Criminelen blijven op Booking.com uit naam van hotels mensen oplichten

Begin dit jaar krijgt Elwin een bericht in de Booking.com-app. Het is afkomstig van het hotel in Japan waar hij deze zomer op vakantie gaat. Zijn reservering wordt binnen 24 uur geannuleerd vanwege een probleem met de betaling, staat er. Daarom moet hij zijn creditcardgegevens bevestigen.

Elwin gebruikt Booking.com al heel lang, vertelt hij aan RTL Nieuws. Hij heeft in de app al vaker berichten gekregen van hotels. "Ook dit bericht kwam via het systeem van Booking. Ik had geboekt bij een buitenlands hotel in een land waar ik nog nooit was geweest. Ik dacht: dit zit wel goed. Ik had zoveel vertrouwen in het platform, dus klikte ik op de link."

Elwin belandt op een betaalpagina waar hij zijn creditcardnummer en bevestigingscode invult. "Toen zag ik een foutmelding: probeer het nog een keer. Weer een error. Dan vragen ze het nog een keer", zegt Elwin. "Toen was het duidelijk: dit klopt niet." Hij laat zijn creditcard nog dezelfde dag blokkeren, maar het lukt de crimineel of criminelen wel om 300 euro af te schrijven.

Booking-accounts van hotels gehackt

Criminelen weten al jarenlang toegang te krijgen tot Booking-accounts van hotels wereldwijd. Zo kunnen ze uit naam van de accommodatie berichten sturen naar gasten. Dat gebeurt via WhatsApp en e-mail, maar ook via het berichtensysteem in de Booking-app.

Daardoor lijkt het bericht 'officieel' en is het lastiger voor gasten om te herkennen dat het om een nepbericht gaat, laat Booking.com in een reactie weten. Omdat de hackers gegevens over de boeking kunnen zien, kunnen ze specifieke informatie over de boeking gebruiken om het bericht overtuigender te maken.

Het is niet duidelijk hoeveel mensen precies de dupe zijn geworden nadat ze uit naam van gehackte accounts worden benaderd. Het bedrijf wil hierover geen cijfers delen. Wel is zeker dat het een wereldwijd probleem is waar Booking.com al jaren mee worstelt: het eerste bekende geval is ruim vijf jaar oud.

Oplichting speelt al jaren

De Fraudehelpdesk heeft tot eind juli van dit jaar 43 meldingen van deze oplichting ontvangen, blijkt uit cijfers die RTL Nieuws opvroeg. Van 14 personen is geld gestolen, gemiddeld bijna 520 euro per persoon. De stichting heeft al meer meldingen binnengekregen, meer gedupeerden geteld en meer schade vastgesteld dan in heel 2023.

RTL Nieuws sprak meerdere mensen die dit jaar berichten van gehackte hotels kregen. In sommige gevallen werden ze voor honderden euro's opgelicht. Meerdere van hen hebben geen melding gemaakt bij de Fraudehelpdesk.

Daardoor is het moeilijk om een beeld van het daadwerkelijke aantal gedupeerden te krijgen. RTL Nieuws komt om die reden graag in contact met gedupeerden, ook als je geen financiële schade hebt geleden. Vul dit formulier in om je ervaringen te delen.

Booking.com doet 'aanzienlijke investeringen' om de impact van deze fraude te beperken, zegt het bedrijf. Booking-accounts zijn verplicht gekoppeld aan een telefoon, waar bij het inloggen een pincode naartoe wordt gestuurd. Dat moet het voor criminelen moeilijker maken om op de accounts in te loggen. Ook monitort het bedrijf chats op verdachte links, zodat die verwijderd kunnen worden.

Toch lukt het Booking niet om de fraudepogingen volledig tegen te gaan. RTL Nieuws sprak gedupeerden die dit jaar berichten ontvingen van gehackte accommodaties uit meerdere landen, zoals België, Duitsland, Oostenrijk en Spanje. "Er is helaas geen wondermiddel om alle internetfraude weg te nemen", zegt Booking.com.

De Fraudehelpdesk en de Consumentenbond waarschuwen daarom: wees alert. "Normaal waarschuwen we voor een bepaalde vorm van fraude, en niet voor een platform. Nu zeggen we expliciet: let op bij Booking.com", zegt Tanya Wijngaarde van de Fraudehelpdesk. "Het is best een bijzondere situatie."

'Bizar goede oplichtingstruc'

Ook cybersecuritybedrijven waarschuwen. "Het is een bizar goed uitgevoerde oplichtingstruc", zegt Zahier Madhar van cybersecuritybedrijf Check Point. "Het is een hele slimme manier om de accounts van Booking-partners aan te vallen en het interne chatsysteem te misbruiken om links door te sturen. Mensen zien die chats als een betrouwbare plek."

Dat vindt ook Dave Maasland van cybersecuritybedrijf ESET. "Dit is een vernuftige manier van oplichting. De gegevens en goede naam van Booking.com worden misbruikt. Dat is een grote speler in de reisbranche, dus het schaadt ook in bredere zin het vertrouwen in online reserveringen."

De cybersecurityspecialisten vinden dat Booking.com actiever moet waarschuwen voor de fraude op het platform. "Ze doen niet per se iets verkeerd", zegt Maasland. "Met hun omvang en kennis kunnen ze wel méér doen. Ik zie niet dat Booking heel actief waarschuwt. Terwijl zij daarmee wel kunnen voorkomen dat mensen schade lijden."

Booking.com vergoedt schade

Booking.com benadrukt in een reactie aan RTL Nieuws dat oplichting in de reisindustrie zich niet beperkt tot zijn platform. "Cybercriminaliteit maakt geen onderscheid. Het is ook een probleem in veel andere sectoren en een weerspiegeling van de realiteit van ons steeds digitaler wordende leven."

"Deze aanvallen worden vaak uitgevoerd door professionele criminelen die op grote schaal en met aanzienlijke middelen opereren. Niet door alleenstaande daders die gewoon geluk proberen te hebben", schrijft het bedrijf. "Het is een wereldwijd probleem en iedereen loopt het risico om mogelijk slachtoffer te worden, dus we moeten allemaal samenwerken om waakzaam te blijven."

"Het is goed om te onthouden dat voor geen enkele legitieme transactie een klant ooit zijn creditcardgegevens telefonisch, per e-mail of sms (inclusief WhatsApp) hoeft te verstrekken." Ook wijst het bedrijf op een pagina met beveiligingstips. 

Mensen die toch gedupeerd raken, kunnen via de site of app van Booking.com contact opnemen met de klantenservice, laat het bedrijf verder weten. Booking.com zegt dat het bedrijf de schade vergoedt als gedupeerden het geld niet via de verstrekker van hun creditcard terugkrijgen.

Toezichthouder kijkt mee

Intussen staat Booking.com vanwege de gehackte accounts onder toezicht van de Autoriteit Persoonsgegevens (AP). Het bedrijf moet elk incident met gehackte hotels melden. De AP zegt dat Booking.com in 2023 alle incidenten die het moest melden, ook daadwerkelijk heeft gemeld.

"Als uit signalen voor ons blijkt dat datalekken onterecht niet bij de AP of aan hotelgasten worden gemeld, dan kan de AP ingrijpen", laat een woordvoerder weten. Ook kijkt de toezichthouder of Booking genoeg doet om te voorkomen dat accounts van hotels worden gehackt.