“Bijna onmogelijk om echt van vals te onderscheiden.”
Het lijkt erop dat Booking.com niet alleen in de hotelbranche een topbestemming is, maar ook voor creatieve oplichters. Diverse klanten van deze populaire website hebben aan ‘The Guardian-zusterkrant ‘Observer’ gemeld dat ze valse e-mails ontvingen, zogenaamd vanuit het Booking.com-systeem, met gedetailleerde informatie over hun reserveringen. Via een fout linkje krijgen de slachtoffers de mogelijkheid om hun betalingsgegevens in te voeren en zo te voorkomen dat hun boeking in rook opgaat.
De hackers gaan erg inventief te werk. Een constante is een e-mail van een (kennelijk) officieel e-mailaccount van het platform, een WhatsApp-bericht of chatbericht ‘in’ de app. Kort voor of na het online inchecken bij een hotel ontvingen klanten een bevestigingsmail van [email protected] waarin stond dat hun verblijf mogelijk geannuleerd zou worden, tenzij ze via een link hun betalingsgegevens doorgaven. In die mails en berichten sturen ze een link mee die omleidt naar een betaalpagina die er identiek uitziet aan die van Booking.com. Wie zijn gegevens invoert, zal zich niet echt ontspannen op vakantie.
Booking.com ontkent een hack, maar moedigt klanten wel aan contact op te nemen bij verdachte e-mails.
Julia Berridge en Kate Wright zijn twee van de gedupeerden die deze bedrieglijke e-mails ontvingen. Zij doen hun verhaal aan de ‘Observer’. Berridge, nieuwsgierig naar de link, zag haar correcte boekingsgegevens en dacht dat het echt was vanwege de melding in de app. Hoewel ze geen geld verloor, blokkeerde ze uit voorzorg haar kaart. Wright, daarentegen, reageerde op de e-mail en verloor geld toen er twee betalingen werden afgeschreven. De klantenservice van Booking.com beweerde echter dat dit "onmogelijk" was. Pas na contact met het hotel, dat toegaf dat hun systeem was gehackt, kreeg Wright haar geld terug.
Booking.com beweert dat er geen inbreuk is geweest op hun systeem en schuift de hete aardappel door naar de partnerhotels. De hotels ontkennen echter op hun beurt en beweren dat iemand de inloggegevens van Booking.com moet hebben gehad, wat volgens hen dan weer onmogelijk is vanwege de ‘tweefactorauthenticatie’.
Als klanten zich zorgen maken over een betalingsbericht, dan raadt Booking.com hen aan “om het betalingsbeleid van de accommodatie te controleren, dat gemakkelijk te vinden is op de pagina van de accommodatie, of contact op te nemen met onze klantenservice, die 24 uur per dag bereikbaar is”. Het bedrijf zal naar eigen zeggen ook “rechtstreeks contact opnemen met getroffen klanten en hen volledig ondersteunen”.
Of deze phishingmail ook Belgische klanten heeft bereikt, is nog onduidelijk.