Hackers zijn erin geslaagd om de inloggegevens van een onbekend aantal hotels dat op Booking.com adverteert te stelen. Oplichters doen zich voor als het hotel en benaderen klanten met een smoes om geld afhandig te maken. Booking.com adviseert klanten om voorzichtig aan te doen met betalingen en creditcardgegevens niet buiten het platform te delen.
De oplichtingstruc werkt als volgt. Hotels die actief zijn op Booking.com ontvangen een e-mail van hackers. De betreffende mail bevat een bijlage die is geïnfecteerd met malware. Als het malafide bestand eenmaal wordt geopend, neemt de kwaadaardige software de controle van het Booking.com account van het hotel over.
Vervolgens gebruiken hackers het berichtensysteem van het account om spam te versturen aan gasten die een hotelkamer of andere vorm van overnachting hebben geboekt. In het bericht staat dat er een probleem is met hun creditcard. Gasten krijgen het verzoek om opnieuw te betalen. Doen ze dat niet, dan wordt hun reservering geannuleerd.
Aangezien het lijkt alsof de e-mail afkomstig is van het hotel en de details van de reservering overeenkomen met de daadwerkelijke vakantiedata, trappen relatief veel vakantiegangers in het bericht. Op Reddit staan tientallen verhalen van slachtoffers die anderen waarschuwen voor deze oplichtingscampagne.
Van hoeveel hotels de hackers de inloggegevens hebben gestolen, is onbekend. Marnie Wilking, hoofd beveiliging bij Booking.com, vertelt tegenover BNR dat “maar om een klein deel van een procent” van de 28 miljoen accommodaties die op het platform geregistreerd staan getroffen zijn.
Wilking benadrukt dat de aanvallers alleen inloggegevens van hotels op het platform hebben ontvreemd. De systemen van Booking.com zouden niet zijn gehackt. Medewerkers van het bedrijf doen er volgens haar alles aan om getroffen partners te helpen bij de beveiliging van hun systemen.
Vakantiegangers die de dupe zijn geworden van deze oplichtingstruc kunnen contact opnemen met de klantenservice van Booking.com. Werknemers doen er dan alles aan om hen te helpen hun geld terug te krijgen.
Rik van Duijn, oprichter van cybersecuritybureau Zolder B.V., vertelt voor welk dilemma bedrijven als Booking.com staan bij de beveiliging van hun systemen. “Elke drempel die je oplegt aan je klanten vertaalt zich weer in minder inkomen. Er wordt dus niet altijd naar de zwaarste middelen gegrepen bij de bestrijding van dit soort fraude. Voor een bedrijf als Booking blijft investeren in security ook een afweging”, legt hij uit.
Bij deze vorm van fraude is het vaak de klant die opdraait voor de kosten. “Hoeveel resources Booking.com hierin willen steken is afhankelijk van hoeveel schade Booking.com er zelf van ondervindt”, aldus de beveiligingsspecialist.