Booking stelt tot negen keer meer oplichtingen vast in laatste anderhalf jaar

Booking.com heeft in de laatste 18 maanden tussen 500 en 900 procent meer gevallen van oplichting gedetecteerd. Volgens de reisboekingssite is deze toename vooral te wijten aan artificiële intelligentie, waardoor hackers eenvoudig documenten kunnen namaken.

Volgens chief information security officer Marnie Wilking heeft het bedrijf niet lang na de release van ChatGPT vooral een duidelijke toename van phishing vastgesteld, aldus de BBC. Dankzij generatieve-AI-tools zijn malafide partijen beter dan ooit in staat om realistisch ogende mails te maken. Dit zorgt ervoor dat klanten sneller op een schadelijke link klikken of gevoelige informatie doorgeven aan hackers.

Het gebruik van AI maakt het ook moeilijker om deze pogingen tot oplichting te detecteren. In tegenstelling tot bestaande methodes kan AI namelijk realistische afbeeldingen genereren, alsook correcte tekst in verschillende talen. Wilking raadt zowel hotels als reizigers aan om tweefactorauthenticatie in te schakelen om veilig te blijven.

De opkomst van AI heeft ook een positieve kant: dankzij AI-modellen is Booking in staat om zeer snel nepadvertenties te blokkeren. Dit moet ervoor zorgen dat klanten ze nooit te zien krijgen of worden tegengehouden wanneer ze een boeking willen plaatsen.

Reacties (63)

wiseger 21 juni 2024 18:27

Het probleem bij booking.com is de prominente rol die email speelt in hun processen. Hotels zijn partners en mailen via booking.com rechtstreeks naar de klant.

De klant verwacht emailtjes en vind het niet raar om na een emailtjes acties te initieren.

Daar zit de echte zwakte.

Booking.com zou moeten stoppen met emails en de app moeten gebruiken om met haar klanten te communiceren. Zoals de Nederlandse banken al enige tijd doen.

jjoeyka @wiseger • 21 juni 2024 19:21

Dit zou de veelvoorkomende phishingpogingen vanuit gecompromitteerde Booking-accounts van hoteleigenaren niet tegenhouden. Onlangs heb ik zo nog phishingberichten ontvangen die gewoon via de officiële app van Booking binnenkwamen. Ze werden verstuurd vanuit het hotel waarbij ik boekte.

Single_Core @jjoeyka • 22 juni 2024 09:04

gecompromitteerde Booking-accounts is wat mij betreft bijna volledig booking hun schuld. Verplicht 2FA. En voeg het concept van trusted-locations toe waarna je nog steeds moet uw 2FA ingeven bij inloggen.

Voila gecompromitteerde accounts zijn niet meer mogelijk, of slechts in zeer uitzonderlijke gevallen.

wiseger @jjoeyka • 22 juni 2024 09:28

Jawel. Het probleem is niet de gecompromiteerde email, het probleem is de link in de email waar toe de gebruiker wordt verleidt om op te klikken.

Dat probleem heb je niet in inbox berichten in de app omdat je dan alle acties vanuit de app doet. In dergelijke berichten staan nooit links. En de app kan ze eenvoudig blokkeren indien ze er ineens wel in staan.

jjoeyka @wiseger • 24 juni 2024 09:55

Het berichtensysteem van de Booking app laat wel degelijk links toe. In dit geval werd er gebruik gemaakt van de ingebakken redirect van Google maps, die op zijn beurt weer doorverwijst naar een URL-shortener:https://i.imgur.com/ooOajOc.png

Een beetje Tweaker ziet direct dat dit om een scam gaat maar juist omdat het via de offciële app binnenkwam hadden ze me voor heel eventjes te pakken.

Booking kan op hotelbasis restricties opleggen voor links maar daarvoor moet Booking wel zelf in actie schieten.

Morress @wiseger • 22 juni 2024 00:16

Ik heb dus 0 behoefte aan de zoveelste app. Maak een goede website,maar hou op met al die apps die alles willen weten.

wiseger @Morress • 22 juni 2024 09:31

De website is niet het probleem. Een spoofing email die gebruikers verleid om op een link te klikken is het probleem.

Als gebruikers normaliter al legetieme emails met links ontvangt dan is de gebruiker veel minder alert wanneer het ineens een spoofing email betreft.

sympa @wiseger • 21 juni 2024 19:03

Tja, ik wil dan weer geen app, omdat ik die eerst moet reviewen of ie geen ellende bevat. Een webbrowser houdt de dataverzamelaars van zo'n bedrijf meestal een stuk beperkter in hun doen.

magician2000 @wiseger • 21 juni 2024 23:17

Ja, verstandig. Vooral ook omdat uiteraard iedereen die app gebruikt c.q. wil gebruiken. Misschien verstandiger dat we stoppen met het gebruiken van dit soort websites en rechtstreeks gaan reserveren?

bytemaster460 @magician2000 • 22 juni 2024 10:50

Ik moet er toch niet aan denken om zelf weer helemaal te moeten gaan uitpluizen welke hotels waar liggen en dan met de individuele hotels te moeten gaan communiceren over prijzen en voorwaarden. Hotels zelf zitten daar ook niet op te wachten.

magician2000 @bytemaster460 • 22 juni 2024 21:09

Dan zullen dit soort bedrijven enkel maar machtiger worden totdat we echt geen andere keuze meer hebben. Niet alleen voor dit geval, maar op vele gebieden.

Wil je nu echt leven in een wereld waar je zelf niks meer te vertellen hebt over je privacy en de manier waarop je iets aankoopt (diensten, producten, enz.)?

bytemaster460 @magician2000 • 22 juni 2024 21:25

Het ging hier toch om fraude via gecompromitteerde accounts en niet om de vraag of je nog iets te vertellen over de manier hoe je iets aankoopt?
De meeste mensen die rechtstreeks bij een hotel boeken gebruiken de grote boekingssites wel als zoekmachine. Die moet je dan ook niet meer gebruiken uiteraard. En Google maps ook niet.

magician2000 @bytemaster460 • 22 juni 2024 21:38

Daar ging het in de basis wel om, maar het één gaat niet zonder het ander. Al die veel te grote bedrijven met veel te veel informatie is het probleem. Dat veel mensen daaraan mee blijven werken is onderdeel van dat probleem.

gron74 @wiseger • 22 juni 2024 09:56

Booking.com heeft nog wel andere problemen. Volgens de consumentenbond misleiden ze nog steeds klanten. https://www.consument: https://www.consumentenbo...jft-consumenten-misleiden

Veel hotels geven korting of iets extra's als je direct via hun site boekt. Ik kijk daarom altijd ook op de site van het hotel.

bytemaster460 @gron74 • 22 juni 2024 10:54

Eerlijk gezegd vind ik dat soort dingen spijkers op laag water van de consumentenbond. Er bestaat ook nog zoiets als eigen verantwoordelijkheid. Die meldingen over schaarste kun je natuurlijk ook gewoon naast je neerleggen. Misleiding is wat mij betreft als je iets koopt en het voldoet niet aan de belofte. De hotelkamer ziet er niet anders uit door een uiting over schaarste.

gron74 @bytemaster460 • 28 juni 2024 11:18

Er is een wet die misleiding beschrijft: https://www.rijksoverheid...n%20misleidende%20verkoop.

Een eigen verantwoordelijkheid is prima als het spel eerlijk wordt gespeeld. Mijn vrouw werd op een beurs onder druk gezet en zwichtte voor een energiecontract. Ik heb dat rechtgezet. Als je leest: nog 1 kamer beschikbaar dan krijg je het gevoel dat je snel moet acteren. Als die ene kamer waar is dan is het prima, maar als het niet waar is (en de consumentenbond heeft dat laatste aangetoond) dan ben je boel aan het bedotten.

Jij en ik zullen er ongevoelig voor zijn, maar er zijn voldoende mensen die dat niet zijn.

bytemaster460 @gron74 • 28 juni 2024 11:26

Dat snap ik, maar onder druk zetten op een beurs vind ik nog altijd wat anders dan “nog maar één kamer voor deze prijs op deze site”. Bij dat energiecontract word je één mogelijkheid geboden in de vorm “take it of leave it”. Bij Booking worden je nog tientallen andere alternatieven geboden die je ook kan kiezen.
Daarnaast zeggen ze niet meer “laatste kamer” maar “laatste kamer op deze site tegen deze voorwaarden”. Hoe ver moet je op een gegeven moment nog gaan?

Xerpan @wiseger • 22 juni 2024 12:32

Probleem met apps is dat die op een gegeven moment geen lagere Android of ios meer ondersteunen en je dus 'verplicht' een nieuwe telefoon moet kopen. Zo kan de app van Airbnb niet meer op een iphone 7 worden gebruikt. Ik heb geen klachten over mijn oude iphone. Die doet braaf zijn werk. Maar ik heb wel problemen met apps die 'de geest' geven. Doe mij toch maar email. Dan kan ik er met andere apparaten ook bij.

david-v

21 juni 2024 18:06

Misschien moeten we gewoon stoppen met links in mails op te nemen en mensen zelf naar de app of website te laten gaan. Ik snap dat het minder vriendelijk is maar links in mails zijn echt DE ingang voor criminelen, of het nou om oplichting of ransomware gaat.

bytemaster460 @david-v • 21 juni 2024 18:41

Ik denk dat je de vaardigheid van veel mensen daarmee overschat. Veel mensen doen alles met links en weten niet wat een URL is. Ze gebruiken de zoekbalk (en dus meestal standaard Google) om overal te komen. Mensen denken dat sites "in Google" staan en begrijpen het concept van een zoekmachine niet.

xtlauke @bytemaster460 • 21 juni 2024 18:53

Maar het is toch ook niet nodig om termen als url te gebruiken? Je hoeft alleen maar te zeggen: ga naar de website voor meer informatie. Een hoop organisaties doen dit zo al (diverse overheden en banken o.a.).

En volgens mij moet het ook wel kunnen om erbij te zeggen: uit veiligheidsoverwegingen delen wij nooit links in email berichten. Dan snappen een hoop gebruikers vast wel waarom en voed je ze nog een beetje op, misschien niet iedereen direct, maar oke. Volgens mij doen een hoop organisaties dit ook al zo.

En als dit dan een beetje gemeengoed wordt...

bytemaster460 @xtlauke • 21 juni 2024 18:58

Je hoeft de term ook niet te gebruiken maar als je al zegt dat je naar de site moet gaan, snappen veel mensen het al niet. Die gaan dan gewoon naar Google en typen daar de naam van het bedrijf in terwijl je via een link op een specifieke pagina kan uitkomen.

xtlauke @bytemaster460 • 21 juni 2024 19:17

Ja, inderdaad. Ik ken ook mensen in mijn omgeving die dit doen :-). Je zei het al in vorige bericht en ik ging daar nog niet dieper op in. Ik vind het zelf een beetje irritant, maar dat terzijde.

Mijn vraag is, in de context van veiligheid en @david-v 's reactie, wat is daar mis mee? Want met die zoekengine kom je dus zeer waarschijnlijk bij de juiste veilige site uit, van bijv. belastingdienst.nl of ing.nl, of in dit geval een booking.com en daarmee is het probleem van de malicious link alsnog opgelost, toch?

[Reactie gewijzigd door xtlauke op 22 juli 2024 20:57]

david-v

@xtlauke • 21 juni 2024 21:20

Dat is precies wat ik wilde reageren. Liever even via Google zoeken en dan kom je er ook. Links in mails is echt een groot probleem. Zelfs als je wat meer ervaring hebt kan het al mis gaan. Voor de oudere generatie is het al helemaal een drama wat dat betreft.

david-v

@bytemaster460 • 21 juni 2024 18:54

Als je in staat bent om via Booking iets te regelen dan denk ik dat je ook in staat moet zijn om de website zelfstandig te bezoeken. Mensen die de app hebben kunnen dan wel een pushnotificatie ontvangen, geen mail voor nodig.

Juist omdat mensen niet weten wat ze doen en maar overal op klikken moet je ze in bescherming nemen

bytemaster460 @david-v • 21 juni 2024 19:01

Nee hoor, als ik kijk naar mijn eigen ouders is dat gewoon een problee. Die hebben heel Europa afgereisd via boekingen bij Booking, maar als ik zeg ga naar de site van de Rabobank gaan ze in Google zoeken. Zeker als ze een specifieke pagina van de site nodig hebben is het al een probleem. De generatie die het gemakklijkst in phsishing trapt is juist de generatie die de structuur van internet niet kent.

Cerberus_tm

@bytemaster460 • 22 juni 2024 07:33

Tja, ik ken de structuur prima, maar ik gebruik Google ook vaak voor dat soort dingen?

Wat mij beschermt is mijn wachtwoordbeheerder: als ik niet op het echte domein van Tweakersben, geeft hij niet aan dat hij wachtwoorden kent voor dat domein. Dus kan ik nooit per ongeluk daar inloggen.

Blokker_1999

Hack
Beveiliging en antivirus

@david-v • 21 juni 2024 19:23

Enkele maanden terug zat ik aan de andere kant van de wereld, de dag voordat ik naar mijn volgende locatie zou vertrekken een bericht van AirBNB in mijn mailbox, zogenaamd van de eigenaar van mijn volgende verblijf dat melde dat door nieuwe wetgeving mijn reservatie zou geannuleerd worden en de vraag om op een link te klikken om dit recht te zetten.

Ging ik naar de app, zag ik daar hetzelfde bericht staan. Met andere woorden: de phishing was verstuurd via het platform van AirBNB.

MHV642

@Blokker_1999 • 21 juni 2024 19:58

ik heb hetzelfde gehad bij booking.com vorig jaar.
Is wel schrikken. Dus wanneer ben je zeker dat het van het platform komt of niet?

david-v

@Blokker_1999 • 21 juni 2024 21:21

Dat is al helemaal kwalijk en 100% de schuld van airbnb of booking.com lijkt mij

vickypollard @david-v • 21 juni 2024 19:57

Dan gaan mensen googelen en klikken ze op de eerste beste scam-advertentie die zich voordoet als een legitieme website

Roel1966

21 juni 2024 22:02

De opkomst van AI heeft ook een positieve kant: dankzij AI-modellen is Booking in staat om zeer snel nepadvertenties te blokkeren.

Tja, dus uiteindelijk bereik je dan niets met AI want je hebt dan AI nodig om iets te bestrijden wat met AI gegenereerd is dus ben je weer bij punt 0.

GeroldM @Roel1966 • 22 juni 2024 06:38

Je bereikt wel degelijk een boel. De AI om de nepboekingen voor elkaar te krijgen slurpt een boel energie. De AI die de veiligheid "garandeert" zuipt op hun beurt ook een boel energie.

Niemand is er mee opgeschoten, maar er is wel een heleboel extra energie verspild. Die rare kronkel in het menselijk brein, dat krijgen we er maar niet uitgefokt, dus kunnen we stellen dat we (als mensheid) daarom nooit en te nimmer mooie dingen kunnen hebben.

Roel1966

@GeroldM • 22 juni 2024 19:44

Niemand is er mee opgeschoten, maar er is wel een heleboel extra energie verspild.

Moest even 2 keer lezen maar we zitten op 1 lijn en inderdaad word ook vergeten dat er een boel extra energie op deze manier verspild word. Letterlijk energie want voor AI moeten er steeds meer serverparken uit de grond gestampt worden.

Let wel, ik ben op zich niet tegen AI maar wel de manier waarop het word toegepast, en het je gewoonweg ook ongewild door de strot geduwd word.

Llopigat 21 juni 2024 18:04

Dankzij generatieve AI-tools zijn malafide partijen beter dan ooit in staat om realistisch ogende mails te maken.

Ja dit riep ik op het werk ook al een tijd. AI gaat het security werk in een stroomversnelling brengen. Doelgerichte aanvallen die tot nu toe alleen voor hooggewaardeerde doelen de arbeid waard waren, worden nu ook voor simpelere doelen de moeite waard omdat de drempel verlaagd wordt. Het is niet langer alleen 'spray and pray' phishing met wat mailtjes in gebrekkig Nederlands. Het bekende trucje van "als je niet met naam genoemd wordt maar 'geachte klant' dan is het niet echt", zal ook niet meer opgaan.

Wij in de enterprise markt hadden allang al te maken met doelgerichte aanvallen. Waarbij men bijvoorbeeld onze werknemers opzoekt op linkedin en daarna op facebook om hun prive emails en interesses in kaart te brengen en daarop in te spelen. Dat kost een hoop werk maar bij ons is er ook veel te halen. Het lukt meestal niet maarja zoals het gezegde luidt: Zij hoeven maar 1x te slagen om succes te hebben. Wij moeten maar 1x falen om hen succes te laten hebben.

Maar nu met AI wordt dit veel makkelijker te automatiseren, helaas. Nu krijgt iedereen er mee te maken. En de gemiddelde consument heeft geen SOC (Security Operations Center) die alles met argusogen in de gaten houdt. Ik zie ook nog weinig ontwikkelingen op het gebied van consumenten security produkten die hierop inspringen. Dus dat zal een tijdje kaalslag worden zoals je nu ziet die 9x toename.

Ik denk ook dat de aanvallen op 'ons' (de enterprise markt) waar geld geen rol speelt, een stuk intelligenter gaan worden. Minder handmatige aansturing van aanvallen, bots die zelf beslissingen nemen als ze het netwerk binnengedrongen zijn enzo, in plaats van te communiceren met een C&C (Command and Control) hub. Wat namelijk ook weer een flink punt van detectie is. We staan nog maar aan het begin van deze ontwikkelingen. Ik had het eigenlijk vorig jaar al verwacht.

[Reactie gewijzigd door Llopigat op 22 juli 2024 20:57]

wiseger @Llopigat • 21 juni 2024 18:22

Het begint met de eerste stap om emailtjes duidelijk te labellen als extern indien ze van buiten komen.

Verder is het een kwestie van continue de gebruikers opvoeden, voorlichting blijven herhalen en regelmatig test campagnes uitvoeren.

Llopigat @wiseger • 21 juni 2024 18:37

Het begint met de eerste stap om emailtjes duidelijk te labellen als extern indien ze van buiten komen.

Dat is voor enterprise een mitigatie ja. Maar voor consumenten heeft dat geen zin want voor hen komt alles 'van buiten'

Bij ons heeft het trouwens weinig zin omdat die idioten van HR per se van die diensten als mailchimp en newsweaver willen gebruiken die ze allerlei rapportjes geven. Waardoor de helft van de officiele emails toch zo'n grote rode "external" badge krijgt waardoor mensen die gewoon simpelweg leren te negeren.

[Reactie gewijzigd door Llopigat op 22 juli 2024 20:57]

sympa @Llopigat • 21 juni 2024 19:01

En het heeft ook weinig zin als je als dienstverlener ergens werkt. Dan is het allemaal ook gauw extern.
Plus dat je ook op de interne attachments een melding krijgt of je ze wel vertrouwt. Zucht.

Blokker_1999

Hack
Beveiliging en antivirus

@Llopigat • 21 juni 2024 19:20

Voor de consument wordt het belangrijker om naar de afzender te kijken. Niet enkel de naam , maar het email adres. Bijkomend een goede markering of zo een afzender de nodige tests heeft doorstaan (SPF/DKIM/DMARC) of dat het verzendende domein geen beveiliging heeft (shame on them).

Het grotere probleem dat we met gebruikers merken is niet zozeer dat ze het negeren trouwens, maar dat ze klagen over het feit dat ze in de preview van het bericht nu niet langer de eerste woorden in de mail zien staan, maar altijd de eerste woorden van de banner lezen.

Llopigat @Blokker_1999 • 21 juni 2024 19:25

Ja outlook heeft daar nu eindelijk een optie voor, dat je die banner niet in de tekst hoeft te zetten maar hij gewoon deel van de UI uit kan maken. Helaas gebruiken wij die nog niet want dat werkt niet op iOS mail 🙄 en daardoor blijven we iedereen maar lastig vallen met die tekst banner.

[Reactie gewijzigd door Llopigat op 22 juli 2024 20:57]

SkyStreaker @Llopigat • 21 juni 2024 19:26

Tot nu toe als een instantie mij "sommeert" of mij aangeeft dat ik als de sodemieter iets moet doen, ga ik altijd naar de site zelf toe door er heen te navigeren en niet via geen enkele link in een mail of wat dan ook.

Dat alleen al is een goede basis veiligheid.

Llopigat @SkyStreaker • 21 juni 2024 19:41

Goed punt ja, doe ik natuurlijk ook (al doorzie ik de meeste phishing dingen sowieso wel en echte instanties sturen sowieso bijna nooit links meer precies om deze reden.

Maar security tips hier op Tweakers delen is niet de oplossing voor het probleem. Hier weten we dat allemaal wel. Het is best lastig om bij de gewone consument uit te komen die nog in het oude 2005 idee van 'enge mailtjes nooit openen' zit.

Ik krijg zelfs nog regelmatig van die onzin ketting mailtjes van "als je een mailtje krijgt van de ING met titel XYZ dan moet je die NIET OPENEN!!1!!11"

Dat terwijl de meeste mensen nu gmail gebruiken in een gesandboxte browser omgeving waar je echt meer moet doen dan een mailtje openen. We zitten niet op Windows XP meer...

Het huidige gevaar zit hem veel meer in nagemaakte sites waar mensen moedwillig hun echte gegevens invullen.

[Reactie gewijzigd door Llopigat op 22 juli 2024 20:57]

SkyStreaker @Llopigat • 21 juni 2024 19:45

Hier weten we dat allemaal wel.

Kansrijke aanname, maar nog steeds een aanname. 100% is een ambitie, een doel om na te streven maar nooit een absoluut. We trappen uiteindelijk overal wel ergens in, online.

jmvdkolk @Llopigat • 21 juni 2024 20:55

Ik zou willen dat echte instanties jouw advies ter harte nemen. Ik ben juist steeds weer verbaasd hoeveel instanties nog wel links in de mail sturen. Zelfs banken en credit card maatschappijen doen dat nog steeds.

cariolive23 21 juni 2024 18:12

In tegenstelling tot bestaande methodes kan AI namelijk realistische afbeeldingen genereren

Je kunt ook gewoon bestaande afbeeldingen nemen, dat kost nog minder moeite. Ieder hotel die niet op Booking staat, is daarvoor geschikt. En dat geldt uiteraard ook voor de teksten, gewoon copy/paste

Avdo 21 juni 2024 18:16

Mijn booking.com account is vorig jaar voor de tweede keer gehackt, geen idee hoe. Opeens kwam er een random boeking via de app binnen.

Ik gebruik geen zwakke wachtwoorden, ben mij bewust van phishing mails, en dit is de enige grote site waar mijn account is gecompromitteerd in de laatste ~10 jaren.

Geëscaleerd met booking.com want ik wilde weten hoe er ingelogd was, aangezien mijn account na de eerste keer gehackt te zijn (jaren geleden), nu gekoppeld was aan mijn Google SSO.

Meerdere keren heb ik ze gebeld en is mij beloofd dat het security team contact met mij zou opnemen. Nooit wat van gehoord, nooit antwoord gekregen op mijn vraag, maar een week later was mijn account opeens gedeactiveerd.

Volgens mij is er iets goed mis in de security van booking.com. Of ze hebben geen idee waar het lek zit, of ze verbergen het bewust.

david-v

@Avdo • 21 juni 2024 18:57

Gebruik je voor elke website een ander wachtwoord? Want als je overal hetzelfde wachtwoord gebruikt dan kun je er van uitgaan dat die gelekt is.

Ik gebruik voor elke website een andere email adres (eigen domein met een catch all naar mijn echte email adres) en daarnaast ook overal en andere wachtwoord. Waar mfa mogelijk is direct aanzetten.

Hou-m-nat @Avdo • 21 juni 2024 19:11

Ik heb dit een aantal jaar geleden ook gehad. Via mail opeens een boeking voor een hotel in Parijs.

Direct contact opgenomen en om uitleg gevraagd. Dat duurde enorm lang (weken) eerdat er eens iemand belde om me proberen uit te leggen wat hier precies aan de hand was. Was een wazig verhaal.

Hierna geen verdere hinder ondervonden, maar echt een prettig gevoel geeft het natuurlijk niet.

kftnl @Avdo • 21 juni 2024 19:14

Booking had juist met SSO een security issue vorig jaar: https://salt.security/blo...t-takeover-on-booking-com

davidvg14 @Avdo • 24 juni 2024 15:38

Ik heb een soortgelijk probleem. Sinds vorige week zijn er meer dan 20 boekingen via mijn account gedaan onder een andere naam en email en met een andere creditcard. Het gekke is dat deze boekingen met gratis annuleringen zijn.De hackers sturen direct een berichtje naar de hotels om ze op een andere mail te benaderen.

Uiteraard al meerdere keren mijn wachtwoord gewijzigd en toch blijft het gebeuren. Ondertussen heb ik ook meerdere keren contact opgenomen met booking en ze doen er niks mee. Heel irritant aangezien ik zelf boekingen heb staan (waarvan sommige al betaald zijn) en ik niet wil dat mijn account wordt gedeactiveerd. Absurd dat de service van zo'n groot bedrijf zo belachelijk slecht is.

Justinn1988 22 juni 2024 00:06

Toevallig vorige week nog iets meegemaakt. We hadden via booking.com in februari/maart (!) iets geboekt voor in juli. We kregen vorige week via de chat van booking.com een bericht dat 'annulering zou verlopen als we niet via een link (naar homes.room-hotels.com) nogmaals even CC-details ingeef' terwijl alles al betaald was. Van die chat kreeg ik ook een email notificatie (lijkt mij gebruikelijk als reminder). Direct de boeking geannuleerd, want dit stonk.

Na vraag ik me af, is dit hele 'hotel' dan een scam/nep? Incl. de honderden positieve reviews (score was 8,9 ofzo)? Waarom maanden wachten met deze fishing? Ook op Tripadvisor overwegend positieve scores behalve de meest recente (vanaf juni) die wel 'scam' roepen.

Maar wat is hier nu dan wel of niet nep? Dit hotel, heeft booking een probleem. Wat is hier aan de hand?

[Reactie gewijzigd door Justinn1988 op 22 juli 2024 20:57]

Anoniem: 57411 @Justinn1988 • 22 juni 2024 04:02

Na vraag ik me af, is dit hele 'hotel' dan een scam/nep? Incl. de honderden positieve reviews (score was 8,9 ofzo)? Waarom maanden wachten met deze fishing? Ook op Tripadvisor overwegend positieve scores behalve de meest recente (vanaf juni) die wel 'scam' roepen.

Maar wat is hier nu dan wel of niet nep? Dit hotel, heeft booking een probleem. Wat is hier aan de hand?

Wat waarschijnlijk gebeurd is, is dat de oplichters toegang hebben gekregen tot de booking account van het hotel. Zoals omschreven in, bijvoorbeeld: https://www.bbc.com/news/technology-67591310

Dit is iets wat overigens ook via andere communicatiekanalen kan gebeuren. Met gevolgen variërend van een goed getimede "help!" bericht van een familielid tot het meer subtielere invoegen van een ander rekeningnummer in een factuur. .

[Reactie gewijzigd door Anoniem: 57411 op 22 juli 2024 20:57]

Anoniem: 57411 22 juni 2024 04:20

Wilking raadt zowel hotels als reizigers aan om tweefactorauthenticatie in te schakelen om veilig te blijven.

Voor een sappige prooi als de account van een hotel is enkel 2fa niet afdoende. De hotels moeten tegenwoordig ook voorbereid zijn op 2fa omzeilingsmethodes en booking moet bij het ontwerp van de systemen er voor zorgen dat de schade bij wederrechtelijke toegang beperkt wordt.

[Reactie gewijzigd door Anoniem: 57411 op 22 juli 2024 20:57]

Puch-Maxi 21 juni 2024 19:02

Booking moet ook de hand in eigen boezem steken en niet alleen AI hier de schuld van geven. Via hun app werd in het verleden ook phishing-berichten verstuurd naar klanten, daar hebben ze zelf invloed en controle over. Zie bron: https://nos.nl/artikel/24...ensysteem-van-booking-com

[Reactie gewijzigd door Puch-Maxi op 22 juli 2024 20:57]

gerwim 21 juni 2024 19:55

Booking.com, pfff. Ze hebben zelf ook echt de beveiliging niet op orde. Een aantal jaar geleden kreeg ik een mail dat ik iets geboekt had in China. Natuurlijk niet op de link geklikt in de mail, maar via de website zelf gecontroleerd en ja hoor, daar stond een reservering.

Niemand kon mij vertellen hoe deze reservering daar kwam, het wachtwoord wat ik voor Booking gebruik is een willekeurig wachtwoord -- dus is niet uit een datalek gestolen.

NorMath @gerwim • 22 juni 2024 02:45

Een familielid heeft hetzelfde voorgehad gisteren, haar moeten helpen.

Ze had nooit gehoord van Booking, ze is 70+ en gebruikt bijna nooit haar smartphone. Ineens kreeg ze gisteren een e-mail van booking (noreply@booking.com), alle hoverlinks zagen er correct uit, maar toch via de site zelf gegaan en mij kunnen registeren met de e-mail waar zij al een mail op kreeg dat ze een reservatie heeft in augustus voor 3 weken in een Duits 5-sterrenhotel, 4400EUR. Na het registreren kwam die reservering gedropt in haar account, naam en e-mail klopte maar de laatste 4 VISA nummers niet.

Hoogstwaarschijnlijk een illegaal of crimineel (terrorist) die ook een VISA heeft kunnen aanmaken met haar naam erop? Staat wel op betalen bij aankomst. Heb zowel Booking als het hotel een mail gestuurd en zal paar dagen wachten, dan annuleer ik de reservatie, misschien laat ik haar zelfs een klacht indienen tegen onbekenden, het zou haar kunnen redden later.

Op dit item kan niet meer gereageerd worden.

Booking stelt tot negen keer meer oplichtingen vast in laatste anderhalf jaar

Lees meer

Reacties (63)

Sorteer op:

Weergave: