Bastion Hotels: Hacker nutzen Gästedaten für Smartphone-Angriffe

Ein Hackerangriff auf Bastion Hotels gefährdet Tausende Smartphone-Besitzer. Die Cyberkriminellen erbeuteten sensible Buchungsdaten von rund 6.000 Gästen und nutzen sie nun für gezielte Phishing-Attacken per WhatsApp und SMS. Die Vorgehensweise ähnelt einem früheren Vorfall bei Van der Valk.

So gelangten die Hacker an die Daten

Der Angriff startete klassisch: Ein Mitarbeiter der Hotelkette fiel auf eine Phishing-E-Mail herein. Der gefälschte Link sah aus wie das interne Reservierungssystem. So erhielten die Täter Zugriff auf die Datenbanken von sieben Standorten, darunter Amsterdam Airport und Amsterdam Amstel.

Der aktuelle Fall zeigt, wie schnell private Daten durch fremde Sicherheitslücken in Gefahr geraten und für Betrugsversuche via WhatsApp oder SMS missbraucht werden. Dieser kostenlose Ratgeber unterstützt Sie mit praktischen Schritt-für-Schritt-Anleitungen dabei, Ihr Android-Gerät und Ihre persönlichen Accounts effektiv gegen solche Zugriffe zu schützen. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Die Hacker erbeuteten vollständige Namen, Adressen, Handynummern und Buchungsdaten. Auch Teile der Kreditkarteninformationen wurden gestohlen. Diese Kombination aus Reisedetails und Finanzdaten liefert den perfekten Köder für personalisierte Angriffe.

WhatsApp-Nachrichten mit indonesischer Nummer

Direkt nach dem Diebstahl kontaktieren die Betrüger die Opfer. Sie nutzen dafür WhatsApp und SMS – mit dem offiziellen Logo von Bastion Hotels als Profilbild. Die Nachrichten kommen von Nummern mit indonesischer Vorwahl.

Darin werden die Empfänger unter Druck gesetzt: Sie sollen ihre Reservierung binnen zwölf Stunden über einen Link „verifizieren“. Teilweise fordern die Kriminellen sogar die Freigabe von angeblichen Zahlungsblockaden in der Banking-App. IT-Experten warnen: Das korrekte Buchungsdatum schafft Vertrauen für betrügerische Transaktionen.

Déjà-vu: Das gleiche Muster wie bei Van der Valk

Der Fall erinnert stark an einen Hack bei der Hotelgruppe Van der Valk im Jahr 2024. Auch damals drangen Kriminelle über kompromittierte Mitarbeiterzugänge ein und nutzten die Gästedaten für Betrugsversuche.

Die Wiederholung zeigt: Cyberkriminelle sehen die Hotellerie als lukratives Ziel. Im Hintergrund wächst das Geschäft mit „Phishing-as-a-Service“. Organisierte Gruppen vermieten die Technik für solche Angriffe – auch an weniger versierte Täter. Warum bleibt die Branche so verwundbar?

Hotelkette reagiert nach anfänglichem Zögern

Die erste Reaktion von Bastion Hotels stieß auf Kritik. Anfragen besorgter Gäste sollen zunächst abgewiesen worden sein. Inzwischen bestätigt das Unternehmen den Vorfall vollumfänglich.

Laut einem Direktor sind primär Daten von zukünftigen Reservierungen betroffen. Die Kette versandte Warn-E-Mails und SMS. Darin heißt es: Legitime Zahlungsaufforderungen kommen nie über WhatsApp. Der Vorfall wurde der niederländischen Datenschutzbehörde gemeldet.

Smartphone-Sicherheit: Die Gefahr kommt von außen

Bislang fürchteten viele Nutzer schädliche Apps oder unsichere WLANs. Der Fall Bastion Hotels zeigt eine andere Bedrohung: Der Diebstahl bei Drittanbietern wird zur direkten Gefahr für das eigene Handy.

Da Kriminelle immer häufiger auf psychologische Tricks und täuschend echte Nachrichten setzen, reichen Standard-Updates zum Schutz Ihres Smartphones oft nicht mehr aus. Erfahren Sie in diesem Gratis-Sicherheitspaket, wie Sie eine häufig unterschätzte Sicherheitslücke schließen und Ihre Daten beim Online-Banking und Shopping zuverlässig absichern. Kostenlosen Sicherheits-Ratgeber herunterladen

Mit genauen Reisedaten und Zahlungsinformationen steigt die Erfolgsquote von „Smishing“-Angriffen massiv. Jeder digitale Berührungspunkt der Hotellerie wird zum Einfallstor. Neben Technik muss die Schulung der Mitarbeiter höchste Priorität haben.

Betroffene müssen weiter wachsam bleiben

Die gestohlenen Handynummern und Namen werden in dunklen Kanälen weiterverkauft. Betroffene sollten noch Wochen mit Betrugsversuchen rechnen.

Verbraucherschützer raten zu extremer Skepsis bei unerwarteten Nachrichten. Finanzielle Freigaben in Banking-Apps dürfen nie aufgrund einer externen Messenger-Nachricht erfolgen. Für die Hotelbranche könnten schärfere regulatorische Maßstäbe folgen – und hohe Bußgelder.