02.06.2026 - Momentan verzeichnet das BACS einen Anstieg an Meldungen zu betrügerischen WhatsApp-Nachrichten im Zusammenhang mit Hotelbuchungen. Die Täterschaft nutzt dabei besonders perfide und glaubwürdige Maschen, um an die Kreditkartendaten der Opfer zu gelangen.
Um an Kreditkartendaten zu gelangen, nutzen Betrüger bestehende Hotelbuchungen als Einfallstor. Das BACS beobachtet derzeit zwei verschiedene, personalisierte Vorgehensweisen. Diese unterscheiden sich zwar im konkreten Ablauf und im gewählten Vorwand, das übergeordnete Ziel ist jedoch identisch.
Variante 1: Der Rückerstattungstrick
In einer ersten Variante erhalten die betroffenen Personen unaufgefordert eine WhatsApp-Nachricht, die scheinbar vom Kundendienst von Booking.com oder direkt vom gebuchten Hotel stammt. Das Gefährliche an dieser Kampagne ist die hohe Glaubwürdigkeit der Nachrichten, da sich die Kriminellen in diesen Fällen auf tatsächliche, vergangene Buchungen beziehen und dabei sowohl die korrekten Aufenthaltsdaten als auch den Namen des Hotels und die Namen der Gäste kennen. Den Opfern wird vorgegaukelt, dass es bei der damaligen Buchung zu einem Fehler gekommen sei und ihnen nun eine Rückerstattung («Cashback» oder «Refund») zustehe. Um das Geld zu erhalten, werden die Empfängerinnen und Empfänger aufgefordert, einen Link anzuklicken. Dieser öffnet zunächst eine gefälschte, aber täuschend echt aussehende Webseite von TWINT, die anschliessend auf eine Phishing-Seite einer Bank führt, auf der das Opfer dazu verleitet wird, seine Kreditkartendaten einzugeben.
Dass die Täterschaft über solch präzise und korrekte Informationen zu vergangenen Hotelaufenthalten verfügt, ist auf ein Datenleck («Data Leak») im Umfeld von Booking.com vom April 2026 zurückzuführen. Kriminelle hatten sich damals Zugriff auf sensible Informationen verschafft und nutzen diese Daten nun gezielt aus, um durch personalisierte Nachrichten Vertrauen zu erschleichen.
Variante 2: Kontoübernahme über gehackte Hotelsysteme
Bei der zweiten, aber schon länger bekannten Variante dieser Betrugsmasche, versuchen Kriminelle, im Vorfeld mittels Phishing oder Schadsoftware an Zugangsdaten für die Buchungssysteme eines Hotels zu gelangen. Die Betrüger erhalten so direkten Zugriff auf Benutzerkonten der Buchungssysteme («Account Takeover») und können so gezielt offene oder zukünftige Buchungen ins Visier nehmen. Die Kunden werden dann häufig direkt über das offizielle Nachrichtensystem der Plattform oder zusätzlich per E‑Mail oder WhatsApp kontaktiert. Dabei setzen die Täter die Opfer unter Zeitdruck, indem sie behaupten, die Buchung werde storniert, wenn nicht umgehend eine Verifizierung der Kreditkartendaten über einen beigefügten Link erfolgt oder eine angebliche Vorauszahlung geleistet werde.
Unabhängig davon, ob es sich um eine angebliche Rückerstattung oder um die Sicherung einer anstehenden Buchung handelt, werden die Empfängerinnen und Empfänger in beiden Fällen dazu aufgefordert, einen mitgelieferten Link anzuklicken, um den Prozess abzuschliessen. Dieser Link führt jeweils auf eine täuschend echt gestaltete Phishing-Webseite, auf der die Opfer dazu verleitet werden, ihre Kreditkartendaten einzugeben.
Empfehlungen
Da die Nachrichten in beiden Fällen aufgrund der korrekten Daten und der vermeintlich echten Absender sehr glaubwürdig wirken, ist derzeit höchste Vorsicht geboten. Das BACS empfiehlt folgende Verhaltensregeln:
- Seien Sie äusserst misstrauisch, wenn Sie unaufgefordert bezüglich Rückerstattungen oder dringenden Kreditkartenverifizierungen kontaktiert werden – auch wenn die Absender Ihre genauen Buchungsdetails kennen.
- Klicken Sie in solchen Nachrichten unter keinen Umständen auf Links und geben Sie auf den verlinkten Seiten nie Ihre Kreditkarten- oder Bankdaten ein.
- Wenn Sie unsicher sind, ob eine Nachricht legitim ist, loggen Sie sich direkt über die offizielle App oder Website in Ihr Buchungskonto ein (ohne Links aus der Nachricht zu nutzen) oder rufen Sie das entsprechende Hotel über die offizielle, selbst recherchierte Telefonnummer an.
- Um Rückerstattungen zu erhalten, müssen Sie niemals Zugangsdaten angeben oder QR-Codes scannen.
- Sollten Sie bereits Kartendaten auf einer solchen Seite eingegeben haben, kontaktieren Sie umgehend Ihr Finanzinstitut oder Ihre Kreditkartenfirma, um die betroffene Karte sperren zu lassen.
- Falls Sie einen finanziellen Schaden erlitten haben, empfiehlt das BACS bei der örtlichen Polizei Strafanzeige zu erstatten. Auf der Seite von Suisse ePolice können Sie Polizeiposten in Ihrer Nähe suchen.
Aktuelle Zahlen und Statistiken
Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:
Letzte Änderung 02.06.2026
