'Hackers hebben toegang tot systeem Booking.com en sturen zo phishing-e-mails'

Meerdere klanten van Booking.com hebben tegenover de Britse The Guardian-zusterkrant Observer gemeld dat zij phishing-e-mails hebben ontvangen die lijken op die van de boekingwebsite. Daarin zouden details staan die specifiek van de slachtoffers zijn.

De getroffenen kregen volgens The Guardian kort voor of na het online inchecken bij een hotel een bevestigingsverzoek via de mail. Daarin stond in verschillende variaties dat klanten hun betalingsgegevens op moesten geven omdat anders de reservering van een hotelkamer zou vervallen. In de frauduleuze e-mails stonden details over de klanten en over het geboekte verblijf, wat erop wijst dat hackers toegang hebben tot een systeem van Booking.com. Ook zegt Observer dat de e-mails van een standaard Booking.com-adres lijken te zijn verzonden. Een van de getroffenen zegt dat een link in de e-mail naar de Booking-app verwees en haar reserveringen opende.

Tweakers heeft ook een dergelijke phishingmail kunnen inzien die eind september vanuit een Booking.com-adres werd verzonden. In de mail stonden zoals vermeld correcte persoonsgegevens en details over een geboekt verblijf. Het betreffende hotel stuurde diezelfde dag vanuit hetzelfde e-mailadres een waarschuwing over de hack, met daarbij de melding dat de Booking.com-pagina gehackt was.

De boekingwebsite spreekt volgens The Guardian steevast tegen dat er een inbreuk heeft plaatsgevonden op de systemen van Booking.com. Het van oorsprong Nederlandse bedrijf beweert dat de systemen van partnerhotels mogelijk gehackt zijn. Er zouden verschillende partners door phishingaanvallen getroffen zijn en die partijen zouden dan weer toegang hebben kunnen krijgen tot de systemen van de boekingwebsite.

Reacties (133)

yobikap 23 oktober 2023 16:59

Probleem is groter dan het lijkt.

Hier een dame die haar beklag doet, dat ze een linkje ontving in haar email en zodra ze open klikte, opende de app van booking.com, waardoor het legitiem voor haar leek om via de app verder te gaan.

Uiteindelijk bleek ze ook gescammed te zijn.

https://www.tiktok.com/@n...video/7292141138201349409

J_van_Ekris @yobikap • 23 oktober 2023 17:32

Het lijkt in alles legitiem. Ik kreeg de e-mail, maar ik heb HANDMATIG de app geopend en daar staat gewoon een bericht van je hotel in de app. Men is dus in staat (direct of indirect) om berichten in dat messagecenter te duwen.

alwinus @J_van_Ekris • 23 oktober 2023 18:31

Ik heb dat eens exact hetzelfde gehad. Ik krijg alleen de melding dat ik een bericht had in de app van booking.com. Daar stond een bericht van het hotel al in een bestaande conversatie of ik mijn creditcard gegevens opnieuw wilde opgeven. Ter verificatie zou dan het bedrag van de boeking (wat ook exact vermeld stond) afgeboekt worden en meteen weer teruggestort.

Ik was inmiddels al op reis. En wilde al snel even reageren totdat het belletje begon te rinkelen dat het wel erg raar was om het bedrag te af te boeken en dan terug te storten.

Maar het was echt verwarrend. Booking.com legde de schuld bij het hotel terwijl die van niets wisten en meteen reageerde om niets over te maken via de gegeven link.

J_van_Ekris @alwinus • 23 oktober 2023 18:41

Ik heb dat eens exact hetzelfde gehad. Ik krijg alleen de melding dat ik een bericht had in de app van booking.com. Daar stond een bericht van het hotel al in een bestaande conversatie of ik mijn creditcard gegevens opnieuw wilde opgeven. Ter verificatie zou dan het bedrag van de boeking (wat ook exact vermeld stond) afgeboekt worden en meteen weer teruggestort.

Ja, dat maakt het krankzinnig geloofwaardig en daarmee ook eng. Ik snap wel dat mensen hier in trappen.

Ik was inmiddels al op reis. En wilde al snel even reageren totdat het belletje begon te rinkelen dat het wel erg raar was om het bedrag te af te boeken en dan terug te storten.

Dit is gek genoeg niet helemaal een vreemde zaak (zie ook: laurens0619 in ''Hackers hebben toegang tot systeem Booking.com en sturen zo phishing-e-mails''). Ik heb vroeger vrij veel zakelijk gereisd, en dan was het in hotels vrij gebruikelijk om bij het inchecken een creditcard af te moeten geven waar dan een reservering op gedaan werd van een paar honderd dollar, als een soort borg. Ook al was de kamer vooruit betaald. Sloopte je de kamer of dronk je de complete minibar leeg zonder het te melden, dan kreeg je op die manier alsnog de rekening gepresenteerd. Die reservering vervalt automatisch na 30 dagen, maar het ging wel van je maximaal besteedbare bedrag van die maand af, dus bij langere trips met meerdere hotels was het altijd wel even oppassen (zeker als je autoverhuurder hetzelfde doet).

[Reactie gewijzigd door J_van_Ekris op 22 juli 2024 14:22]

ReZpie @alwinus • 23 oktober 2023 20:04

Nvr mind te snel gelezen

Aldy @alwinus • 24 oktober 2023 14:37

Dat de boekingssite de schuld bij het hotel legt is begrijpelijk aangezien er een heel grote kans bestaat dat gedupeerden samen uiteindelijk op een miljoenenclaim kunnen uitkomen. Het doet zelfs de vraag rijzen of Booking.com werkelijk gehackt is of dat er misschien een foute medewerker aan de gang is (was).

GertMenkel

Hack
Beveiliging en antivirus

@J_van_Ekris • 23 oktober 2023 20:51

Het verhaal van de dame in de video komt neer op "iemand van het hotel (of van booking zelf) stuurt phishinglinks". De messenger in booking.com is gewoon een messenger, het bericht dat het hotel stuurt over credit cards had net zo goed een sinterklaasgedichtje kunnen zijn. Normaal gebruik je zo'n feature natuurlijk om wijzigingen en details naar je klanten te sturen, maar het is maar net wat de persoon aan de andere kant intypt.

Als ik de link uit andere comments lees, lijkt het erop dat iemand een grote hotelketen heeft gehackt en de messengerfeatures van het hotel gebruikt om phishingberichten te sturen. Een tijd geleden is er een hele grote internationale hotelketen gehackt, dus ik kan me voorstellen dat daar de ellende begonnen is.

In dat geval is Booking redelijk machteloos natuurlijk, dit is een echt account dat berichten uitwisselt met echte gebruikers. Je hebt geen backendtoegang nodig als je het wachtwoord van echte hotels weet! Ze kunnen bij misbruik vast met IP-adressen werken en gehackte hotels tijdelijk toegang ontzeggen, maar voorkomen van dit soort dingen is erg lastig. Je ziet het ook nog wel gebeuren op marktplaats, waar oude accounts worden overgenomen en misbruikt om mensen op te lichten.

Wat ik dan weer apart vind is dat niemand een scam verwacht omdat het via de app gaat, alsof je alleen over email gescamd kan worden. Tijd voor een internationale cursus scams herkennen voor de hele wereld.

J_van_Ekris @GertMenkel • 23 oktober 2023 20:58

Als ik de link uit andere comments lees, lijkt het erop dat iemand een grote hotelketen heeft gehackt en de messengerfeatures van het hotel gebruikt om phishingberichten te sturen. Een tijd geleden is er een hele grote internationale hotelketen gehackt, dus ik kan me voorstellen dat daar de ellende begonnen is.

Ware het niet dat het hotel waar ik zat geen onderdeel is van een keten.

In dat geval is Booking redelijk machteloos natuurlijk, dit is een echt account dat berichten uitwisselt met echte gebruikers.

Ze zijn niet machteloos. Ze kunnen beginnen met het mogelijk te maken afwijkende berichten eenvoudig te laten rapporteren door gebruikers. Volgens mij is dit tegenwoordig standaard bij dit soort platformen. Bij Booking.com kon ik alleen via het contactformulier op de desktop site een klacht indienen. Week later nog steeds geen reactie overigens (terwijl hun FAQ suggereert 24x7 response).

En links naar sites die vreemde URL's gebruiken gewoon blokkeren wil ook wel helpen. Of hyperlinks gewoon in zijn geheel blokkeren.

Wat ik dan weer apart vind is dat niemand een scam verwacht omdat het via de app gaat, alsof je alleen over email gescamd kan worden.

Je zit op een communicatiekanaal wat afgeschermd hoort te zijn, en waar men heel veel over jouw boeking weet. Zelfde als je binnen jouw bank-app een bericht van jouw bank krijgt om gegevens te delen. Daar hecht een normaal mens toch meer waarde aan.

[Reactie gewijzigd door J_van_Ekris op 22 juli 2024 14:22]

GertMenkel

Hack
Beveiliging en antivirus

@J_van_Ekris • 23 oktober 2023 23:07

Wellicht dat jouw hotel "gewoon" gehackt is. Meer dan genoeg wachtwoorden online te vinden. Voor maximaal effect zouden criminelen natuurlijk over langere tijd logins van hotels moeten verzamelen, zodat ze iedereen in één keer kunnen afzetten voordat het in het nieuws komt.

Rapporteren zou kunnen helpen, maar dat voorkomt volgens mij niet zoveel. Ik ben ietwat verbaasd dat die functie er nog niet in zit, maar ik betwijfel of het effectief zou zijn geweest.

Vreemde links blokkeren lijkt me onhandig, je wilt wel dat je hotel naar informatie op hun website kan verwijzen. Je zou daarvoor natuurlijk een whitelist kunnen maken op basis van de URL van het hotel, maar als iemand in de hotelaccounts kan, kan die ook het profiel waarschijnlijk wel aanpassen. Als dat allemaal niet lukt kun je altijd nog gewoon een t.co of een bit.ly uittypen; het klikbaar maken van de link is niet zo belangrijk meer als je mensen kunt overtuigen dat ze hun boeking kwijt zijn geraakt.

Dat het communicatiekanaal afgeschermd is, zegt weinig. Die assumptie is juist waarom mensen vallen voor de "ik ben je dochter en ik heb nu geld nodig" scams op WhatsApp. Aan beide kanten van het gesprek zitten mensen, en waar mensen zitten, kunnen hackers/oplichters zitten.

J_van_Ekris @GertMenkel • 24 oktober 2023 10:25

Rapporteren zou kunnen helpen, maar dat voorkomt volgens mij niet zoveel. Ik ben ietwat verbaasd dat die functie er nog niet in zit, maar ik betwijfel of het effectief zou zijn geweest.

Nou, je kunt andere klanten gaan waarschuwen, en je kunt gericht het wachtwoord van het hotel resetten of dwingen over te stappen op 2FA. Nu is men blind en doet men niets, en is men overgeleverd aan de pro-activiteit van de individuele hotel medewerker. En zolang die niets doet, kan men doorgaan met frauderen.

Vreemde links blokkeren lijkt me onhandig, je wilt wel dat je hotel naar informatie op hun website kan verwijzen. Je zou daarvoor natuurlijk een whitelist kunnen maken op basis van de URL van het hotel, maar als iemand in de hotelaccounts kan, kan die ook het profiel waarschijnlijk wel aanpassen. Als dat allemaal niet lukt kun je altijd nog gewoon een t.co of een bit.ly uittypen; het klikbaar maken van de link is niet zo belangrijk meer als je mensen kunt overtuigen dat ze hun boeking kwijt zijn geraakt.

Security is niet handig. Hackers spelen juist in op de luiheid van mensen die op een link klikken zonder die te controleren. De domeinen die gebruikt worden zijn niet eens zo moeilijk te herkennen: Akamai heeft ze al een maand (!) op hun website staan. Die bekende URL's blacklisten had al ellende voorkomen.

Dat het communicatiekanaal afgeschermd is, zegt weinig. Die assumptie is juist waarom mensen vallen voor de "ik ben je dochter en ik heb nu geld nodig" scams op WhatsApp. Aan beide kanten van het gesprek zitten mensen, en waar mensen zitten, kunnen hackers/oplichters zitten.

Gek genoeg waarschuwt Google al in 95% van de tijd bij vreemde SMSjes dat de afzender verdacht is. Gewoon doordat er mensen wel opletten en het platform faciliteert dat mensen elkaar anoniem kunnen waarschuwen.

Maar in dit geval is een hacker in staat de identiteit van een min-of-meer vertrouwd hotel aan te nemen. De partij die verantwoordelijk is voor de authenticatie van die partij (Booking.com) is hier op zijn zachtst gezegd laks te noemen. Als je ziet dat deze aanvallen al meer dan een maand spelen en gewoon nog steeds door gaan zonder dat gebruikers gewaarschuwd worden dat er gevallen van fraude via dat kanaal bekend zijn (simpele waarschuwing bovenin de communicatie kan helpen) of snelle rapportage van verdachte communicatie melden zodat minder beduchte klanten gewaarschuwd kunnen worden. Of gewoon een hard beleid dat er altijd met 2FA gebruik gemaakt moet worden voor communicatie naar klanten.

Booking.com is een facilitator die vrij royale commissie opstrijkt omdat je als consument zaken wilt doen met een partij die eenvoudig aanspreekbaar is en niet met een hotel 3000 mijl verderop in een land waar je de taal niet van spreekt. Ze kunnen zich niet enerzijds profileren als "betrouwbare partij" die je ertussen schuift als je met onbekende hotels zaken wilt doen, en anderzijds zich onttrekken aan die verantwoordelijke als er daadwerkelijk frauduleuze zaken spelen bij hotelcommunicatie via hun platform. En dat terwijl er herhaald signalen vanuit klanten gegeven worden dat er iets mis is bij een hotel.

Als je als platform waarde wilt houden, dan moeten dit soort dingen gewoon kloppen en met hun tijd meegaan. Ze kunnen zich niet blijven verschuilen dat hun partners hun zaakjes niet op orde hebben als het zo breed over al die hotels heen speelt. Als ik het sentiment hier een beetje proef, en het aantal mensen wat zegt (bijna) slachtoffer te zijn geweest, dan hebben ze een heel groot probleem met een afbrokkelend vertrouwen in dat platform. En vertrouwen gaat te paard en komt te voet: ik moet zeggen dat ik wel 10 keer nadenk voordat ik weer bij ze boek (er zijn meerdere platformen voor hotelboekingen, dus voor hen letterlijk 10 anderen...)

[Reactie gewijzigd door J_van_Ekris op 22 juli 2024 14:22]

Cid Highwind @J_van_Ekris • 24 oktober 2023 00:58

Bij Booking is in principe niks in de chat afgeschermd. Het personeel van Booking, zoals hun support, heeft naar mijn ervaring en Bookings eigen zeggen toegang tot de chats.

Behandel het dus ook identiek aan iedere support chat waarvoor de richtlijnen toch wel algemeen bekend mogen zijn: Verstrek nooit persoonlijke gegevens en creditcardgegevens in een chat. Als hier naar wordt gevraagd is het of incompetentie, of potentieel misbruik.

Je hebt geen idee wie er bij Booking achter het scherm zit, hoe de gebruikersrechten zijn ingedeeld en of er al dan geen externe partij voor wordt ingehuurd in eventuele landen waar iedere vorm van neveninkomsten welkom of noodzakelijk is.

Yannickto @GertMenkel • 24 oktober 2023 11:52

Wat ik dan weer apart vind is dat niemand een scam verwacht omdat het via de app gaat, alsof je alleen over email gescamd kan worden. Tijd voor een internationale cursus scams herkennen voor de hele wereld.

inderdaad, die overtuiging heb/had ik tot op dit moment wel degelijk...
Puur wel om het feit dat misbruiken of inbreuken of opvallende gebeurtenissen denk ik, nu durf ik dit alleen nog maar te denken, sneller ontdekt worden? een app monitorren en beveiligen is of zou toch makkelijker moeten zijn dan emailaccounts...

Maar kijk daarin ben ik nu ook te naief om te denken dat alles in de app garant staat voor 90% safe

Dit gezegd zijnde, sensibilisering en de mensen waarschuwen, Ik kijk zelden of nooit nog nieuws op de belgische Tv wel te verstaan, Maar zonder dit artikel wist ik dus ook van niks en de gemiddelde vlaming/belg zonder veel amateur of matige kennis van het brede gamma computertechnologie heeft denk ik geen nieuwsbrief van tweakers lopen...

Voorbeeldje: Eerste zero day gebeurtenis, neem nu microsoft/windows, hoe ze dat maanden uit het nieuws laten is al een kunst op zich, maar als ik na een maand na het gebeuren dit bevroeg bij vrienden en familie, hadden die daar nog nooit van gehoord...

Belgisch tv nieuws is gemanipuleerd om onwetendheid van de burger te behouden

Antwerpen die plat lag door een hackaanval, 2 weken later komt de burgemeester Bart De Wever op het nieuws over die hack... 2 weken later... en komt dan af dat er veel persoonsgegevens verworven zijn van iedereen die afkomstig is van Antwerpen...

En dan blijf ik mij afvragen, hoe lang gaat dit land, dat een tikkende tijdbom is op vlak van schuld/corruptie/imago ( brussel hoofdstad van Europa zogezegd) dat Europa hier dringend iets mag gaan doen, nu weer met die schietpartij, staat die al 2 jaar op de lijst en werd de uitlevering gevraagd aan ons land... en dan spreken ze van individuele fouten... ja, het is wel aan de hoge bomen die in belgie geen wind pakken of met een zweefvliegtuigje richting pensioen vliegen zonder problemen, die moeten een collectief creeren en niet de schuld op een ander steken.

Headblast @J_van_Ekris • 24 oktober 2023 13:20

Precies hetzelfde, gelukkig struinde het allemaal bij de creditcard. Had dit al in september trouwens dus dacht initieel dat alleen het hotel gehacked was.

marcelz37 @J_van_Ekris • 20 november 2023 13:56

Het lijkt in alles legitiem. Ik kreeg de e-mail, maar ik heb HANDMATIG de app geopend en daar staat gewoon een bericht van je hotel in de app. Men is dus in staat (direct of indirect) om berichten in dat messagecenter te duwen.

klopt wij hebben precies het zelfde in de app van booking.com , levens echte zie bericht:

We hebben de informatie opnieuw gecontroleerd, ook uw bankkaart wordt geweigerd, er zijn wat misverstanden ontstaan met het personeel, maar nu is alles opgelost, we hebben een gepersonaliseerde link voor je ontvangen om je boeking te voltooien: https://booking.com-regs-valID.com/p/6943568646

Je moet het volgen en je boeking voltooien, maak je geen zorgen, het zal niet lang duren, voltooid je boeking alsjeblieft via de link. Dank je. McDreams Hotel Ingolstadt

je zou er zo intrappen

J_van_Ekris @yobikap • 23 oktober 2023 18:29

Hier nog een overzicht, met ook een iets diepere technische analyse dan de Guardian door een security club (kwam ze al Googlened tegen): https://heimdalsecurity.c...ng-com-phishing-campaign/

Ojjorz

@yobikap • 23 oktober 2023 20:21

Ik kreeg net voor mijn vakantie, twee weken geleden, het bericht IN de booking app. Ik ben best alert maar trapte er daardoor dus ook bijna in. Had de link al geopend en vroeg me toen af "Hoezo moet dit eigenlijk?".

Daarna het hotel een bericht gestuurd en die gaven aan dat het een scam was... Ik weet bijna zeker dat ze bij mijn moeder beet hadden gehad en die heb ik goed opgevoed.

rbr320 @yobikap • 23 oktober 2023 17:04

Maar als men in de app verder gaat is er dan toch niets aan de hand zou je zeggen? Of lekt de app gegevens naar de oplichters?

Oon

@rbr320 • 23 oktober 2023 17:07

Ze misbruiken de berichtenfeature van de app, waarmee ze een link sturen naar een phishingwebsite. Die website ziet er dan weer uit als een legitieme afrekenpagina, maar is dat niet.

Llopigat

Beveiliging en antivirus

@Oon • 23 oktober 2023 18:18

Waarom zou je afrekenen voor iets dat je niet net geboekt hebt?

J_van_Ekris @Llopigat • 23 oktober 2023 18:34

Waarom zou je afrekenen voor iets dat je niet net geboekt hebt?

Je krijgt een slap verhaal over dat ze een probleem met je creditcard hebben geconstateerd of dat ze van boekingssysteem zijn gewisseld en je je creditcard moet bevestigen door een betaling omdat anders je boeking geannuleerd wordt (volgens mij kan dit beide technisch niet aan de hand zijn, want Booking.com doet de CC-transactie, NIET het hotel). Door er tijdsdruk op te zetten worden mensen onrustig en klikken ze toch snel door. Zelf heb ik ook getwijfeld en was ik pas echt gerust gesteld toen ik in het hotel was.

b12e @J_van_Ekris • 23 oktober 2023 18:39

Booking.com doet vaak net niet de betaling, maar deelt de kaartgegevens met het hotel die dan zelf de transactie al dan niet voor aankomst kan uitvoeren.

Hotels zijn een van de sectoren die gewoon met een kaartnummer, vervaldatum en CVV code een betaling "op afstand" mogen uitvoeren in een betaalterminal, zonder tussenkomst van 3DS (want, niet via internet) of een fysieke betaalpas.

[Reactie gewijzigd door b12e op 22 juli 2024 14:22]

J_van_Ekris @b12e • 23 oktober 2023 18:46

Booking.com doet vaak net niet de betaling, maar deelt de kaartgegevens met het hotel die dan zelf de transactie al dan niet voor aankomst kan uitvoeren.

Hotels zijn een van de sectoren die gewoon met een kaartnummer, vervaldatum en CVV code een betaling "op afstand" mogen uitvoeren in een betaalterminal, zonder tussenkomst van 3DS (want, niet via internet) of een fysieke betaalpas.

Maar betekent dit dan ook niet dat de creditcardgegevens van een kaart gewoon op straat komen te liggen door deze hack bij een hotel

? Want bij mij en anderen meldde het e-mailtje gewoon info die normaal alleen het hotel (of Booking.com) zou hebben, zoals het te betalen bedrag....

[Reactie gewijzigd door J_van_Ekris op 22 juli 2024 14:22]

b12e @J_van_Ekris • 23 oktober 2023 18:55

Misschien dat het desbetreffende derdepartijsysteem een soort 2FA voor betaalgegevens heeft, maar niet voor naam/datum/locatie informatie.

J_van_Ekris @b12e • 23 oktober 2023 19:20

Misschien dat het desbetreffende derdepartijsysteem een soort 2FA voor betaalgegevens heeft, maar niet voor naam/datum/locatie informatie.

Dat zou je hopen, maar zoals een collega van me altijd zei "Hoop is uitgestelde teleurstelling"....

Yannickto @J_van_Ekris • 24 oktober 2023 11:59

[...]

Dat zou je hopen, maar zoals een collega van me altijd zei "Hoop is uitgestelde teleurstelling"....

Wauw Quote van mijn leven!!! Dat ik die nog niet eerder gehoord had, dit word mijn to go to zinnetje, hier word heel snel gezegd: "hoop doet leven" kan ik nu zeggen: "ja, voor sommigen wel nog, maar bij mij staat hoop voor uitgestelde teleurstelling" en voorbeelden genoeg om dit kracht bij te zetten, als ik telkens hoop had, dan weer volledig verwoest te worden

Metalfreak @Llopigat • 24 oktober 2023 08:57

Je hebt nog nooit gebruik gemaakt van Booking.com? Het is altijd vrij onduidelijk of je nu al betaald hebt of niet. Bij het ene hotel moet je pas op locatie betalen, bij het andere betaal je meteen, bij weer een andere wordt er alleen een reservering gemaakt. Ik heb volgens mij alle verschillende varianten al eens meegemaakt en op Booking.com wordt dat nooit heel duidelijk weergegeven, dus moet ze maar altijd op hun woord geloven als ze zeggen dat ik ter plekke nog moet afrekenen. Het is nog nooit fout gegaan bij mij uiteindelijk, maar ik kan me goed voorstellen dat mensen hier dan in trappen. Ze kunnen natuurlijk ook heel makkelijk beweren dat er iets fout is gegaan met de betaling en dat je het even opnieuw moet doen.

Llopigat

Beveiliging en antivirus

@Metalfreak • 24 oktober 2023 09:19

Ik gebruik het hooguit 1x per jaar ofzo, en ik heb altijd vooraf moeten betalen, het volledige bedrag.

Misschien komt het doordat ik altijd de "non refundable" optie kies omdat ik toch altijd zo kort van tevoren boek dat ik toch niet meer ga annuleren.

Oon

@Llopigat • 23 oktober 2023 18:19

Vaak een vaak verhaal over extra kosten ofzo, veel mensen moeten tegenwoordig via zo'n website boeken omdat ze op vakantie willen maar zijn niet (goed) op de hoogte van wat de risico's zijn dus die trappen daar dan met twee benen in

laurxp @rbr320 • 23 oktober 2023 17:08

Ze maken gebruik van de chatfunctie in de app om je creditcardgegevens te "bevestigen".

yobikap @rbr320 • 23 oktober 2023 17:06

Ik weet niet hoe de app werkt, het kan net zo goed zijn dat de in de booking.com app een browser view wordt geopend, maar dit is een anname.

Lord Anubis @rbr320 • 24 oktober 2023 07:11

Voor het zelfde geld een medewerker.

GalaXYZe 23 oktober 2023 19:20

Voor de mensen die het interessant vinden, wat meer bronnen over dergelijke praktijken en sommige met meer details:

https://www.akamai.com/bl...ign-targeting-hospitality

https://perception-point....tels-and-travel-agencies/

https://blog.knowbe4.com/...entials-and-then-go-phish

https://www.bnr.nl/nieuws...m-vakantiegangers-de-dupe

[Reactie gewijzigd door GalaXYZe op 22 juli 2024 14:22]

fl1p @GalaXYZe • 23 oktober 2023 19:50

Interessant, inderdaad. Bedankt!

Dennisdn 23 oktober 2023 16:52

Hier maakte Opgelicht een half jaar geleden al een programma over.
https://opgelicht.avrotro...okingcom-let-dan-goed-op/

SebasKolk 23 oktober 2023 16:54

Ik heb ook 2 pogingen binnengekregen van hotels voor me komende vakantie. 'Ze' geven aan dat er iets mis gegaan is met de Credit Card en of je graag binnen 12/24 uur je Credit Card gegevens kan updaten. De link in het bericht verwijst dan naar een http://booking.guest****.bid/**** adres, niet naar booking.com bijvoorbeeld

Roani52 @SebasKolk • 24 oktober 2023 12:47

Zo bij mij ook een paar weken terug, in mijn geval een link naar https://booking.check-your-inform.live/ (inmiddels offline) met een vrij goed nagemaakte booking.com-achtige omgeving. Waar mijn alarmbellen af gingen was dat het binnen 12 uur moest gebeuren of anders "YOUR RESERVATION WILL BE CANCELLED!" Daarnaast hoefde ik ook niet bij booking.com zelf ingelogd te zijn, wat ook weer gek was.

J_van_Ekris 23 oktober 2023 17:04

Ik heb hier vorige week nog last van gehad bij een hotel in Rotterdam, en gemeld bij Booking.com. Nog steeds geen reactie op. Ze zitten of in het interne messaging systeem van Booking.com of ze zijn er op gericht de accounts van hotels te stelen: alles ziet er uit alsof het daadwerkelijk van je hotel komt. Wel is het een stereotype phishing mail: zeggen dat ze van systeem gewisseld zijn en dat je je creditcard gegevens binnen 24 uur via een speciale link (met een tijdelijke betaling) moeten worden bevestigd anders wordt je boeking geannuleerd, etc.

Pas als je gaat bellen naar je hotel kom je er achter dat zij het niet waren. Ze hebben toen een email gestuurd naar alle boekingen. Toen ik vorig weekend er fysiek was had het hotel de hoorn van de haak gegooid omdat ze te vaak gebeld werden (tja, klantgerichtheid kent zijn grenzen blijkbaar...).

Overigens maakt Booking.com het zichzelf niet makkelijk: je moet echt flink zoeken wil je contactinformatie vinden. Een simpele "rapporteer" functie in de communicatie met het hotel ontbreekt volledig...

[Reactie gewijzigd door J_van_Ekris op 22 juli 2024 14:22]

tvtech

@J_van_Ekris • 24 oktober 2023 11:12

de laatste alinea in het item van bnr verklaard het volledig:

'Elke drempel die je oplegt aan je klanten vertaalt zich weer in minder inkomen. Er wordt dus niet altijd naar de zwaarste middelen gegrepen bij de bestrijding van dit soort fraude.' Voor hotelfraude geldt dit nog meer, omdat het vaak de gasten zijn die opdraaien voor de kosten. 'Hoeveel resources Booking.com hierin willen steken is afhankelijk van hoeveel schade Booking.com er zelf van ondervindt.'

Booking gaat er dus pas echt wat aan doen als de inkomsten teruglopen

frozen_fire 23 oktober 2023 19:26

Wie graag een meer technische kant van het verhaalt leest: deze werd al eerder door security researchers beschreven hier. Ik vind het wel interessant dat het 1 maand duurt voordat de mainstream media dit oppikt. Het is best wel een serieuze exploit.

ZpAz

23 oktober 2023 16:47

Een paar maand terug melde iemand hier op het forum er ook al last van te hebben.

forumtopic: Phishing via booking.com app

[Roland] @ZpAz • 23 oktober 2023 18:34

Dat was ik. Toen ook gemeld bij booking en blijkbaar hebben ze er nog niets aan gedaan.

Omdat de melding echt van het hotel account van booking.com kwam (gewoon in de app) en na na het boeken van een kamer leek het of het hotel account gehackt was. Als dat niet zo is dan hebben ze toch wel een raar probleem daar, iemand heeft toegang, kan meekijken naar nieuw boekingen en namens hotel een mail sturen. De keren dat ik booking daarna gebruikt heb geen phishing meer gehad.

edit: Had iemand in het forum topic gemeld.
https://www.bnr.nl/nieuws...m-vakantiegangers-de-dupe
Lijkt dus inderdaad dat hotels gehacjt zijn, maar dan hoort booking dit alsnog op te lossen. Hotels verplichten tot 2fa bijvoorbeeld.

[Reactie gewijzigd door [Roland] op 22 juli 2024 14:22]

Strebor

@[Roland] • 24 oktober 2023 09:47

Ik vind de conclusie dat het lek bij booking.com ligt wel erg voorbarig. Ik zal je uitleggen waarom:

Ik beheer voor een aantal hotels hun boekingsysteemen. De meeste hebben een property management system (PMS). Die beheert alles: Kamers, personeel, beschikbaarheid, tarieven en boekingen. Zo'n PMS koppel je direct of via een channel manager (bijvoorbeeld Cubilis of OpenGDS) aan diverse boekingssites, zoals bijvoorbeeld Booking.com of AirBNB. Booking.com bijvoorbeeld weet dan via jouw systeem live wat de beschikbaarheid en tarieven zijn in jouw hotel en de klant kan via Booking.com boeken bij je. Boekingen via booking.com worden direct (of via en channel manager) in het PMS van het hotel gezet. Je zou dus deze keten kunnen hebben: Booking.com > Channel Manager > PMS. In heel de keten worden de gegevens van de boeker doorgegeven. Onder andere: Naam, adres, email, datum van boeking, kamertype, betaalmethode, prijs, etc. Dus als de channel manager lek is, of het PMS, dan kan een hacker zo ook aan ALLE gegevens van de boekingen komen en alsnog een phishing mail in een neppe booking.com template uitsturen aan iedereen van wie hij de boekingen heeft weten te onderscheppen.

Ik zou dus wel eens klinkend bewijs willen zien dat Booking.com gehackt is.

[Roland] @Strebor • 24 oktober 2023 16:08

Het phishing bericht (geen emal) wordt ontvangen in de booking.com app. De link in dat bericht gaat naar een nep template. Ik beweer ook helemaal niet dat booking.com gehackt is, waarschijnlijk de hotels (zie mijn edit van gisteren) , ik vind dit wel een probleem van booking.com en zou moeten hun systemen beter beveiligen tegen gehackte hotel systemen.

Kenhas @[Roland] • 24 oktober 2023 08:19

Het lijkt toch een redelijk groot probleem te zijn, hoewel Booking dat zelf tegenspreekt

Er zouden verschillende partners door phishingaanvallen getroffen zijn en die partijen zouden dan weer toegang hebben kunnen krijgen tot de systemen van de boekingwebsite.

Als puntje bij paaltje komt, is er uiteindelijk wel degelijk sprake van een inbreuk bij Booking zelf, al is het via een omweg.
Ik weet niet in hoeverre 2fa zoiets zou verhelpen. Er zijn altijd mensen die in een 2fa app op goedkeuren klikken. Tot nu toe vind ik het Microsoft systeem (iedere app zal ondertussen wel zoiets kunnen maar ik werk zelf het meest met Microsoft) beetje het best: de login pagina toont een cijfer die je moet over typen in de authenticatie app.
En dan zijn er nog mensen die zich laten vangen. Tijdens een phishing campagne werd een goedkeuringsverzoek gestuurd maar op hetzelfde moment ook een simpele sms met "deze sms is afkomstig van <naam bedrijf>. Gelieve volgende cijfers in te geven in Microsoft Authenticator" en nog waren er mensen die daarin liepen.

Dus hoe je phishing bij aangesloten hotels kunt voorkomen, zie ik toch niet direct

mbb @Kenhas • 24 oktober 2023 11:30

En dan zijn er nog mensen die zich laten vangen .. "deze sms is afkomstig van <naam bedrijf>. Gelieve volgende cijfers in te geven in Microsoft Authenticator

Veel (kleinere?) bedrijven werken tegenwoordig met 3rd party voor hun incasseringen, of horen bij een holding. Dus zo raar is het niet om een heel andere bedrijfsnaam voor een afboeking te zien staan.

Kenhas @mbb • 24 oktober 2023 11:49

En waarom zou een derde partij moeten inloggen met iemand anders zijn account?

Ik heb het over het inloggen op een account met 2fa via (in dit geval) Microsoft Authenticator. Er kan nooit een reden zijn dat een derde partij moet inloggen met jouw account.
Niet met afboekingen of zo te maken.

mbb @Kenhas • 24 oktober 2023 13:56

Om je credit card afschrijving door Booking.com goed te keuren?
Daar gaat het artikel toch over, dat klanten die gephished worden door het Booking.com hun credit card gegevens in de site (denken te) updaten, en er dan geld afgeschreven wordt?
Dan is 2fa op de creditcard afschrijving in het algemeen wel een verbetering tegen het plunderen van de rekening. Maar in dit specifieke geval waar ze een 'verificatie' afboeking verwachten gaat het waarschijnlijk alsnog mis, zelfs als ze zien dat de afschrijving niet overeen komt met de hotel naam.

Kenhas @mbb • 24 oktober 2023 15:30

Ik reageerd op iemand die het had over 2fa bij hotels, niet over betalingen.
Als je een betaalverzoek krijgt via de app van Booking en je hebt er vertrouwen in (net omdat het via Booking komt), gaat 2fa je niet tegenhouden om een betaling uit te voeren. 2fa bij betalingen lopen, voor zover ik weet, via je bank of kredietkaartmaatschappij, niet via booking of het hotel

jczuidervaart @ZpAz • 23 oktober 2023 17:19

Ik heb er zelf ook meerdere gehad. In de booking app zelf. Mijn vrouw ook bij een andere boeking.
Dit speelde zich al in juli af en vorige maand. Dit probleem speelt dus al veel langer.

EDIT

23 oktober 2023 17:04

Is werkelijk booking.com gehackt of is dit meer een issue dat de accounts van de hotels zelf gehackt/gephished zijn? Mij lijkt het laatste logischer, anders zou ik verwachten dat het veel wijder verspreid zou zijn.
Uiteraard n=1, maar ik boek zelf de meeste hotels via booking.com (tenzij het via de eigen site goedkoper is, wat eigenlijk zelden het geval is) en heb dit nog nooit gezien. Als het booking.com systeem zelf gehackt is, zou ik verwachten dat ik toch bij tenminste één van de hotelbezoeken zoiets wel gezien zou moeten hebben.

[Reactie gewijzigd door EDIT op 22 juli 2024 14:22]

J_van_Ekris @EDIT • 23 oktober 2023 17:23

Het zou inderdaad wel eens kunnen dat de accounts van verschillende hotels gehackt zijn. Nadeel is dat Booking.com het verre van eenvoudig maakt om verdachte e-mailtjes of gehackte hotels te rapporteren. Als platform heb je volgens mij wel een verantwoordelijkheid om dat te doen, al is het maar om het vertrouwen in je platform te behouden.

Heel bot gezegd, dit levert gewoon stress op waar je niet op zit te wachten. Je boekt niet voor niets een hotel, en er ter plekke achter komen dat je reservering daadwerkelijk geannuleerd is, is iets wat ik niemand kan aanraden (zelf een keer meegemaakt, en geen enkel hotel in de weide omtrek kunnen vinden).

EDIT

@J_van_Ekris • 23 oktober 2023 17:30

Om die laatste reden probeer ik ook altijd (als het hotel het aanbiedt) al meteen met iDeal of creditcard (als het hotel geen iDealbetaling ondersteunt) via booking.com te betalen. Ik heb dan gewoon een betaalbewijs en van mij mag het hotel het dan verder met booking.com gaan uitvechten als het hotel meent dat het nog niet betaald is.
Ik heb tot nu toe slechts één keer gehad dat een hotel probeerde om mij ter plekke nogmaals te laten betalen (en dat was toen dat betaalsysteem net pas geïntroduceerd was, dus waarschijnlijk was het onbekendheid), maar na het betaalbewijs onder de neus te hebben gehouden hoefde het opeens niet meer.

Overigens ben ik het zeker eens dat booking.com meer actie ondernemen op dit soort dingen. Al is het maar een eenvoudige 'report' knop.

[Reactie gewijzigd door EDIT op 22 juli 2024 14:22]

J_van_Ekris @EDIT • 23 oktober 2023 17:40

Om die laatste reden probeer ik ook altijd (als het hotel het aanbiedt) al meteen met iDeal of creditcard (als het hotel geen iDealbetaling ondersteunt) via booking.com te betalen. Ik heb dan gewoon een betaalbewijs en van mij mag het hotel het dan verder met booking.com gaan uitvechten als het hotel meent dat het nog niet betaald is.

Ik doe dat ook standaard, maar het is geen garantie op een kamer vrees ik.

Ik heb het een keer meegemaakt met een zakenreis naar Tel Aviv waar we drie kamers hadden geboekt via Expedia. Het was al het slechtste hotel in de omgeving omdat zij als enige nog kamers hadden (reviews spraken letterlijk over kakkerlakken). Maar de klus liet niet toe dat we schoven. In de vlucht heeft het hotel gewoon de reservering geannuleerd en beter betalende gasten in de kamers gezet. Bij aankomst vertelde de nachtportier doodleuk dat de reservering geannuleerd was en we geen poot hadden om op te staan. We hebben geweigerd te vertrekken zonder alternatieve kamer. We zijn in een nabij gelegen hostel geindigd, met drie man op een kamer die ze aan het opknappen waren (zonder airco of electriciteit, midden in de zomer). Ja, mijn werkgever kreeg zijn geld terug....

[Reactie gewijzigd door J_van_Ekris op 22 juli 2024 14:22]

EDIT

@J_van_Ekris • 23 oktober 2023 17:44

Ik bedoelde het ook meer als discussie over wel/niet betaald. Het soort situatie waarin het hotel volledig de boeking annuleert is wel mooi klote. Afkloppen, maar die heb ik gelukkig nog niet gehad 😅

Dennisdn @J_van_Ekris • 23 oktober 2023 17:54

Dat laatste herken ik zoooo erg… bij zakelijke reizen met gedoe krijgt de zaak z’n geld wel terug, maar wij werknemers niets en hebben wel de lasten

Llopigat

Beveiliging en antivirus

@Dennisdn • 23 oktober 2023 18:41

Nouja aan de andere kant kan je wel de airmiles e.d. houden, en de voordeeltjes van de loyalty programma's van hotels en vliegmaatschappijen enzo. Het is niet dat je helemaal niks krijgt.

En het ligt ook aan je zaak hoe die om zijn werknemers geeft. Die van ons heeft een hele goede verzekering van International SOS voor medische- en reisproblemen. Als zoiets gebeurt sturen ze gewoon een taxi en die brengt je naar een hotel, hoe duur ook. Heb een keer gehad dat een collega viel in parijs en die werd binnen 10 minuten opgehaald en bij het (prive) ziekenhuis stond de dokter al op hem te wachten.

[Reactie gewijzigd door Llopigat op 22 juli 2024 14:22]

Dennisdn @Llopigat • 23 oktober 2023 19:51

Ik doel meer op zaken als service. Als een hotel bijvoorbeeld heeft bedacht midden in de nacht verbouwingen te plegen dien je een klacht in. Leuk dat de zaak z'n geld terug krijgt, maar wij hebben een nacht niet geslapen. En loyaltyprogrammas als airmiles zijn in de praktijk ook maar een wassen neus hoor. Leuk dat ik met mijn ledenkaart gratis een lounge in mag op Schiphol, maar die mocht ik tóch al in met mijn ticket. Maar voor de zekerheid: ik klaag verder niet hoor, ik herkende alleen heel erg wat de poster vertelde

mugenmarco @J_van_Ekris • 26 oktober 2023 10:41

Volgens mij is booking.com zelf gewoon gehackt, iemand had via mijn booking.com account ineens een reservering gedaan bij een hotel in India, ik heb nog nooit van dat hotel gehoord.

Llopigat

Beveiliging en antivirus

@EDIT • 23 oktober 2023 18:36

Dan nog is het gewoon het probleem van booking zelf. Hun platform moet er voor zorgen dat er niet gescamd wordt. Dat is juist de reden dat men booking.com gebruikt, een vertrouwde partij er tussenin.

MeNot2 @EDIT • 23 oktober 2023 20:35

Volgens dit BNR nieuwsartikel van inmiddels een maand geleden het 2e:

De hackers gaan als volgt te werkt: hotels krijgen een mailtje waarin ze verleid worden een bestand met malware te downloaden. Hiermee wordt het Booking-account van het hotel overgenomen. Vervolgens sturen de hackers via het berichtensysteem van Booking.com aan toekomstige gasten van het hotel een mail over een probleem met hun creditcard. Als er niet opnieuw betaald wordt, wordt de reservering geannuleerd. Omdat de mailtjes worden verstuurd uit naam van het hotel en de hackers de vakantiedata van hun slachtoffers kennen, trappen relatief veel vakantiegangers in de val.

gerwim 23 oktober 2023 16:55

Ik heb een jaar geleden een vreemd geval had dat er via mijn account een hotel geboekt was in China. Het wachtwoord dat ik voor Booking gebruik is een volledig willekeurig en uniek voor Booking. Heb uiteindelijk via de website zelf de reservering kunnen annuleren. Booking kon mij zelf niet vertellen wie of wat de reservering had geplaatst. Erg vaag verhaal en dit geeft mij totaal geen vertrouwen in hun systeem.

hbt68 @gerwim • 23 oktober 2023 17:13

mijn account opgezegd nadat ik ook 50 reserveringen kreeg om te bevestigen, india en verder azie,
Wel een uurtje met service desk gezeten alles te cancelen dus ze weten ervan

[Reactie gewijzigd door hbt68 op 22 juli 2024 14:22]

timoootjex @gerwim • 23 oktober 2023 17:03

Ik mijd booking nu ook. Ik kijk nu meestal op booking voor een hotel en kijk welke hotels je rechtstreeks op kan boeken. En dan ga ik via directe lijn zonder via booking te boeken.

Is voor mij veiliger maar ook overzichtelijk genoeg.

Skynett @timoootjex • 23 oktober 2023 17:20

Idd beste om direct zelf te boeken bij het hotel zelf. Zeker als het niet van een grote keten is, zal de eigenaar dat zeker waarderen. Marge van Booking is toch niet niks.

Tintel @timoootjex • 23 oktober 2023 17:29

En heeft ook als voordeel dat je de booking nog kan muteren. Anders weigert het hotel dat en verwijst je door naar booking.com.

Dit is het zoveelste bedrijf die in eerste instantie een gemaksdienst levert over de ruggen van de leveranciers en uiteindelijk beperkingen voor de klant oplevert.

Ze bezitten eigenlijk niets, lopen derhalve veel minder risico en vreten de marge op van de leveranciers maar oh wee als service wordt verwacht.

Dextro75 23 oktober 2023 17:25

Och ja... Booking.com zoekt het natuurlijk zelf op.
Zo plaatst ChaletPlus ook al hun woningen op Booking.com. Je moet zogenaamd niks op voorhand betalen, maar al snel krijg je via de chatfunctie een betalingsuitnodiging link van ChaletPlus om met CC te betalen op hun site. Ga je daar niet op in, dan wordt de reservatie geannuleerd. Als je contact opneemt met Booking.com dan wordt je nog net niet weggelachen en in ieder geval niet serieus genomen dat het zo wel heel moeilijk wordt om te bepalen wat een "echte" partner is en wat mogelijk oplichting zou zijn.

Als je daarboven op nog weet dat 90% van de hotels gewoon ook betere prijzen geven via hun eigen website (aldanniet na een mail), dan zou ik zou zeggen : "Wegblijven van die handel".

Spijtig maar het is een teken van onze tijd. Websites en diensten die relatief innovatief waren en een oerdegelijke klantenservice boden ( zoals booking.com, maar ook coolblue, etc...) allemaal verwateren tot een boekhoudersfestijn waar de centjes meer tellen dan de klantjes. Probeer maar eens om snel snel een telefoon-nummer te vinden op bvb Booking.com en Coolblue. Je wordt verplicht door ellelange, nutteloze FAQS. Ik vind een antwoord na bvb 23h of zelfs 70h op een vraag via email of whatsapp geen voorbeeld van goede klanten-kwaliteit

4tro @Dextro75 • 23 oktober 2023 22:07

Coolblue.nl - > klantenservice - > contact opnemen - > Noem je soort vraag-> negeer de gegeven tips - > zeg nee ik wil contact opnemen en dan krijg je een telefoon nummer

Vrij standaard om de meest standaard vragen eruit te filteren om de helpdesk te ontlasten.

Ook bij helpdesks hebben ze tekort aan personeel.

JurGor @4tro • 24 oktober 2023 10:10

Je bedoelt: Ook bij helpdesks besparen ze op personeel?

4tro @JurGor • 24 oktober 2023 19:35

Uiteraard, in deze tijd is vrijwel elk online bedriif aan het zoeken naar ruimte om te besparen. Maar ook mensen vinden die op de helpdesk kunnen/willen werken is lastig, net zoals in alle lagen van de beroepsbevolking.

En ondertussen verwachten mensen over het algemeen almaar sneller contact en een oplossing voor hun pakketje dat niet vandaag maar de volgende morgen komt en dan graag iemand aan de lijn willen om hun verhaal bij kwijt te kunnen..

Tsja, als het dan ook nog eens niks mag kosten... Dan kom je inderdaad in zo'n situatie...

Voor niks gaat de zon op zeg maar.

Op dit item kan niet meer gereageerd worden.

'Hackers hebben toegang tot systeem Booking.com en sturen zo phishing-e-mails'

Lees meer

Reacties (133)

Sorteer op:

Weergave: