Apropos Urlaub: Im Zusammenhang mit Buchungen gibt oder gab es gerade Sicherheitsprobleme, zu denen ich seltsam wenig Berichte sehe. Aber hier hat es jemand verbloggt und hier war schon im Juni davon die Rede.
Die Herzdame, die im Gegensatz zu mir doch gerade ein wenig umtriebig herumreist, war da betroffen. Da Dienste dieser Art sicher auch von Leserinnen hier genutzt werden, habe ich sie gebeten, mir Notizen darüber zuzuwerfen. Was sie auch tat, ich machte daraus einen kurzen Bericht mit ganzen Sätzen wie folgt. Es ist also eine Art Koproduktion:
„Ich habe vor einem Monat ein Hotelzimmer bei „Numa“ in Berlin gebucht. Das läuft alles komplett digital über die App der verbundenen Buchungsplattform, zusätzlich gibt es noch E-Mails und WhatsApps über Numa direkt. Über diese Kanäle kommen auch der Check-in-Link und der digitale Türcode. Die Kommunikation läuft also über drei Kanäle, kapiert habe ich schon das nicht so richtig. Als Zahlungsmethode hatte ich Paypal angegeben. Kostenlose Stornierung war noch längere Zeit möglich.
Kurz vor der Reise bekam ich eine Benachrichtigungsmail von Numa über das Plattformsystem, dass ich jetzt einchecken könne und für einen reibungslosen Ablauf bitte meine ID verifizieren solle. Hier waren auch folgende Buchungsdetails hinterlegt: Vor- und Nachname, Buchungsnummer, Buchungszeitraum, Zimmerkategorie, Anzahl Gäste.
Zwei Minuten später bekam ich eine weitere Benachrichtigungsmail, auf den ersten Blick über den gleichen Weg: „DRINGEND: Es ist Zeit für den Online-Check-in.“ Ansonsten ein sehr ähnlicher Text und die echten Kontaktdaten von Numa. Alles war allerdings deutlich schöner und professioneller gestaltet als die Textwüste in den Benachrichtigungsmails der Plattform.
Vor allem aber waren sämtliche Buchungsdetails auch in dieser zweiten und gefälschten Mail korrekt angegeben. Selbst der Check-in-Link sah echt aus, exakt wie in der anderen Mail. Da ich nirgendwo geklickt habe, weiß ich nicht, an welcher Stelle man auf eine Fake-Seite weitergeleitet werden würde. Einzig die Absenderadresse war verdächtig, mit einigen weiteren Zeichen vor dem Domain-Namen. Das habe ich aber erst später nachgeschaut.
Da ich per se allergisch auf Sätze mit „DRINGEND“ reagiere [kann ich bestätigen. MB] und dann noch diese beiden Mails direkt hintereinander bei mir ankamen und ich auch theoretisch noch rund eine Woche Zeit zum Stornieren hatte, habe ich das erstmal ignoriert.
Zwei Stunden später bekam ich dann über WhatsApp schon die nächste Nachricht, dieses Mal aber auf Englisch, ohne deutsche Übersetzung (was mich auch schon wieder bockig gemacht hat, denn wäre ich z. B. meine Mutter, ich könnte gar kein Englisch). Beim Security-Checks sei festgestellt worden, dass meine „Card Details“ nicht verifiziert werden konnten, sogar mit Screenshot der Buchungsplattform als Beleg. Dazu Hinweise auf „new policy to improve booking security“ … und dann die Aufforderung, die Karte jetzt über den angegebenen Link zu verifizieren. Da muss man auch erstmal genau hinschauen.
Dies kam mit den beiden Antwortoptionen, ob man die Reservierung aufrechterhalten oder canceln möchte. Das hat mich doch etwas irritiert, weil es auf der einen Seite klar nach Spam aussah, u.a. anderem gab es da eine Nummer mit indischer Vorwahl. Das könnte aber auch ein Callcenter sein, was ja nicht mehr unüblich ist. Auf der anderen Seite waren aber auch hier wieder sämtliche korrekten Buchungsdetails und meine persönlichen Angaben enthalten. Kurz nach den beiden E-Mails, von denen nur eine echt war. Das war alles sehr gut gemacht und ich wäre fast darauf reingefallen.
Ich habe Numa via Plattform angeschrieben und nachgefragt. Parallel dazu bekam ich kurz hintereinander zwei weitere Benachrichtigungsmails (eine echte und eine immerhin gutgemachte, aber doch zweifelhafte Version) mit dem Hinweis auf Sicherheitsprobleme und der Erklärung, dass einige Gäste Phishingmails bekommen hätten.
Einen Tag später gab es von einem anderen WhatsApp-Account eine neue Nachricht, wieder auf Englisch, dass ich jetzt wirklich schnell meine Daten verifizieren müsse, weil sonst meine Reservierung storniert werden würde. Und noch einen Tag später schrieben sie wieder, um mitzuteilen, dass es sich dabei um keine Zahlung handeln würde und ich kostenfrei stornieren könne, dass durch die Überprüfung aber sichergestellt sei, dass die Person, die die Reservierung vornimmt, der rechtmäßige Karteninhaber sei.
Gestern hat sich das Hotel dann direkt auf meine Anfrage gemeldet und mitgeteilt, dass es gerade Sicherheitsprobleme gibt.“
Soweit die Herzdame. Und ich denke, das war jetzt eine Premiere für uns. Denn Spammails etc. haben wir vermutlich alle mittlerweile zigtausendmal erlebt, aber Phishing-Mails mit abgegriffenen und auch noch brandneuen Original-Daten von einem größeren Anbieter, das hatten wir bisher noch nicht.
Es scheint mir auch ein weiteres Beispiel für die Enshittification von allem zu sein. Also ein Prozess, den man bis in den Abgrund modernisiert hat.
Na, man lernt nicht aus. Freiwillig oder unfreiwillig.
***
Sie können hier Geld in die virtuelle Version des Hutes werfen, herzlichen Dank! Sollten Sie den konventionellen Weg bevorzugen und lieber klassisch etwas überweisen wollen, das geht auch. Die Daten dazu finden Sie hier. Wer mehr für Dinge ist, es gibt auch einen Wunschzettel.
Schlimme Geschichte. Dennoch mein Highlight des Berichtes: der eingeschobene Kommentar “[kann ich bestätigen. MB]”. 😉
2018 wurde ich auch opfer eines datenlecks über booking.com. damals noch mit primitiven technischen mitteln. die betrüger kannten meine persönlichen buchungsdaten. es ging um ein hotel in spanien, eine irische bank, whatsapp und eine ip-adresse in den usa. kudoz für die herzdame, die nicht darauf reingefallen ist!!
Gut immerhin, dass uns dagegen sicher bald KI helfen wird.