Artikel
17. Juli 2025

Vorsicht vor Phishing-Angriffen bei der Urlaubsbuchung!

Verbraucher Cybersicherheit
Tanja Beller
Tanja Beller

Auch auf die schönste Zeit des Jahres haben es Cyberkriminelle abgesehen und können die Vorfreude auf den Urlaub verderben. Wer über Buchungsplattformen von Reiseanbietern bucht, sollte wachsam sein. Von Nachrichten mit angeblich nicht vollständigen Zahlungsinformationen für die Buchung bis hin zu komplett gefälschten Angeboten auf täuschend echt aussehenden Plattformen – auf verschiedensten Wegen versuchen die Betrüger, die Erholung Suchenden hereinzulegen. Dabei können die Nachrichten per Mail, SMS oder – besonders perfide - sogar über den Chat der Buchungsapp kommen.

Wer bereits gebucht und plötzlich eine Nachricht vom angeblichen Anbieter bekommt, kann leicht verunsichert werden. Schließlich soll mit der Reise alles reibungslos laufen. Phishing-Mails bilden reguläre Bestätigungsnachrichten von Reiseanbietern nach und leiten mit einem Link auf eine gefälschte Website, zum Beispiel unter einem Vorwand wie: „Ihre Angaben sind nicht vollständig“, oder „Es wird für die Reservierung noch eine Kreditkarte benötigt“.

Wichtige Regel: Nie auf den Link in solchen Nachrichten klicken. Dieser kann auf eine gefälschte Website lenken und die Zahlungsdaten landen direkt bei den Betrügern. Wer unsicher ist, ob für die Buchung noch etwas offen ist, sollte den Anbieter direkt kontaktieren und nachfragen. Wer Opfer der Betrugsmasche geworden ist, sollte sofort die Bank kontaktieren und die ggf. betroffenen Karten sperren und Anzeige erstatten. Die Kontoauszüge auch noch längere Zeit im Blick halten.

Auch bei Schnäppchenangeboten, die zum Beispiel über Social-Media-Kanäle zugespielt werden, gilt: Die Website des Anbieters selbst aufrufen. Bei unbekannten Anbietern auch das Impressum und Bewertungen des Anbieters auf bekannten Bewertungsportalen prüfen. Die Verbraucherzentralen informieren ebenfalls über Fake-Angebote.

Digitale Kommunikation als Einfallstor für Betrug

Mit Phishing-Angriffen zielen die Betrüger auf Verbraucherinnen und Verbraucher ab. Ob per E-Mail, SMS, WhatsApp, anderen Messenger-Diensten oder über Direktnachrichten auf Social Media. Alles, was digital erledigt wird, kann als Köder dienen. Oft wird auch zeitlicher Druck aufgebaut: „Handeln Sie jetzt, sonst wird das Paket zurückgeschickt oder das Konto gesperrt.“ Wer unsicher ist, sollte immer direkt beim Anbieter nachfragen.

Datendiebstahl über Streaming-Dienste

Phishing-Kampagnen unter dem Namen bekannter Streaming-Dienste haben laut deutlich zugenommen. In den Phishing-Nachrichten werden beispielsweise angebliche Änderungen der Nutzungsbedingungen, Preis- oder Zahlungsänderungen oder auch Maßnahmen gegen unerlaubtes Account-Sharing vorgegeben. Letztlich geht es den Betrügern aber immer nur um eines: um das Ausspähen sensibler Informationen, insbesondere von Zahlungsdaten.

Zeitverzögerung als Angriffstaktik

Beobachtet wird, dass der Zeitpunkt zwischen dem Abfischen der Daten und dem Ausnutzen der Informationen eine gewisse Zeit – zum Beispiel einige Tage – auseinanderliegt. Dies ist Teil der Angriffstaktik: dem Opfer fällt es dadurch schwerer, die Vorfälle in einen Zusammenhang zu bringen. Die Gefahr ist dann besonders groß, dass der Angriff gar nicht bemerkt und somit auch der Bank oder der Polizei gemeldet wird.

Telefonanruf als Betrugsmittel

Haben die Betrüger sensible Daten von ihren Opfern abgefischt oder ausgespäht, folgt oft der nächste Schritt: Per Telefon wird versucht, die Menschen gezielt zu manipulieren, um auf diese Weise weitere Daten, eine Zahlungsfreigabe oder auch mittels einer Software den kompletten Zugriff auf den PC zu bekommen. Ein Beispiel: Wer plötzlich einen Anruf von seiner Bank, der Bundesanstalt für Finanzaufsicht (BaFin) oder auch vom Sperrnotruf 116 116 erhält, sollte sich fragen, ob dieser Anruf wirklich berechtigt sein kann. „Wir haben Unregelmäßigkeiten auf Ihrem Konto festgestellt“, „Jemand hat versucht, auf Ihr Konto zuzugreifen“ oder „Wenn Sie jetzt nicht handeln, wird Ihr Konto gesperrt“. Hier könnte die Telefonnummer des Anrufers manipuliert bzw. falsch dargestellt sein. Natürlich werden auch bei Service-Hotlines einer Bank persönliche Daten (Name, Straße, Geburtsdatum) abgeglichen, um den Anrufer zu identifizieren. Die PIN für das Online-Banking oder eine Transaktionsnummer (TAN) werden Bankangestellte aber niemals erfragen.

Die beste Reaktion auf so einen Anruf ist, das Gespräch zu beenden. Fragen Sie selbst bei der Bank nach, ob es Unregelmäßigkeiten mit dem Konto oder der Karte gibt. Um zu vermeiden, dass Sie über eine manipulierte Rufnummernanzeige direkt wieder bei den Betrügern landen, wählen Sie die korrekte Nummer selbst und nutzen Sie nicht die automatische Rückruftaste.

Fake-Websites locken mit Angeboten

Die enorme technische Entwicklung führt dazu, dass Internetseiten von Unternehmen noch perfekter gefälscht werden. Nachrichten mit besonderen Aktionen, Gutscheinen oder auch angeblich notwendigen Kundendaten-Aktualisierungen können täuschend echt im Unternehmensdesign nachgebildet werden. Tatsächlich kann der Link auf eine gefälschte Seite führen, so dass die eingegebenen Daten direkt bei den Kriminellen landen. Auch Schnäppchen und besonders attraktive Produkte von unbekannten Anbietern sollten vor dem Kauf genau geprüft werden.

Missbrauch von KI

Der Einsatz von KI-Tools ermöglicht es den Kriminellen, ihre Angriffe zu optimieren. Mit KI gestützten Sprachmodellen können verdächtige Fehler in Texten ausgemerzt werden. Wenn durch Missbrauch künstlicher Intelligenz Stimmen von Angehörigen nachgeahmt werden, hebt das die Angriffe auf ein neues Niveau. Wenn diese von einem Angehörigen in einer angeblichen Notlage stammen, z.B. „Mama, ich hatte einen Unfall. Sie lassen mich erst gehen, wenn ich eine Kaution hinterlege. Hilf mir, schnell!“ ist es für niemanden leicht, Ruhe zu bewahren. Doch so schwer es auch fällt, dies ist der erste wichtige Schritt. Sie sollten auflegen, den Angehörigen selbst kontaktieren, oder sich im persönlichen Umfeld besprechen.

Gefälschte Briefpost, Steuerbescheide oder Strafzettel

Und trotz aller Digitalisierung: Auch Papierpost kann gefälscht werden und ist in Kombination mit QR-Codes, die auf eine gefälschte Webseite führen, eine besonders perfide Betrugsmethode der Kriminellen. Es können gefälschte Briefe von der Bank sein, aber auch gefälschte Rechnungen von Unternehmen mit geänderten Kontoverbindungsdaten oder Steuerbescheide mit angeblichen Nachzahlungen - nur leider nicht auf das Konto des Finanzamtes, sondern auf das der Kriminellen. Auch bei „analogen“ Briefen oder Bescheiden sollten wir wachsam sein.

Viele Internet-Nutzer werden Opfer von Online-Betrug. Eine Übersicht typischer Betrugsmaschen und Tipps zur Abwehr und Vorsorge gegen Onlinekriminalität gibt der Bankenverband in seinem Lexikon Cybersecurity. Aktuelle Warnungen gibt die Verbraucherzentrale in ihrem Phishing-Radar.

Links

Verbraucherzentrale

Lexikon Cybersecurity

Phishing-Radar

Lagebericht zur IT-Sicherheit

Bundeslagebericht Cybercrime

Tanja Beller

Kontakt

Tanja Beller

Pressesprecherin

+49 (30) 1663 1220
E-Mail senden

Das könnte Sie auch interessieren: