Booking.com-WhatsApp-Betrug 2026: So schützt du deine Buchung

Das Skript, das in der Reservation-Hijack-Studie von Gen Digital dokumentiert ist, und die r/travel-Threads, die sich im Mai 2026 häufen, sind fast immer identisch. Eine WhatsApp kommt von einer tschechischen +420- oder indischen +91-Nummer, spricht die Empfängerin mit vollem Namen an, zitiert eine echte Booking.com-Reservierung (richtiges Hotel, richtiges Check-in-Datum) und warnt vor "weniger als 12 Stunden", um eine Karte erneut zu bestätigen, sonst sei das Zimmer weg. Jedes Detail stimmt. Die Leute hätten beinahe gezahlt. Dann öffnen sie die offizielle Booking.com-App, und im echten Postfach gibt es keine entsprechende Nachricht. Die Daten sind echt. Die Dringlichkeit ist es nicht.

Was am 13. April 2026 wirklich passiert ist

Booking.com begann am 13. April 2026 damit, Kundinnen und Kunden zu informieren, dass Unbefugte über kompromittierte Hotel-Partnerkonten auf Reservierungsdaten zugegriffen hatten. Die Berichterstattung von TechCrunch zur Offenlegung hält fest, dass Booking.com keine Angaben zur Zahl der Betroffenen machen wollte. Die Vorfallsanalyse von Malwarebytes bekräftigt denselben Punkt: „Booking.com sagt nichts dazu.“ Booking.com hat dem Guardian mitgeteilt, dass bei diesem Vorfall keine Finanzdaten kompromittiert wurden. Zu den abgegriffenen Daten gehören Namen, E-Mail-Adressen, Postanschriften, Telefonnummern, Buchungsreferenzen und sogar die privaten Nachrichten zwischen Gästen und Unterkünften (Help Net Security). Die online kursierenden Zahlen (4.000 Kundinnen und Kunden, 300 Karten) gehören zu einem separaten Vorfall aus dem Jahr 2018 in den VAE, der 2021 ein Bußgeld der niederländischen Datenschutzbehörde in Höhe von 475.000 Euro nach sich zog. Reisende werfen die beiden Störfälle ständig durcheinander.

Den entscheidenden Punkt übergeht die meiste Berichterstattung. Dein Booking.com-Passwort ist sicher. Es zu ändern bringt nichts. Die Angreifer sind nicht in das zentrale System von Booking.com eingedrungen. Sie haben sich in die Extranet-Logins einzelner Hotels eingeschlichen und dort die Reservierungslisten ausgelesen, die diese Hotels einsehen konnten. Malwarebytes führt die Kette auf eine Phishing-Kampagne zurück, die seit fast einem Jahr leise Hotelpersonal anvisiert. Was der Vorfall ausdrücklich nicht ist: ein Passwortleck bei Booking.com. Deine Zugangsdaten sind nicht in einem Hackerforum gelandet. Wenn du fragst „Soll ich mein Booking.com-Passwort ändern?“, lautet die Antwort: „Du kannst es tun, aber es löst das Problem nicht.“ Der Angriffsvektor liegt auf der Hotelseite der Plattform (und unser Vergleich von Direkt- und Drittanbieterbuchungen 2026 erklärt im Detail, warum dieser Unterschied entscheidend ist). Das Gegenmittel liegt auf deiner Seite der Nachricht.

Eine Verbraucherumfrage von Which? (UK-Daten) ergab, dass 9% der 237 befragten Which?-UK-Mitglieder eine Booking.com-Betrugsnachricht erhalten haben, und diese Umfrage wurde durchgeführt, bevor die Offenlegung im April die Daten für Angreifer noch wertvoller machte. Im Zeitraum Juni 2023 bis September 2024, dem aktuellsten veröffentlichten Berichtsfenster, verzeichnete Action Fraud in Großbritannien 532 Booking.com-Betrugsmeldungen mit einem Gesamtschaden von £370.000. Diese Zahlen werden im August niedlich wirken.

Wie der Booking.com-WhatsApp-Betrug tatsächlich funktioniert

Die Mechanik ist entscheidend, denn sie zeigt, wo man ansetzen muss und was nichts bringt. Die Analyse von Microsoft Threat Intelligence zur Kampagne zeichnet die Kette im Detail nach, und The Hacker News hat die groß angelegte Folgewelle im November 2025 dokumentiert. Sie beginnt mit einer E-Mail an die Rezeption oder das Reservierungsteam eines Hotels: eine vorgetäuschte Gastbeschwerde, eine vorgetäuschte Dokumentenanfrage oder eine „Mit Ihrem Eintrag stimmt etwas nicht“-Nachricht. Das Hotel klickt. Es landet auf einer Seite, die eine Technik namens ClickFix verwendet. Ein gefälschtes CAPTCHA fordert die Mitarbeitenden auf, Windows+R zu drücken, einen „Verifizierungsbefehl“ einzufügen und die Eingabetaste zu betätigen. Sie tun es. Dieser Befehl installiert PureRAT, einen Remote-Access-Trojaner, der dem Angreifer im Stillen Live-Zugriff auf das Booking.com-Extranet des Hotels verschafft.

Von dort aus muss der Angreifer nichts mehr knacken. Er meldet sich als Hotel an. Er liest die Reservierungsliste. Er sieht deinen Namen, deine Daten, deine Telefonnummer, deine Nachrichten. Er hat das, was das Forschungsteam von Gen Digital als „Reservation Hijack Scam“ bezeichnet — ein Skript, das echte Buchungen so überzeugend zitiert, dass selbst erfahrene Reisende einknicken.

Warum also WhatsApp, warum eine tschechische oder indische Nummer? Zwei Gründe. Erstens landen WhatsApp-Nachrichten nicht in einem Booking.com-Postfach, in dem die Marke sie markieren könnte. Zweitens wirken ausländische Ländervorwahlen seltsam genug, um sich „international“ anzufühlen, aber normal genug für eine globale Plattform. Reisende sehen +420 und denken „europäisches Reisebüro“, nicht „Krimineller im Keller“. Das Hilfecenter von WhatsApp selbst spricht Klartext: Unaufgeforderte Nachrichten, die nach Geld oder Codes fragen, sind Betrug — unabhängig davon, wie viel der Absender über dich zu wissen scheint.

So prüfst du eine Booking.com-WhatsApp-Nachricht in 60 Sekunden

Nahezu jede verdächtige Zahlungsaufforderung kannst du in unter einer Minute klären, wenn du jedes Mal dieselbe Routine durchgehst. Der Trick ist Muskelgedächtnis. Lies die Nachricht nicht zweimal, diskutiere nicht im Kopf mit ihr, klicke auf nichts. Öffne die App, dann rufe das Hotel an. Das war's.

Sechzig Sekunden. Der ganze Sinn der 24-Stunden-Frist in der Betrugsnachricht besteht darin, genau diese Routine zu unterlaufen. Verlangsame absichtlich. Ein echtes Hotel verliert deine Buchung nicht, weil du dir zehn Minuten zur Prüfung genommen hast. Und wenn die Nachricht behauptet, deine Karte werde ohne erneute Bestätigung automatisch belastet, ist das ein weiteres Indiz: So funktionieren Kartennetzwerke nicht.

5 Formulierungen, die einen Booking.com-WhatsApp-Betrug entlarven

Wenn du erst ein paar dieser Skripte gelesen hast, klingen sie alle gleich, weil sie aus einer kleinen Bibliothek von Vorlagen übersetzt sind. Gen Digitals Reservation-Hijack-Studie und die Verbraucherberichterstattung von Which? UK katalogisieren regions- und sprachübergreifend dieselben wiederkehrenden Formulierungen. Fünf tauchen in fast jeder dokumentierten Version auf, und schon eine reicht, um die gesamte Nachricht zu verwerfen.

Eine Formulierung ist verdächtig. Zwei sind eindeutig. Berechtigte Buchungskommunikation verwendet dieses Vokabular nicht, und wie oben erwähnt erklärt Booking.com selbst, dass das Unternehmen niemals per WhatsApp, SMS, E-Mail oder Telefon nach Kartendaten fragt. Selbst die Budget-Ketten, die die aggressivsten Upselling-Mails versenden, vermeiden die Kombination aus Dringlichkeit und Zahlungsaufforderung, weil ihre Rechtsabteilungen das nicht freigeben würden.

Wenn du bereits gezahlt hast: Das Rückerstattungs-Playbook

Wenn du den Link angeklickt und deine Karte eingegeben hast, sind die nächsten 60 Minuten wichtiger als die nächsten 60 Tage. Die Kartendaten sind schon in den Händen des Angreifers; die Frage ist, ob er sie auch nutzen kann. Welcher Rückerstattungsweg dir offensteht, hängt davon ab, wen du fragst, und die Erfolgschancen sind je nach Kanal sehr unterschiedlich. So vergleichen sich die vier häufigsten Rückerstattungswege für einen typischen Hotel-Hijack-Betrug. Dieselbe Rückbuchungslogik gilt, wenn ein Flug gestrichen wird, und unser Leitfaden zur Rückerstattung bei Flugannullierungen erklärt diese Variante im Detail.

Die realistische Reihenfolge: zuerst der Kartenherausgeber, dann Booking.com (einen Versuch wert), dann die Versicherung (zahlt selten). Versicherungen zahlen selten, weil Betrug, bei dem die Karteninhaberin die Daten freiwillig — auch unter dem Druck von Social Engineering — eingegeben hat, anders behandelt wird als eine unautorisierte Transaktion, und die meisten Policen ihn ausschließen. Unsere Aufschlüsselung, was eine Reiseversicherung 2026 wirklich abdeckt, geht im Detail darauf ein.

Diese genaue Reihenfolge solltest du abarbeiten, wenn du deine Kartendaten bereits eingegeben hast:

1. Sperre die Karte sofort. Die meisten Banking-Apps haben heute eine Ein-Tipp-Sperre. Mach das, bevor du irgendetwas anderes tust — auch bevor du dich bei Booking.com anmeldest.
2. Rufe die Betrugshotline deines Kartenherausgebers an. Verwende die Nummer, die auf der physischen Karte aufgedruckt ist, nicht eine Nummer aus einer E-Mail oder Nachricht. Sage, es handle sich um eine durch Phishing ausgelöste Transaktion. Bitte schriftlich um eine Vorgangsnummer.
3. Ändere dein Booking.com-Passwort und aktiviere die Zwei-Faktor-Anmeldung. Das macht den Vorfall nicht rückgängig, aber es sichert dein Konto gegen künftiges Credential-Stuffing mit der geleakten E-Mail-Adresse ab.
4. Prüfe deine E-Mail-Adresse bei Have I Been Pwned. Tauchst du neben diesem Vorfall in weiteren Datenpannen auf, tausche die betroffenen Passwörter mithilfe eines Passwortmanagers aus. Jeder seriöse Manager (1Password, Bitwarden oder KeePass) erledigt die Rotation gesammelt in einem Schritt.
5. Melde den Betrug. Reisende aus Großbritannien melden bei Action Fraud. Reisende aus den USA melden beim ReportFraud-Portal der FTC und beim FBI Internet Crime Complaint Center. Reisende im DACH-Raum melden bei der Polizei (Bundeskriminalamt (BKA) in Deutschland, BK in Österreich, fedpol in der Schweiz), bei der Verbraucherzentrale sowie bei der zuständigen Datenschutzbehörde (BfDI in Deutschland, Datenschutzbehörde in Österreich, EDOEB in der Schweiz). Eine Meldung holt dir dein Geld nicht zurück, baut aber das Muster auf, das den nächsten Schlag ermöglicht.
6. Behalte jeden Screenshot, jede Transaktionsreferenz, jede E-Mail. Deine Rückbuchung steht und fällt mit der Dokumentation. Die Bank will den WhatsApp-Screenshot mit der Formulierung. Die Bank will die E-Mail. Die Bank will den Zeitstempel.

Der größte Fehler, den wir sehen, ist, dass Leute zuerst Booking.com anrufen und darauf warten, dass die Plattform das Problem löst. Booking.com kann eine Transaktion, die dein Kartenherausgeber autorisiert hat, nicht rückgängig machen. Ruf zuerst die Bank an — die Plattform kann warten.

Warum der Sommer 2026 das gefährlichste Zeitfenster ist

Zwei Kalenderfakten treffen gerade aufeinander. Buchungen, die vor der Offenlegung am 13. April getätigt wurden, befinden sich noch in den Händen der Angreifer, und die meisten haben Check-in-Termine im Juni, Juli und August. In weiten Teilen Europas beginnen die Schulferien in der dritten Juniwoche. Familien haben bereits gezahlt, können die Buchung nicht ohne Weiteres verschieben und tragen die höchsten emotionalen Kosten, wenn etwas die Reservierung „bedroht“. Genau auf diese Zielgruppe sind die Skripte zugeschnitten.

Das Volumen ist in Echtzeit sichtbar. r/travel und r/TravelHacks auf Reddit füllen sich im Mai 2026 mit nahezu identischen Berichten; die Reservation-Hijack-Studie von Gen Digital dokumentiert dasselbe Skript in mehreren Regionen und Sprachen. Die Studie von McAfee zu Reisebetrug 2026 schätzt, dass Opfer durch reisebezogenen Betrug im Jahr 2025 weltweit rund 12 Milliarden Euro (ca. 13 Milliarden Dollar) verloren haben, mit einem durchschnittlichen Schaden von knapp 920 Euro (ca. 1.000 Dollar) pro Opfer — und diese Zahl wurde erhoben, bevor die Datenpanne 2026 der kriminellen Lieferkette einen frischen Datensatz hinzufügte.

Warum sich der Booking.com-Betrug 2026 von Phishing unterscheidet

Der Booking.com-WhatsApp-Betrug von 2026 unterscheidet sich in einem entscheidenden Punkt vom üblichen Phishing: Der Angreifer hat bereits deine echte Reservierung. Eine normale Phishing-Nachricht rät („Hast du kürzlich ein Hotel gebucht?“), während der Reservation Hijack zitiert („Deine Buchung im Hotel X, weniger als 12 Stunden zur Bestätigung“). Jede Abwehr, die auf generisches Phishing trainiert ist — vage Anreden, schlechtes Deutsch, unpassende URLs, verdächtige Absender — bricht zusammen, sobald die Betrugsnachricht jedes kontextuelle Detail richtig hat.

Vergleiche das mit der übrigen Betrugslandschaft, die wir in unserem regionalen Reisebetrugs-Guide und in der parallelen Verbraucherschutz-Berichterstattung in unserem Artikel über unsaubere Reisemarketing-Tricks, die niemandem auffallen, abgedeckt haben. Eine überhöhte Taxirechnung in Lissabon oder ein Skimmer an einem Geldautomaten in Barcelona ist opportunistisch und physisch. Der Booking.com-Hijack ist das Gegenteil. Er ist gezielt, aus der Ferne und asymmetrisch. Der Angreifer weiß mehr über deine Reise als deine bessere Hälfte — und er setzt darauf, dass du nicht ahnst, dass er das weiß.

Die Verteidigungslogik dreht sich ebenfalls. Bei physischen Straßenbetrügereien hilft Aufmerksamkeit im Moment. Beim Reservation Hijack hilft ein Prozess: Vertrau deiner Buchung, nicht der Nachricht. Wenn eine Anfrage nicht in der offiziellen App oder an der Hotelrezeption eingegangen ist, kommt sie nicht aus einer echten Quelle. Mehr ist die Regel nicht.

Genau hier zahlt sich eine einzige, vertrauenswürdige Wahrheitsquelle für deine Reise aus. Wenn deine Buchungsbestätigungen an einem Ort liegen, den du kontrollierst — gemeinsam mit Check-in-Daten, Hoteladressen und Reservierungsreferenzen —, kannst du die Reise öffnen, das PDF sehen und es in fünf Sekunden mit jeder unaufgeforderten Nachricht abgleichen, ohne den Link auch nur zu berühren. Der Dokumentenbereich von TripProf übernimmt das für alle, die ihn nutzen; eine gemeinsame Notiz im Telefon funktioniert genauso — solange die Regel dieselbe bleibt: Vertrau deiner Buchung, nicht der WhatsApp.

Auch die Karten-Ebene zählt. Wenn du mit einer Karte mit starkem Verbraucherschutz buchst — und unser Vergleich der Karten, die Reisende tatsächlich mitnehmen, schlüsselt auf, welche das sind — ist der Rückbuchungsweg schnell und vorhersehbar. Derselbe Betrug auf einer Debitkarte wird zu einem deutlich zäheren Kampf, weil Debit-Reklamationen in den USA der Regulation E unterliegen, die viel schwächer ist als der Kreditkartenschutz.

Die Verteidigung in einem Satz

Betrugsmails vor April 2026 setzten auf Masse: eine Million Nachrichten verschicken und hoffen, dass sich hundert Leute um irgendeine Booking.com-Buchung sorgen. Hijacks nach April 2026 sind chirurgisch. Sie schicken eine Nachricht, die das Hotel nennt, das du tatsächlich ausgesucht hast, in der Nacht, in der du tatsächlich einchecken wirst, gegen eine Karte, die du tatsächlich verwendet hast — und spielen eine Schwachstelle aus, von der du gar nicht wusstest, dass du sie hast: dass deine Buchungsbestätigung echt und emotional aufgeladen ist.

Die Verteidigung liegt genau in dieser Diskrepanz. Der Betrüger hat Daten, du hast Zugriff. Er kann deine Buchung aus einer gestohlenen Liste zitieren, aber du kannst die echte Buchung in der App öffnen. Er kann „Deine Reservierung ist gefährdet“ schreiben, aber du kannst das Hotel unter einer Nummer anrufen, die er nicht kontrolliert. Er hat Daten. Du hast die App auf deinem Telefon. Das ist kein fairer Kampf zu seinen Gunsten, sondern einer zu deinen Gunsten.

Was, wenn du nicht aus Großbritannien oder den USA bist?

Die Meldekanäle unterscheiden sich, das Vorgehen nicht. In der EU fällt die Datenpanne unter Artikel 33 der DSGVO, der Verantwortliche verpflichtet, Aufsichtsbehörden innerhalb von 72 Stunden zu informieren, nachdem sie Kenntnis von einer Datenschutzverletzung erlangt haben. Genau deshalb hat Booking.com die Kundenbenachrichtigung schnell verschickt. Eine gesetzliche Uhr lief. Betroffene Personen in der EU können kostenlos Beschwerde bei ihrer nationalen Datenschutzbehörde einreichen, wenn sie die Offenlegung für unzureichend halten — in Deutschland beim BfDI, in Österreich bei der Datenschutzbehörde und in der Schweiz beim EDOEB.

Für die grenzüberschreitende Strafverfolgung läuft das IC3-Pendant von Europol über die nationalen Polizeikräfte; die öffentlichen Hinweise decken den grundlegenden Meldeweg ab. Im DACH-Raum nehmen das Bundeskriminalamt in Deutschland (mit den Cybercrime-Stellen der Länder), das Bundeskriminalamt in Österreich (Meldestelle gegen Internetkriminalität) und fedpol in der Schweiz (NCSC) Verbrauchermeldungen in der Landessprache entgegen.

Praktisch wird der Rückbuchungsweg innerhalb der EU vom Kartensystem bestimmt, nicht vom nationalen Recht. Visa und Mastercard betreiben Reklamationsrahmen, die unionsweit gleich gelten. Die relevanten Reklamationsgründe drehen sich um „betrügerische Transaktion“ und „Leistung nicht erbracht“, und das Betrugsteam deiner Bank weiß, welcher Code im Einzelfall greift. Reisende aus Australien und Kanada haben über Visa, Mastercard und Amex analoge Rückbuchungsrechte.

Die Vorab-Checkliste, die wir jetzt nutzen

Eine praktische Vorreise-Routine, abgeleitet aus den Verbraucherempfehlungen in der Which?-Berichterstattung und Gen Digitals Studie. Nichts davon ist teuer oder technisch. Alles macht den Booking.com-WhatsApp-Betrug deutlich wirkungsloser, wenn er ankommt. Für das größere Bild vor der Abreise deckt unsere Reiseunterlagen-Checkliste für 2026 die Papierseite desselben Problems ab.

• Speichere die verifizierte Telefonnummer des Hotels aus Google Maps am Buchungstag in deinen Telefonkontakten. Wenn später eine verdächtige Nachricht eintrifft, ist die echte Nummer nur einen Tipp entfernt.
• Mach einen Screenshot der Buchungsbestätigung und speichere ihn offline in einer Dokumenten-App oder in dem Reiseplaner, den du ohnehin nutzt. Es geht darum, die Buchungsreferenz an einem Ort zu haben, den der Betrüger nicht beeinflussen kann.
• Buche auf einer Kreditkarte mit starkem Verbraucherschutz, nicht auf einer Debitkarte. Die Rückbuchungsmathematik ist eine andere.
• Richte eine virtuelle Karte mit niedrigem Guthaben für jede Zahlung außerhalb der ursprünglichen Buchung ein. Die Disposable Virtual Cards von Revolut (kostenlose Stufe), Privacy.com in den USA und die meisten Challenger-Banken bieten virtuelle Karten in 30 Sekunden auf Tastendruck. Wenn du wirklich ein Zimmer aufstocken oder eine zusätzliche Nacht buchen musst, nimm die — nicht deine Hauptkarte.
• Erkläre deinen Reisebegleitern die Regel vor der Reise: Jede Zahlungsaufforderung läuft ausschließlich über die App oder einen verifizierten Anruf. Gruppenreisen sind besonders verwundbar, wenn nur der Organisator die Buchungsdetails kennt — deshalb sollten alle in der Gruppe die Buchungsreferenz kennen.
• Wenn du mehrere Hotels für dieselbe Reise buchst, notiere dir, welches du über welchen Kanal gebucht hast (Booking.com, direkt im Hotel, eine andere Plattform). Wenn eine gefälschte Nachricht eintrifft, die „deine Buchung vom 14. Juni“ zitiert, ist es schon die halbe Miete zu wissen, von welchem Buchungsweg sie sich ausgibt.

Häufig gestellte Fragen

Bin ich von der Booking.com-Datenpanne betroffen?

Wenn du in dem betroffenen Zeitraum über Booking.com gebucht hast und dein Hotelpartner zu den kompromittierten Häusern zählte, warst du wahrscheinlich exponiert. Booking.com informiert betroffene Kundinnen und Kunden direkt, hat die Zahl der Betroffenen aber nicht öffentlich genannt. Eine ausbleibende E-Mail bedeutet nicht, dass du sicher bist; sie bedeutet nur, dass du nicht in der konkreten Benachrichtigungswelle warst. Wer eine aktive Buchung hat, sollte unaufgeforderte Zahlungsanfragen weiterhin standardmäßig als feindselig behandeln.

Warum kennt der Betrüger meinen echten Hotelnamen und meinen Check-in-Termin?

Weil sich der Angreifer über Zugangsdaten ins Booking.com-Extranet deines Hotels eingeloggt hat, die er mit einer ClickFix-Phishing-Kampagne erbeutet hat — Microsoft Threat Intelligence verfolgt diese Kampagne seit 2024. Deine Daten wurden nicht aus der zentralen Datenbank von Booking.com entwendet, sondern aus dem Zugangspanel des Hotels selbst. Deshalb hilft es nichts, dein Booking.com-Passwort zu ändern.

Wie kontaktiere ich mein Hotel direkt, um eine Booking.com-Nachricht zu prüfen?

Suche bei Google Maps den Hotelnamen plus die Stadt. Das verifizierte Unternehmensprofil zeigt die hinterlegte Telefonnummer — nutze diese. Rufe niemals eine Nummer an, die in der WhatsApp, SMS oder E-Mail steht, der du misstraust. Wenn das Hotel eine zentrale Reservierungsnummer hat, bitte die Rezeption, dich an die zuständige Stelle für Booking.com-Reservierungen weiterzuleiten. Das Gespräch dauert zwei Minuten und klärt die Frage endgültig.

Ist die WhatsApp-Nachricht, die mich auffordert, meine Karte erneut zu bestätigen, Betrug?

Ja. Booking.com hat erklärt, dass das Unternehmen niemals per WhatsApp, SMS, Telefon, E-Mail oder über einen Link außerhalb der offiziellen App und Website nach Zahlungen oder einer erneuten Kartenprüfung fragt. Jede Nachricht, die einen Drittanbieter-Zahlungsdienstleister, eine dringende 24-Stunden-Frist oder einen „sicheren Zahlungslink“ nennt, ist Betrug. Öffne die App selbst, um es zu bestätigen.

Wie prüfe ich, ob eine Booking.com-Nachricht echt ist?

Öffne die Booking.com-App auf deinem Telefon (tippe keinen Link an), gehe zu „Reisen“, suche die Buchung, öffne dann „Nachrichten“. Jede berechtigte Kommunikation von Booking.com oder der Unterkunft steht in diesem Verlauf. Wenn die Nachricht, die du per WhatsApp erhalten hast, im App-Postfach nicht gespiegelt ist, ist sie gefälscht. Als zweite Kontrolle ruf das Hotel unter der Nummer aus Google Maps an.

Was tun, wenn ich den Link bereits angeklickt oder Kartendaten eingegeben habe?

Sperre die Karte sofort in deiner Banking-App. Rufe dann die Betrugshotline deines Kartenherausgebers an (verwende die Nummer auf der Rückseite der Karte, nicht aus einer Nachricht), reiche eine Reklamation ein und bitte um eine Vorgangsnummer. Ändere dein Booking.com-Passwort und aktiviere die Zwei-Faktor-Anmeldung. Melde den Betrug bei Action Fraud in Großbritannien, beim ReportFraud-Portal der FTC in den USA oder — im DACH-Raum — bei deiner nationalen Polizei (BKA in Deutschland, BK in Österreich, fedpol in der Schweiz), bei der Verbraucherzentrale und bei der zuständigen Datenschutzbehörde (BfDI in Deutschland, Datenschutzbehörde in Österreich, EDOEB in der Schweiz). Behalte jeden Screenshot — deine Rückbuchung wird sie brauchen.

Erstattet Booking.com den Opfern des Reservation-Hijack-Betrugs?

Uneinheitlich. Manche Nutzer berichten von Teilerstattungen aus Kulanz, vor allem wenn die Buchung über den Vorauszahlungsprozess „Sichere Zahlung“ von Booking.com bezahlt wurde. Viele berichten gar nichts. Die offizielle Position von Booking.com lautet, dass das Unternehmen keine Belastungen umkehren kann, die dein Kartenherausgeber autorisiert hat. Der verlässliche Rückerstattungskanal ist die Rückbuchung über den Kartenherausgeber, nicht Booking.com.

Soll ich nach der Datenpanne stornieren und mein Hotel neu buchen?

In der Regel nein. Das Hotel kann Daten, die sein Extranet verlassen haben, nicht zurückholen, und Stornieren bedeutet bei den meisten Tarifen, dass du die Buchung verlierst. Sauberer ist es, die Buchung direkt mit dem Hotel telefonisch zu bestätigen (mit einer verifizierten Google-Maps-Nummer), sicherzustellen, dass deine Check-in-Daten exakt übereinstimmen, und jede künftige Zahlungsanfrage abzulehnen, die per Nachricht statt an der Rezeption eingeht.

Warum kommen diese Betrugs-WhatsApps von ausländischen Ländervorwahlen (+420, +91)?

Weil WhatsApp-Nummern aus Tschechien, Indien oder Indonesien günstig in großer Zahl einzurichten und für Opfer schwerer zu prüfen sind. Die Ländervorwahl wirkt ausländisch genug, um zur „internationalen Reiseplattform“ zu passen, und unbekannt genug, dass Reisende sie nicht sofort als verdächtig erkennen. Die Herkunft der Nummer sagt nichts darüber aus, ob die Nachricht echt ist; der Inhalt entlarvt sie.

Übernimmt meine Reiseversicherung Geld, das ich durch einen Booking.com-Phishing-Betrug verloren habe?

In der Regel nicht. Die meisten Verbraucher-Reiseversicherungen schließen Schäden aus, bei denen die versicherte Person Kartendaten freiwillig eingegeben hat — auch unter dem Druck von Social Engineering. Einige eigenständige Cyberversicherungs-Zusatzbausteine decken Phishing ab, und ein paar Premium-Kreditkarten enthalten einen Identitätsdiebstahl-Schutz, der zahlen kann. Lies die Betrugsausschlüsse deiner Police, bevor du davon ausgehst, dass du abgesichert bist.

Kann ich prüfen, ob meine E-Mail-Adresse in anderen Datenpannen aufgetaucht ist?

Ja. Have I Been Pwned betreibt eine kostenlose Abfrage, die veröffentlichte Datenpannen-Datensätze zusammenführt. Gib deine E-Mail-Adresse auf haveibeenpwned.com ein, und die Seite listet jede Datenpanne auf, in der du auftauchst. Wenn der Booking.com-Vorfall einer von mehreren ist, tausche jedes betroffene Passwort über einen Manager wie 1Password, Bitwarden oder KeePass aus.

Das Wichtigste auf einen Blick

• Booking.com selbst wurde nicht gehackt. Die Hotelpartner schon. Dein Booking.com-Passwort zu ändern hilft nichts, weil der Angreifer als Hotel eingeloggt ist.
• Booking.com hat nicht öffentlich offengelegt, wie viele Kundinnen und Kunden vom Vorfall im April 2026 betroffen sind, und bestätigt, dass keine Finanzdaten abgegriffen wurden. Die viel zitierten Zahlen „4.000 Kunden / 300 Karten“ gehören zu einem separaten Vorfall aus 2018, nicht zu diesem.
• Die fünf Indizien, die einen Booking.com-WhatsApp-Betrug entlarven: „erneut bestätigen“, „innerhalb von 24 Stunden“, „sicherer Zahlungslink“, „Buchung gefährdet“, „Drittanbieter-Zahlungsdienstleister“. Eines ist verdächtig. Zwei sind eindeutig.
• Sechzig-Sekunden-Routine: Öffne die App selbst, prüfe das App-Postfach, suche das Hotel bei Google Maps, ruf die verifizierte Nummer an. Diskutiere nicht mit der Nachricht.
• Wenn du bereits gezahlt hast, sperre die Karte und ruf zuerst den Kartenherausgeber an, nicht Booking.com. In den USA gewährt FCBA (das US-Verbraucherschutzgesetz für Kreditkartenrechnungen) 60 Tage ab der Abrechnung mit der Belastung; in Großbritannien reicht Section 75 bis zu sechs Jahre für Kreditkartenkäufe von £100 bis £30.000.
• Werkzeuge wie TripProf — oder jeder Planer, in dem du Buchungsbestätigungen an einem Ort hältst — geben dir eine unabhängige Wahrheitsquelle, mit der du jede unaufgeforderte Nachricht abgleichen kannst: „Vertrau deiner Buchung, nicht der WhatsApp.“
• Der Sommer 2026 ist das schlimmste Zeitfenster, weil jede Buchung vor April noch ein Live-Datensatz ist. Reisende mit Aufenthalten zwischen Juni und September sollten jede unaufgeforderte Zahlungsanfrage so lange als feindselig behandeln, bis sie verifiziert ist.
• Das Internet wird nicht rechtzeitig zu deinem Check-in sicherer. Dein Prozess schon.

Quellen

• TechCrunch: Booking.com bestätigt Hackerangriff auf Kundendaten, April 2026 (Booking.com confirms hackers accessed customer data, April 2026)
• Help Net Security: Datenpanne bei Booking.com legt Reservierungsdaten offen, April 2026 (Booking.com data breach exposes customer reservation data, April 2026)
• Malwarebytes: Booking.com-Datenpanne liefert Betrügern, was sie brauchen, um Gäste anzugreifen, April 2026 (Booking.com breach gives scammers what they need to target guests)
• Microsoft Threat Intelligence: Phishing-Kampagne imitiert Booking.com und liefert Schadsoftware zum Stehlen von Zugangsdaten (Phishing campaign impersonates Booking.com, delivers credential-stealing malware)
• The Hacker News: Groß angelegte ClickFix-Phishing-Angriffe, November 2025 (Large-scale ClickFix phishing attacks, November 2025)
• Which?: Datenpanne bei Booking.com — das musst du wissen (Booking.com data breach, what you need to know)
• Action Fraud UK: Berichtsfenster zu Booking.com-Betrug (Juni 2023 bis September 2024) (Booking.com scam reporting window)
• Gen Digital (Norton): Studie zum Reservation Hijack Scam (Reservation Hijack Scam research)
• McAfee: Jede dritte Reisende oder Reisender ist 2026 mit Reisebetrug konfrontiert (1 in 3 travelers face travel scams in 2026)
• CFPB: Reklamationsrechte und Fristen bei Kreditkartenbetrug (Credit card fraud dispute rights and timelines)
• GDPR.eu: Artikel 33 zur Meldung persönlicher Datenpannen (72-Stunden-Regel) (Article 33 personal data breach notification, 72-hour rule)
• Europol: Öffentliche Aufklärung und Präventionshinweise zu Cyberkriminalität (Public awareness and prevention guidance on cybercrime)
• FBI IC3: Branchenwarnungen des Internet Crime Complaint Center (Internet Crime Complaint Center industry alerts)
• FTC ReportFraud: US-Meldeportal für Verbraucherbetrug (US consumer fraud reporting portal)
• Action Fraud UK: Nationale Meldestelle für Betrug und Cyberkriminalität (National reporting centre for fraud and cybercrime)
• Have I Been Pwned: Öffentlicher Datenpannen-Abgleich (Public breach lookup service)
• WhatsApp Help Center: So erkennst und meldest du Betrugsnachrichten (How to identify and report scam messages)
• Bitdefender Scamio: Kostenloses Werkzeug zur Prüfung von Betrugsnachrichten (Free scam-message verification tool)