin. Das ist ja das gemeine, es wird einfach nur eine sehr richtig aussehende URL angegeben (irgendetwas MUSS man ja im Browser eingeben, wenn man seinen Account überprüfen will). In plain Text und nicht verklausuliert. Das sieht für nicht so versierte Anwender genauso aus wie eine richtige URL, die auf booking.com verweist (ohne ein Link zu sein). Das ist ja für Laien noch einmal besonders tückisch.
Ich sage ja auch immer, nicht einfach auf Links klicken. Aber so wie diese Email gemacht ist, da habe ich endgültig auch Verständnis, wenn da Laien drauf hereinfallen. Deswegen habe ich die Warnung hier auch geschrieben.
-
Danke für den Hinweis, gut, dass ich da derzeit keine offenen Buchungen habe.
Das ist nämlich noch einmal besonders ärgerlich. Selbst wenn man nicht auf diese Email hereinfällt - offensichtlich kennt jemand meine Hotelbuchung. Denn diese Daten sind richtig. Wer garantiert uns, dass nicht auch Kreditkartendaten ausgespäht wurden? Und auch so finde ich es ein Desaster, wenn jemand meine echte Buchungsnummer kennt. Da gibt es dringenden Verbesserungsbedard bei den betroffenen Hotels/Motels.
-
"""wieso hast Du nicht selbst schon vor Wochen geschrieben, dass Dir bekannt ist, dass booking.com gehackt wurde""""
Wieso sollte ich es hier schreiben. Ihr, besonders Du, habt mir ja seit Monaten sowieso nie was geglaubt und nur mit Bosheiten geantwortet. Deshalb bin ich ja hier auch ausgestiegen. Aber Dein Post hat mit einfach zu sehr gereizt, nachdem Du ja sonst angeblich immer so ein Schnellmerker bist.
Aber ich bin schon wieder weg.
-
Danke für den Hinweis, gut, dass ich da derzeit keine offenen Buchungen habe.
Das ist nämlich noch einmal besonders ärgerlich. Selbst wenn man nicht auf diese Email hereinfällt - offensichtlich kennt jemand meine Hotelbuchung. Denn diese Daten sind richtig. Wer garantiert uns, dass nicht auch Kreditkartendaten ausgespäht wurden? Und auch so finde ich es ein Desaster, wenn jemand meine echte Buchungsnummer kennt. Da gibt es dringenden Verbesserungsbedard bei den betroffenen Hotels/Motels.
Ich hatte bei Booking.com durchaus schon mal in den USA den Fall, dass ich eine Nachricht in der App bekam, dass meine Kreditkarte von einem Motel nicht autorisiert wurden konnte vor Anreise - bei bestehender Buchung. Ist also normalerweise nichts ungewöhnliches, daher also ein sehr wichtiger Hinweis von dir!
-
Deshalb bin ich ja hier auch ausgestiegen.
Das hat ja super funktioniert...
Aber Dein Post hat mit einfach zu sehr gereizt, nachdem Du ja sonst angeblich immer so ein Schnellmerker bist.
Wer sagt das? Außerdem finde ich das in der Tat schnell reagiert, ich habe die Email gestern um 21:16 Uhr bekommen und sofort den Braten gerochen und Google angeworfen. In "allen Foren" wurde offensichtlich gar nichts dazu geschrieben, dann hätte es sowieso insbesondere auch hier stehen müssen, ist aber nicht. Sowieso ist noch gar kein Forum konkret benannt, wo die Problematik dargestellt und (wie hier) analysiert wurde. Aber sind ja vermeintlich "alle" Foren (was für ein herer Anspruch!).
Da musst Du Dich nicht wundern, wenn man Deinen Behauptungen mit einiger Skepsis begegnet und auch "partybombe" sowie "Tinerfeno" machen nicht den Eindruck, als wenn das ein alter Hut für sie wäre. Es ist wie immer, unnötig aggressiv von Dir (vollkommen ohne Not), keine neuen Infos, sinnfreie Anmache. "Zu sehr gereizt" - genau das! Kann man kaum besser formulieren.
-
"""Sowieso ist noch gar kein Forum konkret benannt, wo die Problematik dargestellt und (wie hier) analysiert wurde"""
Sollte Dir tatsächlich nicht bekannt sein, oder hast Du es vergessen?, dass es nicht erlaubt oder zumindest nicht erwünscht ist, hier das eine oder andere Forum zu verlinken? Ich halte mich nur an die allgemeinen Regeln, die für Dich anscheinend nicht existieren.
-
Wenn ich die Angelegenheit mit den Informationen von Booking.com verknüpfe, ist es wohl so, dass versucht wird an meine/die Kreditkarteangaben zu kommen. Die Täter versuchen- zumindest bei mir- mich zu animieren Daten irgendwo abzugeben. Es soll ja angeblich bei meiner Zahlung nicht geklappt haben. Die Originalzahlung wird wohl von Booking.com abgewickelt und an das Hotel weitergeleitet. Laut Booking.com hat das Hotel keinen Zugriff auf die KK-Daten.
Ich habe allerdings auch nichts mit dem Link gemacht, da es merkwürdig ist, dass ich von einem deutschen Hotel in englischer Sprache angeschrieben wurde.
-
Im August oder September, kurz vor unserer Reise in die USA, bekam ich auch so ein Mail. Doch bevor ich mir überlegen konnte, wie ich reagieren soll, erhielt ich von dem entsprechenden Hotel eine Nachricht, dass ich die vorherige ignorieren solle, sie seien gehackt worden.
Erst letzte Woche kam dann in den Nachrichten eine Warnung, dass dies die neuste Betrugsmasche sei. Bis dahin dachte ich, nur das eine Hotel sei betroffen gewesen, aber scheinbar wird die Methode im grossen Stil angewandt. Ich bin mir sicher, dass viele reinfallen, weil die Nachrichten so echt wirken und korrekte Daten enthalten.
Die Betrüger werden immer perfider. Vor ein paar Monaten schrieben mich solche an, dass sie im Besitz von brisanten Videos seien, sie die an meinen Arbeitgeber schicken und im Netz verbreiten würden, wenn ich nicht X Bitcoins bezahlen würde. Normalerweise lache ich über solche Mails und lösche sie, aber diesem war zum "Beweis", dass sie echt im Besitz meiner Daten seien, mein E-Mail-Passwort mitgeschickt. Es handelte sich um ein Passwort, das ich tatsächlich verwendete, allerdings nicht für die genannte E-Mail-Adresse. Das machte mir ziemlich Angst - nicht wegen den Videos, sondern dass die mein Passwort kennen. Das spricht einmal mehr dafür, nicht dasselbe Passwort für verschiedene Dienste zu verwenden.
Ich habe übrigens nicht bezahlt und es gibt keine schlimmen Videos von mir 😜
Liebe Grüsse
Gaby
-
Sollte Dir tatsächlich nicht bekannt sein, oder hast Du es vergessen?, dass es nicht erlaubt oder zumindest nicht erwünscht ist, hier das eine oder andere Forum zu verlinken? Ich halte mich nur an die allgemeinen Regeln, die für Dich anscheinend nicht existieren.
So ein Quatsch. Erstens gibt es hier keine "Regel", dass man keine Foren verlinken darf. Wahrscheinlich hast Du (wie so oft) nur irgendwann mal übertrieben, mir hat hier noch niemand gesagt, dass ich keine Foren verlinken darf. Der einzige Link, der nachweislich kaschiert wird, ist ein Link auf "Ibäh".
Zweitens habe ich auch nichts von "verlinken" geschrieben, man kann auch einfach so Foren nennen (wie beispielsweise "Angies Hawaiiforum", oder "das Schottlandforum von Dingenskirchen" usw.), da weiß auch jeder, was gemeint ist. Und last not least heißt "alle" Foren (O-Ton miwunk), dass es auch hier schon berichtet wurde. Was aber nicht stimmt.
Was mich nur wundert, wenn Du doch nach eigener Aussage aus diesem Forum "ausgestiegen" bist, wie hast Du es dann geschafft, meinen Beitrag zu lesen?? Huhn und Ei Problem....
Wieso machst Du Dir das Leben so schwer? Was hast Du denn von der Stänkerei hier? Gar nichts.
-
Wenn ich die Angelegenheit mit den Informationen von Booking.com verknüpfe, ist es wohl so, dass versucht wird an meine/die Kreditkarteangaben zu kommen. Die Täter versuchen- zumindest bei mir- mich zu animieren Daten irgendwo abzugeben. Es soll ja angeblich bei meiner Zahlung nicht geklappt haben. Die Originalzahlung wird wohl von Booking.com abgewickelt und an das Hotel weitergeleitet. Laut Booking.com hat das Hotel keinen Zugriff auf die KK-Daten.
Alles 100% richtig. Genauso ist es. Nur der letzte Satz (das Hotel hat keinen Zugriff auf die KK-Daten) - da müssen wir booking.com einfach glauben und hoffen, dass das auch stimmt. Was die Täter ja insbesondere auch wissen wollen (glaube ich zumindest), das ist dieser 3-stellige Sicherheitscode auf der Rückseite. Den gibt man ja typischerweise erst bei Online Zahlungen an, quasi ein Ersatz für die PIN (die wird ja nur an POS Terminals verlangt). Ich habe es aber nicht getestet, man kann ja einfach mal den Link aus der Email in einem Browser eingeben und schauen, was dann passiert. Ich mache es aber deswegen nicht, weil bereits diese URL so gestaltet ist, dass ggf. erkennbar ist, wer den Link benutzt (dieser Domainanteil guest-ik43142 könnte ein eindeutiger Hash sein, der personenspezifisch ist). Ansonsten mache ich bei vergleichbaren Phishing Emails auch manchmal den Spass und rufe die Seite auf und trage dann frei erfundene Daten ein.
Eigentlich könnten IT-Kriminalbeamte da auch Daten eines sog. "Honeypotts" eingeben, also gezielt Daten, die ihrerseits nur dazu da sind, den Benutzer zu verfolgen. Aber mit einiger Sicherheit benutzen so Hacker ihrerseits auch VPNs usw., um ihre Identität zu verschleiern.
Ich habe allerdings auch nichts mit dem Link gemacht, da es merkwürdig ist, dass ich von einem deutschen Hotel in englischer Sprache angeschrieben wurde.
*lach* - da hast Du natürlich einen Vorteil gehabt. Meine Email kam angeblich vom "Scenic View Inn & Suites" in Moab. Ein gut aussehendes Motel südlich (etwas außerhalb von Moab) mit ansprechenden (recht großen) Zimmern und relativ moderaten Preisen (entweder der Lage geschuldet oder vielleicht auch nur zur Einführung, das Motel ist noch sehr neu). Hat auf booking.com immerhin ein Rating von 8,5. In der Email werde ich ja sogar mit meinem vollen, richtigen Namen angesprochen, das ist auch neu. Also die Hacker haben wirklich gründliche Arbeit geleistet.
-
Vor ein paar Monaten schrieben mich solche an, dass sie im Besitz von brisanten Videos seien, sie die an meinen Arbeitgeber schicken und im Netz verbreiten würden, wenn ich nicht X Bitcoins bezahlen würde. Normalerweise lache ich über solche Mails und lösche sie, aber diesem war zum "Beweis", dass sie echt im Besitz meiner Daten seien, mein E-Mail-Passwort mitgeschickt. Es handelte sich um ein Passwort, das ich tatsächlich verwendete, allerdings nicht für die genannte E-Mail-Adresse. Das machte mir ziemlich Angst - nicht wegen den Videos, sondern dass die mein Passwort kennen. Das spricht einmal mehr dafür, nicht dasselbe Passwort für verschiedene Dienste zu verwenden.
Meine Passwörter wurden schon mehrfach gehackt (nicht bei mir, sondern bei irgendwelchen leichtsinnigen Diensteanbietern). Das ist nervig. Inzwischen verlieren diese Passwörter aber immer mehr an Bedeutung, da die wirklich kritischen Anwendungen (Banking, PayPal, Amazon usw. etc. pp.) inzwischen alle auf 2-Wege Autorisierung setzen (Passwort plus meistens eine temporäre PIN via SMS o.ä.), das ist eine ziemlich sichere Schutzmaßnahme.
Diese Email mit den "brisanten" Videos kenne ich auch, ist aber zugegebenermaßen jetzt länger keine mehr gekommen. Manchmal habe ich nur zurückgeschrieben, dass ich gerne auch eine Kopie der Videos hätte, ich würde sie in meine Pornosammlung aufnehmen. Kam leider nie etwas an...
Man fragt sich aber wirklich, was sind das für Leute, die dann tatsächlich zahlen?? Was geht in denen vor?
-
Ich habe allerdings auch nichts mit dem Link gemacht, da es merkwürdig ist, dass ich von einem deutschen Hotel in englischer Sprache angeschrieben wurde.
*lach* - da hast Du natürlich einen Vorteil gehabt. Meine Email kam angeblich vom "Scenic View Inn & Suites" in Moab. Ein gut aussehendes Motel südlich (etwas außerhalb von Moab) mit ansprechenden (recht großen) Zimmern und relativ moderaten Preisen (entweder der Lage geschuldet oder vielleicht auch nur zur Einführung, das Motel ist noch sehr neu). Hat auf booking.com immerhin ein Rating von 8,5. In der Email werde ich ja sogar mit meinem vollen, richtigen Namen angesprochen, das ist auch neu. Also die Hacker haben wirklich gründliche Arbeit geleistet.
Die Email an mich enthält nicht nur meine Klarnamen, auch Adresse, Emailadresse, Hoteldaten, Buchungsnummer, BuchungsPin und sie kam über den Booking.com-Account (steht sogar heute noch beim Hotel als Hotelnachricht) - daher war sie im Prinzip erst einmal glaubwürdig.
-
Die BuchungsPIN (ich kenne meine gar nicht, zumindest nicht ad hoc) - wow. Das sieht dann fast so aus, als wenn diese Email wirklich von booking.com kommt. Vielleicht haben die auch eine Schwachstelle? Oder müssen die Hotels die PIN auch kennen? Ich habe keine Ahnung, ich weiß nicht einmal, wofür die da ist, aber gesehen habe ich sie auch schon.
Meine BuchungsPIN steht nicht in meiner Email, meine Adresse auch nicht. Ich weiß jetzt allerdings auch nicht, ob meine Adresse überhaupt bei booking.com hinterlegt ist. Das müßte ich mal checken.
P.S.: Was für eine Adresse (URL) ist denn in Deiner Email angegeben, wo Du die Kreditkartendaten "überprüfen" sollst? Da trennt sich endgültig die Spreu vom Weizen.
-
Man kann natürlich auch so tricksen (Beispiel):
http://www.booking.com (http://www.google.de)
Sieht aus wie booking - ist aber Google. Sicherheit hat man nur, wenn die URL als Text und nicht als Link vorliegt:
http://www.booking.com
Was genau steht in der Email und wie steht es in der Email?
-
Man kann natürlich auch so tricksen (Beispiel):
http://www.booking.com (http://www.google.de)
Wenn ich am PC mit der NMaus draufgehe (ohne zu klicken), sehe ich, wohin mich der Link führen will. Beim Handy/Tablet habe ich diese Sicherheit allerdings nicht. Ein Grund mehr, möglichst wenig mit den mobilen Geräten zu agieren.
-
Wenn ich am PC mit der NMaus draufgehe (ohne zu klicken), sehe ich, wohin mich der Link führen will. Beim Handy/Tablet habe ich diese Sicherheit allerdings nicht. Ein Grund mehr, möglichst wenig mit den mobilen Geräten zu agieren.
Du könntest aber etwas länger auf den Link mit dem Finger drücken, eine Sekunde oder so, dann kommt in der Regel ein Kontextmenü was Dich fragt was Du mit dem Link machen sollst und dort steht dann auch der tatsächliche Ziellink. Aber ja, am PC ist es natürlich einfacher.
-
Ich habe gerade noch einmal nachgeschaut: die Adresse steht nicht in der Fake-Email sondern lediglich Vor- und Nachname ohne Straße und Ort.
Sorry
Sieht aber unabhängig davon recht echt aus, da z.B auch erwähnt wird, dass das Hotel bereits mit KK bezahlt wurde. Mich hat - wie erwähnt - der englischer Text bei einem deutschen Hotel stutzig gemacht.Außerdem der 48 Stunden-Druck handeln zu müssen.
-
Übrigens gibt es etwas Neues oder leider ehr nicht:
Booking.com versprach nach dem Telefonat und dem anschließenden schriftlichen Kontakt mit Übermittlung des Fake-Emails, kurzfristig um Rückmeldung durch die Sicherheitsabteilung. Auch das Hotel sollte sich direkt bei mir noch melden. Nachdem eine Woche nichts geschah, habe ich eine Erinnerung geschrieben. Nach ein paar Tagen kamen ein paar dünne Zeilen ohne Inhalt, es werde noch geprüft. Inzwischen sind schon wieder ein paar Tage vergangen - ohne was Neues und zwar weder vom Hotel noch von der Sicherheitsabteilung.
Mal sehen, wie es weitergeht bzw. ob überhaupt noch was kommt.
-
Wenn ich am PC mit der NMaus draufgehe (ohne zu klicken), sehe ich, wohin mich der Link führen will.
Natürlich, eigentlich ist das total primitiv. Aber auch wenn man es nicht glauben mag - es gibt genügend Menschen, die darauf klicken würden, ohne Sinn und Verstand und ohne überhaupt hinzuschauen. Eigentlich habe ich auch nur wenig Mitleid mit sog. "Phishingopfern", da gehört wirklich ein gerütttelt Maß Naivität dazu, auf so einen Mist hereinzufallen.
Aber die Art dieser Attacke ist neu und der Umstand, dass da echte Buchungsdaten drin stehen, das macht diese Attacke besonders perfide und deswegen habe ich mich auch dazu entschieden, davor zu warnen. Gegen jede einzelne Phishingattacke kann man eigentlich gar nicht warnen, so viele gibt es davon inzwischen. Aber das hier ist eine neue Dimension - wenn auch das Nadelöhr das Nadelöhr bleibt, nämlich die URL, auf die der Anwender verzweigen soll. Darum und nur darum geht es und dann hängt alles davon ab, wie gut die getürkte Seite gefälscht wurde.
-
Mal sehen, wie es weitergeht bzw. ob überhaupt noch was kommt.
Ich würde einfach mal behaupten, da kommt nichts mehr. Was soll Booking denn auch machen? Das ist ja gar nicht deren Sache, die können überhaupt nichts daran ändern, genau genommen sind sie selbst auch Opfer. Die finden das bestimmt auch superklasse, wenn die Motels die vertraulichen Daten unzureichend schützen und sich die Verwaltungssoftware hacken lassen. Das ist ja auch so gemein daran, dass man Booking.com für die Schwachstelle hält, aber die sind es gar nicht. Die können rein gar nichts daran ändern. Ok, man könnte darüber sinnieren, ob es wirklich datentechnisch notwendig ist, dass ein Motel die Buchungsnummer des Vorgangs bei Booking.com "kennt". Andererseits ist das wahrscheinlich der eindeutige Zugriffsschlüssel, der auch für die Motels zu den Daten führt. Die müssen und wollen ja auch wissen, wer wann kommt.
Wenn überhaupt, dann muss das betroffene Motel/Hotel eine Stellungnahme abgeben, wie es denn sein kann, dass ihre Kundendaten ins Internet gelangt sind. Hast Du da auch mal hingeschrieben? Die müßten eigentlich rot anlaufen....
-
Mal sehen, wie es weitergeht bzw. ob überhaupt noch was kommt.
Ich würde einfach mal behaupten, da kommt nichts mehr. Was soll Booking denn auch machen? Das ist ja gar nicht deren Sache, die können überhaupt nichts daran ändern, genau genommen sind sie selbst auch Opfer. Die finden das bestimmt auch superklasse, wenn die Motels die vertraulichen Daten unzureichend schützen und sich die Verwaltungssoftware hacken lassen. Das ist ja auch so gemein daran, dass man Booking.com für die Schwachstelle hält, aber die sind es gar nicht. Die können rein gar nichts daran ändern. Ok, man könnte darüber sinnieren, ob es wirklich datentechnisch notwendig ist, dass ein Motel die Buchungsnummer des Vorgangs bei Booking.com "kennt". Andererseits ist das wahrscheinlich der eindeutige Zugriffsschlüssel, der auch für die Motels zu den Daten führt. Die müssen und wollen ja auch wissen, wer wann kommt.
Wenn überhaupt, dann muss das betroffene Motel/Hotel eine Stellungnahme abgeben, wie es denn sein kann, dass ihre Kundendaten ins Internet gelangt sind. Hast Du da auch mal hingeschrieben? Die müßten eigentlich rot anlaufen....
Ich hatte (bisher) lediglich Kontakt mit Booking.com. Diese schrieben mir, dass ich nicht das Hotel kontaktieren soll, da möglicherweise deren Email-/Hotel-Account geknackt ist und der Hacker mitlesen würde. Booking.com schrieb mir auch, dass sie Kontakt zum Hotel aufgenommen hätten, die mich auf anderem Wege kontaktieren und sich entschuldigen (würden). Auch deren Sicherheitsabteilung würde sich bei mir melden; dies schrieb Booking.com erneut noch einmal als ich nachfragte.
Von daher werde ich jetzt zwar abwarten, aber im weiteren Verlauf bei Booking.com dranbleiben; denn wer etwas verspricht muss es halten. Und diese haben versprochen die Sache aufzuklären und sich dann zu melden.
Warum das Hotel die Booking.com-Buchungsnummer benötigt, erschließt sich mir genauso wenig, wie die Frage, warum die Kontaktaufnahme über den Booking.com-Account erfolgen kann und warum meine Email-Adresse dem Hotel bekannt ist, wenn alles über Booking.com läuft. Ist der Account zwischen dem Hotel und Booking.com denn nicht mit 2-Faktor geschützt?
Notwendig ist doch nur, wer für wann in welchem Zimmer gebucht hat und ob noch zu zahlen ist. Ich gehe im Augenblick davon aus das die KK-Daten nicht bekannt sind; in meinem Konto ist alles ruhig. Das sind alles Fragen, die in Booking.com stellen werde; ein aussitzen ist nicht akzeptabel. Die Provision, die die solche Plattformen einstreichen, soll laut Tobias Warnecke, Geschäftsführer vom Hotelverband Deutschland, zwischen 15 und 40 Prozent liegen.
-
Warum das Hotel die Booking.com-Buchungsnummer benötigt, erschließt sich mir genauso wenig, wie die Frage, warum die Kontaktaufnahme über den Booking.com-Account erfolgen kann und warum meine Email-Adresse dem Hotel bekannt ist, wenn alles über Booking.com läuft. Ist der Account zwischen dem Hotel und Booking.com denn nicht mit 2-Faktor geschützt?
Notwendig ist doch nur, wer für wann in welchem Zimmer gebucht hat und ob noch zu zahlen ist. Ich gehe im Augenblick davon aus das die KK-Daten nicht bekannt sind; in meinem Konto ist alles ruhig. Das sind alles Fragen, die in Booking.com stellen werde; ein aussitzen ist nicht akzeptabel. Die Provision, die die solche Plattformen einstreichen, soll laut Tobias Warnecke, Geschäftsführer vom Hotelverband Deutschland, zwischen 15 und 40 Prozent liegen.
Eine Kontaktaufnahme ohne Kenntnis der E-Mail ist durchaus realistisch. Das Hotel schickt an eine definierte Adresse ober über ein Onlinesystem bei booking.com eine Mail mit der Buchungsnummer. booking.com leitet diese Nachricht dann an Dich als Kunden weiter. Dafür muss das Hotel Deine E-Mail nicht wissen, aber es muss eine eineindeutige Zuordnung innerhalb der booking.com - IT geben. Und wenn das Hotel gehackt wird und sich das Hotel gegenüber booking.com korrekt legitimiert, dann leitet booking.com die Nachricht an Dich weiter. Wie soll es auch die Illegitimität der Nachricht erkennen?
Im Übrigen hat mich desöfteren auch schon ein Hotel beim Check-In nach meiner E-Mail gefragt, obwohl diese bei booking.com natürlich bekannt ist. Da hat dann kein Datentransfer stattgefunden.
-
Warum das Hotel die Booking.com-Buchungsnummer benötigt, erschließt sich mir genauso wenig, wie die Frage, warum die Kontaktaufnahme über den Booking.com-Account erfolgen kann und warum meine Email-Adresse dem Hotel bekannt ist, wenn alles über Booking.com läuft. Ist der Account zwischen dem Hotel und Booking.com denn nicht mit 2-Faktor geschützt?
Notwendig ist doch nur, wer für wann in welchem Zimmer gebucht hat und ob noch zu zahlen ist. Ich gehe im Augenblick davon aus das die KK-Daten nicht bekannt sind; in meinem Konto ist alles ruhig. Das sind alles Fragen, die in Booking.com stellen werde; ein aussitzen ist nicht akzeptabel. Die Provision, die die solche Plattformen einstreichen, soll laut Tobias Warnecke, Geschäftsführer vom Hotelverband Deutschland, zwischen 15 und 40 Prozent liegen.
Eine Kontaktaufnahme ohne Kenntnis der E-Mail ist durchaus realistisch. Das Hotel schickt an eine definierte Adresse ober über ein Onlinesystem bei booking.com eine Mail mit der Buchungsnummer. booking.com leitet diese Nachricht dann an Dich als Kunden weiter. Dafür muss das Hotel Deine E-Mail nicht wissen, aber es muss eine eineindeutige Zuordnung innerhalb der booking.com - IT geben. Und wenn das Hotel gehackt wird und sich das Hotel gegenüber booking.com korrekt legitimiert, dann leitet booking.com die Nachricht an Dich weiter. Wie soll es auch die Illegitimität der Nachricht erkennen?
Im Übrigen hat mich desöfteren auch schon ein Hotel beim Check-In nach meiner E-Mail gefragt, obwohl diese bei booking.com natürlich bekannt ist. Da hat dann kein Datentransfer stattgefunden.
Ich hoffe mal, dass wenig Datentransfer von Booking.com zum Hotel stattgefunden hat. Denn es wäre für mich schon erschreckend, wenn das Hotel und vor allem dadurch der Hacker, meine Daten zu Kreditkarte, Adresse, Emailadresse, vielleicht auch Geburtsdatum hätte.
Erschreckend ist für mich trotzdem, dass Booking.com wohl keinerlei ausreichenden Schutz hat, damit mit einem gehackten Hotelaccount der Kunde auf dem offiziellen Booking.com-Weg eine solche Fakenachricht erhält. Von daher bin ich schon auf die Erklärungen und neuen Schutzmaßnahmen von Booking.com gespannt, denn selbst für den Vorsichtigen waren zu viele Daten echt. Ich weiß nicht, wie ich bei einem Schreiben in korrekter deutscher Sprache (bei mir war es Englisch) reagiert hätte, obwohl ich nie auf Links direkt antworte. Blöd ist nämlich dabei, dass der Link ja auch im Booking.com-Account zu finden ist.
-
Wie soll denn eine solche Schutzmaßnahme realistisch aussehen, wenn der oder die Hacker die Identität des Hotels übernommen haben? Ich kann den Unmut verstehen, aber jede möchte gerne einfache und komfortable Buchungsprozesse und Bequemlichkeit und IT-Sicherheit muss man immer gegeinander abwägen. Ich habe natürlich keinen Einblick in die internen Prozesse bei booking.com und es ist auch gut möglich, dass man da nachlässig war, aber es ist glaube ich unstrittig, dass es einen Kommunikationskanal vom Hotel zum Endkunden geben muss. Dafür gibt es zwei Möglichkeiten: 1) Das Hotel kontaktiert Dich direkt, dafür muss es Deine E-Mail-Adresse haben. Auch diese Nachrichten könnte ein Hacker faken. 2) Das Hotel kontaktiert Dich über das System von booking.com. Das Hotel hat dann Deine E-Mail-Adresse nicht, muss sich aber gegenüber booking.com legitimieren. Wenn der Hacker das schafft, dann hat booking.com praktische keine Möglichkeit das zu verhindern.
-
Wie soll denn eine solche Schutzmaßnahme realistisch aussehen, wenn der oder die Hacker die Identität des Hotels übernommen haben? Ich kann den Unmut verstehen, aber jede möchte gerne einfache und komfortable Buchungsprozesse und Bequemlichkeit und IT-Sicherheit muss man immer gegeinander abwägen. Ich habe natürlich keinen Einblick in die internen Prozesse bei booking.com und es ist auch gut möglich, dass man da nachlässig war, aber es ist glaube ich unstrittig, dass es einen Kommunikationskanal vom Hotel zum Endkunden geben muss. Dafür gibt es zwei Möglichkeiten: 1) Das Hotel kontaktiert Dich direkt, dafür muss es Deine E-Mail-Adresse haben. Auch diese Nachrichten könnte ein Hacker faken. 2) Das Hotel kontaktiert Dich über das System von booking.com. Das Hotel hat dann Deine E-Mail-Adresse nicht, muss sich aber gegenüber booking.com legitimieren. Wenn der Hacker das schafft, dann hat booking.com praktische keine Möglichkeit das zu verhindern.
Ich bin natürlich keine Expertin. Doch erscheint mir eine Zwei-Faktor-Autorisierung, also eine weitere Autorisierung des Accounts des Hotels gegenüber Booking.com durch ein anderes Gerät sinnvoll. Denn auch bei mir ist eine solche bei mehreren Accounts in Nutzung und erschwert den Angriff von außen. Es ist leider auffällig, dass wohl massenhaft unterschiedliche Hotelaccounts bei Booking.com geknackt wurden. Offensichtlich gehen die Hotels im großen Stil sehr lax mit der Sicherheit um und/oder Booking.com macht es den Hotels zu einfach.
Warum soll die Privatperson an vielen Stellen mit 2-Faktor-Schutz arbeiten, obwohl diese nur selbst betroffen wäre, wenn Geschäftsunternehmen diesen Schutz nicht nutzen (müssen), obwohl die Sicherheit von Vielen (Dritten) im Zweifel betroffen wäre.
-
Ich bin gerade mit ein wenig Erschrecken darauf gestoßen, dass die Hotels „als Partner von Booking.com potenziell Zugriff auf eine große Menge an Gästedaten haben“: von Namen und Adressen bis hin zu Kreditkartenangaben und Telefonnummern.
Quelle: https://partner.booking.com/de/hilfe/recht-sicherheit/sicherheit/online-sicherheitsbewusstsein-phishing
-
Ich bin natürlich keine Expertin. Doch erscheint mir eine Zwei-Faktor-Autorisierung, also eine weitere Autorisierung des Accounts des Hotels gegenüber Booking.com durch ein anderes Gerät sinnvoll.
Nein, nein - Du suchst an der ganz falschen Stelle. Das Problem ist nicht(!) die Kommunikation zwischen Booking.com und den Motels (da wäre dann die 2-Step Autorisierung vielleicht relevant) - das Problem entsteht erst DANACH.
Jedes Motel/Hotel besitzt natürlich auch eine eigene "Verwaltungssoftware" (das ist auch in den Artikeln so abstrakt nur benannt), das kann bei Klitschen auch mal nur eine Excel Sheet sein. Irgendeine Software, wo sie die Kundendaten verwalten. Und genau diese Verwaltungssoftware, die haben Hacker gehackt. Zu dem Zeitpunkt ist Booking.com vollkommen raus. Ich würde vermuten, dass es auch für Motels/Hotels eine Standardsoftware gibt, die sie für die Verwaltung benutzen. Und möglicherweise ist die gehackt worden, vielleicht auch nur bei Motels mit schwacher Infrastruktur. Wir kennen die Schwachstelle nicht, aber ganz sicher ist, dass es überhaupt nichts nutzt, ob Booking.com bei der Übermittlung der Daten eine bessere Authorisierung benutzt. Das ist nicht die Stelle, wo die Daten ausgespäht werden. Die werden erst ausgespäht, wenn sie vermeintlicher sicher im Motel angekommen sind.
Deswegen ist es für Booking.com ja auch so schwierig, die können gar nichts machen. Es liegt nicht in ihrem Einflussbereich.
-
Ein wenig mehr muss schon dahinter stehen. Betroffen sind ja offenbar nur Kunden, die über Booking.com gebucht haben. Zumindest ist bei anderen Buchungsportalen nichts Vergleichbares bekannt geworden. Auch scheinen Direktbucher nicht betroffen zu sein.
-
Ein wenig mehr muss schon dahinter stehen. Betroffen sind ja offenbar nur Kunden, die über Booking.com gebucht haben. Zumindest ist bei anderen Buchungsportalen nichts Vergleichbares bekannt geworden. Auch scheinen Direktbucher nicht betroffen zu sein.
Dies habe ich auch so gelesen. Bei anderen ähnlichen Anbietern habe ich ebenfalls nicht entsprechendes gehört.
Weiterhin sollte Booking.com nicht den Hotels diese (laut Booking.com selbst) „große Menge an Gästedaten geben: von Namen und Adressen bis hin zu Kreditkartenangaben und Telefonnummern“ und natürlich die berühmte Buchungsnummer.
Außerdem könnte Booking.com das denen seit längerem bekannte Problem offensiv und proaktiv durch Warnungen und Hinweise angehen; aber das ja könnte das Modell gefährden. Jetzt haben sie den Salat; das Vertrauen ist weg und viele buchen vielleicht wieder direkt.
-
.... und viele buchen vielleicht wieder direkt.
...habe ich nie anders gemacht.
Wenn allerdings wirklich nur die Hotelseiten die Quelle wären, würde das auch nicht helfen. Aber wie oben schon geschrieben, dreht es sich offenbar nur um Buchungen über Booking.com.
-
Aber wenn du direkt buchst, dann hat das Hotel doch auch alle Daten und wenn dir dann die Hacker vom Hotel-Account eine entsprechende Mail schicken, dann kann das ein genauso guter Phishing-Versuch sein. Natürlich ist die Methode perfide, aber aufmerksam sein muss man so oder so.
booking.com hat doch nicht den Zweck Daten vor den Hotels zu verschleiern. Ein Hotel will doch auch mehr haben als nur die Information, dass da jetzt am Dienstag irgendein Gast kommt, der schon bezahlt hat. Natürlich geben die Daten weiter. Und wenn ich die Buchung nicht direkt bezahle, sondern nur reserviere, dann gehe ich sowieso davon aus, dass auch die Kreditkartendaten als Sicherheit übertragen werden. Deshalb halt dieses "sie haben potenziell Zugriff auf...:"
-
Das nur Buchungen über Booking betroffen sind, wundert mich nicht.
Soweit ich dies bisher gelesen habe, soll es sich wohl um Phishing Attacken auf Hotels gehandelt haben.
Und wenn dies so eine Masse an verschiedenen Hotels betroffen sind, würde ich denken, dass sich hier dann automatische Viren/Trojaner breit gemacht haben, die nach gewissen Mustern in den Systemen gesucht haben.
Da Booking.com wahrscheinlich mit das beliebteste Buchungsportal ist, wird man wohl nur danach gesucht haben. Auch bei Trojanern macht man heute nix mehr manuell. Bei solchen Massenangriffen schaut doch kein Angreifer mehr manuell nach, sondern da laufen voll automatisierte Prozesse.
Wenn man noch die Seiten der Hotels selber für Phishing nachstellen müsste, wäre das viel zu viel Arbeit. Bei Booking macht man dies 1x und hat damit Millionen potenzielle Opfer.
-
Das nur Buchungen über Booking betroffen sind, wundert mich nicht....
Da Booking.com wahrscheinlich mit das beliebteste Buchungsportal ist, wird man wohl nur danach gesucht haben.
Ganz genauso sehe ich das auch. Da ist ja auch noch mehr Aufwand mit verbunden, als nur ein Motel zu hacken. Man muss auch die Seite des Vermittlers (booking.com) nachbilden und so authentisch wie möglich darstellen, denn die eigentliche Attacke findet ja dort erst statt, wo die Kunden ihre Kreditkartendaten eingeben sollen. Darum geht es ja letztendlich.
Und wahrscheinlich ist auch nur eine bestimmte Verwaltungssoftware gehackt worden, denn es sind lang nicht alle Motels und Buchungen bei booking.com betroffen. Das ist ja alles auch mit Aufwand verbunden und wahrscheinlich gibt es genauso Standardsoftware für Motels so wie es Photoshop für die Bildbearbeitung gibt.
-
Das nur Buchungen über Booking betroffen sind, wundert mich nicht.
Soweit ich dies bisher gelesen habe, soll es sich wohl um Phishing Attacken auf Hotels gehandelt haben.
Und wenn dies so eine Masse an verschiedenen Hotels betroffen sind, würde ich denken, dass sich hier dann automatische Viren/Trojaner breit gemacht haben, die nach gewissen Mustern in den Systemen gesucht haben.
Da Booking.com wahrscheinlich mit das beliebteste Buchungsportal ist, wird man wohl nur danach gesucht haben. Auch bei Trojanern macht man heute nix mehr manuell. Bei solchen Massenangriffen schaut doch kein Angreifer mehr manuell nach, sondern da laufen voll automatisierte Prozesse.
Wenn man noch die Seiten der Hotels selber für Phishing nachstellen müsste, wäre das viel zu viel Arbeit. Bei Booking macht man dies 1x und hat damit Millionen potenzielle Opfer.
So könnte es sein und damit wäre Booking.com, wie natürlich die betroffenen Hotels, ein Verlierer der Hackermethode . Ein großes potentielles Opfer ist -ähnlich wie bei Microsoft im Verhältnis zu den kleinen Konkurrenten - natürlich bedeutender und macht im Verhältnis weniger Arbeit, als viele kleinere Angriffe. Vielleicht ist es aber ganz anders und es wurde doch wirklich eine Vielzahl von Hotels angegriffen.
Ich warte jedenfalls erst mal ab und hoffe auf eine zeitnahe, brauchbare Information der Sicherheitsabteilung von Booking.com. Sollte ich daraus neue Erkenntnisse erzielen, melde ich dies hier. Im Augenblick kann ich halt auch nur abwarten und hoffen, dass Booking.com gemeinsam mit dem Hotel die Sachlage klärt und die für die Kunden die richtigen Schlüsse zieht und mir/uns darlegt.
Im Augenblick ist bei eine Verunsicherung da, obwohl ich den Fake-Link nicht genutzt habe. Das ganze ist also für viele Beteiligte (Booking.com, Hotels, Hotelkunde) großer Mist.
-
Ich warte jedenfalls erst mal ab und hoffe auf eine zeitnahe, brauchbare Information der Sicherheitsabteilung von Booking.com.
Da wirst du nichts bekommen, was derzeit nicht eh schon von der Pressestelle von Booking.com kommuniziert wurde - nachzulesen z.B. hier:
https://www.watson.de/leben/urlaub%20&%20freizeit/876741668-booking-com-kunden-aufgepasst-fiese-betrugs-masche-im-umlauf
-
Ich warte jedenfalls erst mal ab und hoffe auf eine zeitnahe, brauchbare Information der Sicherheitsabteilung von Booking.com.
Da wirst du nichts bekommen, was derzeit nicht eh schon von der Pressestelle von Booking.com kommuniziert wurde - nachzulesen z.B. hier:
https://www.watson.de/leben/urlaub%20&%20freizeit/876741668-booking-com-kunden-aufgepasst-fiese-betrugs-masche-im-umlauf
Danke für den Hinweis.
Die Internetnachricht kombiniert leider „eigene Tipps“ mit Hinweisen von Booking.com. Zum Beispiel wird von Watson geschrieben, das Hotel via E-Mail (und nicht via booking.com) zu kontaktieren und nachzufragen, ob die Nachricht wirklich von der Unterkunft stammt. Booking.com schrieb mir, dass ich abwarten solle, denn sie würden das Hotel kontaktieren und das Hotel werde auf mich auf geeigneten Kanälen zu kommen.
Ich halte mich an dass Versprechen, dass Booking.com auf mich zu kommt, was ja im Übrigen dem letzten Satz entspricht, dass die Verantwortlichen von booking.com betonen: "Unser Kundendienst-Team steht rund um die Uhr zur Verfügung.“
Ich warte auf die Nachricht von Booking.com und zwar unabhängig, ob was Neues drinsteht.
-
Mir liegt inzwischen eine konkrete Antwort auf meine Fragen vor:
„Wir möchten Sie darüber informieren dass Ihr (Booking.com-)Account nie gehackt wurde. Ihre Daten in unserem System sind nicht gefährdet. Es ist etwas dass vom Account der Unterkunft stammt und das überprüfen wir gemeinsam mit der Unterkunft.
Wenn Sie über Booking.com bezahlen, hat die Unterkunft keinen Zugriff auf Ihre Kreditkartendaten. Es wird eine virtuelle Kreditkarte erstellt, die die Unterkunft belasten kann. Die Unterkunft hat auch keinen Zugang zu Ihrer Adresse, Ihrem Geburtsdatum oder Ihrer Telefonnummer und kann Sie nur über die Chat-Funktion kontaktieren.“
Die Antwort ist schon konkreter, als eine sehr allgemeine Pressemitteilung.
Ich finde die Antwort brauchbar; vielleicht interessiert jemanden die Konkretisierung, die allgemeine Spekulationen ersetzen kann.
-
Hier gibt es ein paar Hintergründe zum Vorgehen der Bösewichte:
https://www.heise.de/news/Phishing-Angriffe-Betrueger-missbrauchen-Hotelbuchungsplattform-booking-com-9547507.html
-
Die E-Mails kommen direkt über die Booking-Plattform an die Hotelkunden. Da die Kriminellen alle Buchungsdaten einsehen können, wirken die Nachrichten recht überzeugend, was die Erfolgswahrscheinlichkeit erhöht.
Entscheidend ist aus meiner Sicht, dass man auch bei Nachrichten welche über Booking.com laufen besondere Vorsicht walten läßt,besonders wenn Zahlungsdaten abgefragt werden.
Laut Booking.com sind weder die Backend-Systeme noch die Infrastruktur von Booking.com unmittelbar betroffen. Auch hat die Unterkunft wohl keinen Zugriff auf die Kreditkartendaten der Kunden-Adresse sowie deren Geburtsdaten.
Warum Booking.com die betreffende Fake-Nachricht nicht von sich aus löscht, wenn dies gemeldet und verifiziert wurde, ist für mich allerdings nicht nachvollziehbar; bei mir zumindest ist noch immer diese Fake-Nachricht im System.
-
Entscheidend ist aus meiner Sicht, dass man auch bei Nachrichten welche über Booking.com laufen besondere Vorsicht walten läßt,besonders wenn Zahlungsdaten abgefragt werden.
Richtig, sehe ich ganz genauso. Ich habe meine KK-Daten ja auch nicht preisgegeben. Man muss sich nur an eine ganz einfache Grundsatzregel halten: nie, nie, nie einem Link in einer Email folgen. Zumindest nicht, wenn es um Geld geht.
Ausschließlich die eigenen Links benutzen, beispielsweise den eigenen Favoriten für booking.com und ausschließlich direkt im Browser Logindaten eingeben. Nie irgendwelchen Emails folgen. Egal was in der Email steht. Aber das wird ja schon seit Äonen gepredigt, es gibt trotzdem immer noch viel zu viele Menschen, die die Gefahren von Emails nicht einschätzen können. Eigentlich müßte man Email Anwender einem Eignungstest unterziehen, für die eigene Sicherheit....
-
Ich habe meine KK-Daten ja auch nicht preisgegeben. Man muss sich nur an eine ganz einfache Grundsatzregel halten: nie, nie, nie einem Link in einer Email folgen. Zumindest nicht, wenn es um Geld geht.
Bei der Buchung muss man aber doch die KK-Daten angeben?! Allerdings muss man die nie im Nachhinein verifizieren. Und sehr, sehr vorsichtig sein mit Links ist immer ein guter Rat.
Früher dachte ich immer, dass nur besonders naive Leute auf Betrüger-Mails hereinfallen. Die waren in schlechtem Deutsch geschrieben, ohne direkte Anrede und mit abenteuerlichen Abschiedsgrüssen bzw. Absender. Aber wenn persönliche Daten drinstehen oder die E-Mails vom CEO der eigenen Firma verschickt werden, kann man es einem Menschen nicht verübeln, wenn er arglos einen Link öffnet. Bei den CEO-Mails war es bei uns aber so, dass wir gesiezt wurden und da bei uns alle vom Owner bis zum Lehrling per Du sind, hat man das Mail sofort als Betrug identifizieren können.
-
Wenn ich es vermeiden kann, zahle ich vor Ort im Hotel. Dabei ist es schon ab und an möglich keine Kk-Daten anzugeben.
Ich habe die KK nicht bei Booking.com standardmäßig hinterlegt.
Wie schon weiter unten berichtet, hat Booking.com mir mitgeteilt, dass die Kk-Daten sicher sind: „Wenn Sie über Booking.com bezahlen, hat die Unterkunft keinen Zugriff auf Ihre Kreditkartendaten. Es wird eine virtuelle Kreditkarte erstellt, die die Unterkunft belasten kann. Die Unterkunft hat auch keinen Zugang zu Ihrer Adresse, Ihrem Geburtsdatum oder Ihrer Telefonnummer und kann Sie nur über die Chat-Funktion kontaktieren.“
-
Wie schon weiter unten berichtet, hat Booking.com mir mitgeteilt, dass die Kk-Daten sicher sind: „Wenn Sie über Booking.com bezahlen, hat die Unterkunft keinen Zugriff auf Ihre Kreditkartendaten. Es wird eine virtuelle Kreditkarte erstellt, die die Unterkunft belasten kann. Die Unterkunft hat auch keinen Zugang zu Ihrer Adresse, Ihrem Geburtsdatum oder Ihrer Telefonnummer und kann Sie nur über die Chat-Funktion kontaktieren.“
Ich glaube, dass die Kreditkartendaten sicher sind, aber dass sie diese nicht an die Unterkunft weitergeben, kann eigentlich nicht sein. Wir hatten bei der letzten Reise mindestens zwei Hotels, wo wir die Kreditkarte nicht zeigen mussten, aber der Betrag trotzdem vom Hotel direkt abgebucht wurde.
-
Wie schon weiter unten berichtet, hat Booking.com mir mitgeteilt, dass die Kk-Daten sicher sind: „Wenn Sie über Booking.com bezahlen, hat die Unterkunft keinen Zugriff auf Ihre Kreditkartendaten. Es wird eine virtuelle Kreditkarte erstellt, die die Unterkunft belasten kann. Die Unterkunft hat auch keinen Zugang zu Ihrer Adresse, Ihrem Geburtsdatum oder Ihrer Telefonnummer und kann Sie nur über die Chat-Funktion kontaktieren.“
Ich glaube, dass die Kreditkartendaten sicher sind, aber dass sie diese nicht an die Unterkunft weitergeben, kann eigentlich nicht sein. Wir hatten bei der letzten Reise mindestens zwei Hotels, wo wir die Kreditkarte nicht zeigen mussten, aber der Betrag trotzdem vom Hotel direkt abgebucht wurde.
Es handelt sich um die schriftliche Erklärung von Booking.com. Vielleicht kann hier jemand aus der Branche aufklären, was die virtuellen KK bedeutet……..
-
Bei der Buchung muss man aber doch die KK-Daten angeben?!
Natürlich, aber das ist ja im Browser, nicht einem Link in einer Email folgend. Da habe ich ja explizit https://www.booking.com selbst eingegeben, das ist verschlüsselt und via Zertifikat geschützt. Man darf nicht Links aus Emails folgen, das ist Leichtsinn.
-
Wir hatten bei der letzten Reise mindestens zwei Hotels, wo wir die Kreditkarte nicht zeigen mussten, aber der Betrag trotzdem vom Hotel direkt abgebucht wurde.
Das habe ich in 20 USA Reisen noch nie erlebt. Ich musste immer und ausnahmslos eine Kreditkarte vorlegen. Kann es sein, dass Ihr ein Prepaid Zimmer dabei hattet? Das wäre die einzige Erklärung, warum man vielleicht keine KK vorlegen muss.
-
Vielleicht kann hier jemand aus der Branche aufklären, was die virtuellen KK bedeutet……..
Siehe hier:
https://partner.booking.com/de/hilfe/richtlinien-zahlungen/zahlungsoptionen/alles-was-sie-%C3%BCber-virtuelle-kreditkarten-wissen
-
Wir hatten bei der letzten Reise mindestens zwei Hotels, wo wir die Kreditkarte nicht zeigen mussten, aber der Betrag trotzdem vom Hotel direkt abgebucht wurde.
Das habe ich in 20 USA Reisen noch nie erlebt. Ich musste immer und ausnahmslos eine Kreditkarte vorlegen. Kann es sein, dass Ihr ein Prepaid Zimmer dabei hattet? Das wäre die einzige Erklärung, warum man vielleicht keine KK vorlegen muss.
Prepaid hatten wir auch, aber das meine ich nicht. Der korrekte Betrag wurde nach Auschecken der Kreditkarte belastet, die ich bei der Buchung angegeben hatte. Im Gegensatz zu den vorabgezahlten Beträgen, die an Booking gehen und von dort ans Hotel, wurde direkt vom Hotel abgebucht.
-
Wir hatten bei der letzten Reise mindestens zwei Hotels, wo wir die Kreditkarte nicht zeigen mussten, aber der Betrag trotzdem vom Hotel direkt abgebucht wurde.
Das habe ich in 20 USA Reisen noch nie erlebt. Ich musste immer und ausnahmslos eine Kreditkarte vorlegen. Kann es sein, dass Ihr ein Prepaid Zimmer dabei hattet? Das wäre die einzige Erklärung, warum man vielleicht keine KK vorlegen muss.
Prepaid hatten wir auch, aber das meine ich nicht. Der korrekte Betrag wurde nach Auschecken der Kreditkarte belastet, die ich bei der Buchung angegeben hatte. Im Gegensatz zu den vorabgezahlten Beträgen, die an Booking gehen und von dort ans Hotel, wurde direkt vom Hotel abgebucht.
Ich glaube, da liegt ein Mißverständnis vor. Die KK wurde bei der Buchung angegeben, muß aber beim Einchecken nicht mehr vorgezeigt werden. Haben wir auch schon erlebt - allerdings in der Regel mit der Frage, ob die bei der Buchung angegebene KK verwendet werden soll.
-
die bei der Buchung angegebene KK verwendet werden soll.
Die Frage kenne ich zugegebenermaßen auch, aber ich habe trotzdem eine (nicht unbedingt dieselbe) Kreditkarte vorgelegt. Last not least ist bei einer USA Reise kurz vor Abreise meine KK, mit der ich alle Buchungen getätigt hatte, eingezogen worden, da hatte es irgendein Datenleck bei Mastercard gegeben. Damals hatte ich etwas Sorge, ob meine Buchungen noch Bestand haben, denn die KK war ung0ltig, ich habe eine ganz neue bekommen. Nicht ein Motel hat auch nur ein Sterbenswort gesagt. Wenn die sich für die Abrechnung auf die Karte verlassen hätten, wäre ich wohl auf der Fahndungsliste gelandet....
-
Ich spekuliere mal:
Wenn man bei der Hotelbuchung (oft nur zur Sicherheit) eine KK angeben muss, wäre diese ja für den Fall der Fälle (Kunde reist nicht an und zahlt dadurch, obwohl die Stornomöglichkeit abgelaufen ist, nicht) bei Booking.com bekannt und Booking.com könnte das Geld einziehen und über die virtuelle KK das Geld an das Hotel auszahlen.
Wenn man jedoch anreist, zahlt man ganz normal direkt an das Hotel über seine KK oder in bar. Bei einem Verweis auf die (Booking.com) bekannte KK, könnte wieder die Abrechnung über die virtuelle zur Anwendung kommen.
Wenn man an Booking.com vorab zahlt, erhält das Hotel über die virtuelle KK von Booking.com sein Geld.
Die virtuelle KK ist praktisch das Abrechnungskonto zwischen Hotel und Booking.com, welches AUCH zum Einsatz kommt, wenn der Kunde nicht anreist, aber noch zahlen muss.
Von daher benötigt das Hotel vom Kunden keine KK-Daten, sondern die virtuelle ist für das Hotel sowohl Sicherheit, wie Abrechnungskonto.
-
Das wäre zumindest eine plausible Erklärung. Wir haben bis dato sehr selten bei booking.com gebucht, dieser Urlaub ist der erste Urlaub mit mehreren Buchungen via booking.com. Sonst haben wir eigentlich immer direkt beim Motel gebucht (oder eben überhaupt nicht, sondern direkt "walk-in"). Das ist schon lange eine Automatik, KK und ID (meistens Pass) in der Hand und damit ab zum Schalter.