Die Sommerferien sind gebucht, das Hotel am Meer bestätigt, die Vorfreude steigt. Dann meldet sich WhatsApp: Deine Buchung, Dein Name, Dein Anreisedatum, der korrekte Hotelname — und die erfreuliche Nachricht, dass Dir eine Rückerstattung zusteht. Alles stimmt. Bis auf den Link, der dahintersteckt.
Das Bundesamt für Cybersicherheit (BACS) warnt im Wochenrückblick vom 2. Juni 2026 vor einer Phishing-Welle, die genau mit dieser Präzision arbeitet. Der Rohstoff dafür stammt aus dem Datenleck bei Booking.com vom April 2026: echte Buchungsdaten, die jetzt gezielt gegen die Betroffenen eingesetzt werden.
Zwei Varianten, ein Muster
- Der Rückerstattungstrick. Per WhatsApp kommt eine Nachricht mit täuschend echten Absenderangaben und Deinen tatsächlichen Buchungsdetails. Dir wird eine Rückerstattung versprochen — Du musst nur kurz Deine Kartendaten «bestätigen». Der Link führt auf gefälschte TWINT- und Phishing-Seiten, die Deine Zahlungsdaten abgreifen.
- Die Stornierungsdrohung. Hier kapern die Kriminellen gleich das Buchungssystem des Hotels und schreiben Dich direkt über die Plattform an. Die Nachricht kommt also aus dem offiziellen Kanal — und droht: Ohne sofortige «Datenverifizierung» wird Deine Buchung storniert. Kurz vor den Ferien drückt das genau auf den richtigen Nerv.
Warum der alte Rat hier nicht mehr reicht
Jahrelang hiess die Standardempfehlung: Achte auf Ungereimtheiten. Falscher Name, krudes Deutsch, eine Buchung, die Du nie getätigt hast — daran erkennst Du Phishing. Diese Welle hebelt den Rat aus. Wenn der Betrüger Deine echte Buchungsnummer, Dein echtes Anreisedatum und den echten Hotelnamen kennt, gibt es keine Ungereimtheiten mehr zu finden. Das ist kein Streu-Phishing mehr, das auf Zufallstreffer hofft. Das ist gezieltes Phishing mit gestohlenen Daten — und es fühlt sich für das Opfer vollkommen plausibel an.
Die Konsequenz: Nicht mehr der Inhalt der Nachricht entscheidet, ob Du ihr trauen kannst. Sondern allein der Weg, über den Du reagierst.
So bleibst Du sauber
- Keine Links anklicken. Egal wie echt die Nachricht aussieht, egal ob sie per WhatsApp, Mail oder über die Buchungsplattform selbst kommt. Der Link ist der Köder.
- Direkt einloggen. Öffne selbst die offizielle App oder tippe die Adresse der Buchungsplattform von Hand ein. Wenn wirklich etwas mit Deiner Buchung wäre, siehst Du es dort.
- Die Unterkunft anrufen. Eine Telefonnummer findest Du auf der offiziellen Webseite des Hotels. Zwei Minuten Gespräch klären, ob die Stornierungsdrohung echt ist. Spoiler: Sie ist es praktisch nie.
- Wenn Du Daten eingegeben hast: sofort handeln. Karte sperren lassen, Bank kontaktieren, Anzeige bei der Polizei erstatten. Je schneller Du bist, desto grösser die Chance, dass kein Geld abfliesst.
Was bleibt im Kopf
Echte Daten machen aus einer plumpen Masche eine glaubwürdige Geschichte — aber sie ändern nichts an der Mechanik dahinter. Niemand, der Dir tatsächlich Geld zurückzahlen will, braucht dafür Deine Kartendaten über einen zugeschickten Link. Und kein Hotel storniert eine bezahlte Buchung, weil Du nicht innert Stunden ein Formular ausfüllst. Wer Druck macht, will nicht Deine Ferien retten. Der will Deine Karte.
Quelle: Bundesamt für Cybersicherheit BACS, Wochenrückblick 22 vom 2. Juni 2026 — ncsc.admin.ch.