Al maanden worden mensen die overnachtingen boeken via de bekende site Booking.com slachtoffer van geraffineerde fraude. Ook Belgen zijn reeds getroffen.
Barbara Debusschere – De Morgen
‘Het ziet er allemaal echt uit. Maar dan ben je ineens je geld kwijt.’
Wie op het nippertje nog een paar dagen weg voor de feestdagen boekt via Booking.com is maar beter extra alert. Al maanden slagen hackers erin om klanten zo te misleiden dat zij betalingen voor reservaties zelf binnenrijven. Phishing heet dit, cybermisdaad via e-mail.
Dave Loodts berichtte er eind vorige week over op X/Twitter:
“Valse @bookingcom mails die vragen om betalingen/check-ins … maar die valse mails vermelden wel het juiste hotel & de juiste tijd … Booking stuurt waarschuwingen, maar nergens vermelden ze de oorzaak!? Is dit een inbreuk? HTF konden ze die gegevens zien?”
Eerder dit jaar getuigden verschillende Britten in de media (BBC, The Observer) over gelijkaardige ervaringen. Telkens vertellen ze hoe het er allemaal geloofwaardig uitziet, maar hoe je dan ineens je geld kwijt bent.
Slachtoffers krijgen in het communicatiekanaal van de boekingssite, op de site of in de app, een bericht dat hun betaling is mislukt, gekoppeld aan een verzoek om opnieuw te betalen. Anders riskeren ze de annulatie van hun reservatie.
Het bericht bevat een link waarop je moet klikken om je betalingsgegevens in te voeren.
Omdat je het bericht krijgt van Booking.com én omdat de details van je boeking kloppen, ziet het er net echt uit, getuigen gedupeerden.
ZWAKKE PLEKKEN ZOEKEN
“Phishing is niet nieuw, maar dit is toch opmerkelijk”, zegt expert cybersecurity Bart Preneel.
“De hackers werken via de hotels, b&b’s en campings waar je via Booking.com kunt reserveren. Ze zoeken de zwakke plekken in hun cyberbeveiliging. Ze sturen hen een mail met bijvoorbeeld een vraag over een verloren voorwerp of over een kind met een allergie.
“In die mail zit malware, waardoor de hackers toegang krijgen tot de bestanden van het hotel. En dus tot de gegevens van klanten die daar hebben geboekt via Booking.com. Die krijgen dan het bericht over de mislukte betaling met daarin die frauduleuze betalingslink.”
Preneel heeft weet van incidenten die al van februari dateren, al zijn er vooral sinds september veel meldingen op sociale media platformen zoals Reddit.
“Deze methode is uitgekookt”, zegt ook ethisch hacker Reinaert Van de Cruys.
“Bovendien is het niet makkelijk op te lossen, omdat de hackers de boekingssite niet direct aanvallen maar toeslaan via de accommodaties die ermee samenwerken.”
Hoeveel etablissementen al doelwit zijn geworden, is onbekend. Booking.com wil geen exacte cijfers delen.
Aan de Nederlandse radiozender BNR liet hoofd beveiliging Marnie Wilking eind september wel weten dat het zou gaan om “een klein deel van een procent van de 28 miljoen accommodaties op Booking.com.”
De reisgigant was afgelopen weekend niet bereikbaar voor extra commentaar.
BETERE SCREENING
Dat deze oplichting al maanden doorgaat, toont dat het niet eenvoudig is om er iets tegen te beginnen. De meningen zijn verdeeld over wie daarbij de grootste verantwoordelijkheid draagt, de boekingssite of de getroffen hotels.
Booking.com zou volgens sommigen, onder wie Preneel, alle conversaties die via de site en app passeren scherp moeten screenen op verzoeken tot automatische betalingen en ‘vreemde’ links.
“Maar de site zegt via haar juristen dat dit niet haar probleem is en wijst naar de zwakke beveiliging van de getroffen hotels”, zegt Preneel.
“Booking.com is volgens mij wel verantwoordelijk. Ze moeten berichten filteren. Dat kost geld en inzet van mensen en AI, en het zal nooit waterdicht zijn, maar nu trekken ze er te makkelijk de handen van af.”
Ondertussen biedt Booking.com de hotels instructies om zich beter te beveiligen.
“Ook dat lost niet alles op, maar zou op den duur toch moeten helpen”, zegt Van de Cruys.
GELD RECUPEREREN
Voor klanten geven Van de Cruys en Perneel de tip om nooit te betalen via een link in een bericht en om het hotel of Booking.com rechtstreeks te contacteren wanneer je een bericht krijgt dat je opnieuw moet betalen.
“Als het allemaal plots heel dringend klinkt, haal dan diep adem en probeer te checken of dat echt zo is”, adviseert Preneel.
Booking.com raadt klanten aan om nooit creditcardgegevens buiten de site om te delen.
Bij Bnr.nl meldt een woordvoerder dat een slachtoffer contact kan opnemen met de klantenservice, die dan helpt het geld te recupereren.
Testaankoop kent momenteel geen klachten hierover. De organisatie wijst erop dat de wetgeving in ons land bepaalt dat je bank moet instaan voor een terugbetaling na phishing.
“Alleen wanneer je zelf blijk gaf van grove nalatigheid door in te gaan op berichten die duidelijk wijzen op fraude geldt dat niet”, zegt woordvoerster Laura Clays.
“Maar in de praktijk merken wij wel dat banken zich al te vaak verschuilen achter dat argument van grove nalatigheid in gevallen waarbij daar volgens ons geen sprake van is. Dat is niet fair tegenover de consumenten.”
Staatssecretaris voor Consumenten bescherming Alexia Bertrand (MR) reageert dat de Economische Inspectie klachten moet analyseren en wijst erop dat het Centrum voor Cybersecurity “continu deze valse mails bestrijdt”.
Bertrand raadt aan altijd op je hoede te zijn, “zeker als je al een betaling hebt gedaan en een andere partij daarna om eenzelfde betaling vraagt”.
Ook vraagt ze iedereen verdachte berichten altijd te melden via verdacht@safeonweb.be.
Overzicht
Lees alle berichten in deze categorie
Bron: De Morgen