image

Fraudehelpdesk ontvangt meer meldingen van fraude via Booking.com

woensdag 26 februari 2025, 17:29 door Redactie, 13 reacties

De Fraudehelpdesk heeft vorig jaar meer meldingen van fraude via Booking.com ontvangen dan het jaar daarvoor. In 2023 deden dertig mensen melding, in 2024 waren dat er 101. Ook het schadebedrag nam vorig jaar toe, van gemiddeld 484 euro per slachtoffer in 2023 naar 854 euro in 2024, zo laat de Fraudehelpdesk aan het AD weten. Slachtoffers ontvangen via Booking.com berichten die afkomstig zijn van de gecompromitteerde accounts van hotels en andere verblijven.

Aanvallers weten eerst de de systemen van hotels met malware te infecteren en kunnen zo de inloggegevens voor het account op Booking.com stelen. Vervolgens sturen de aanvallers naar gasten die bij het betreffende hotel hebben geregistreerd een phishingbericht dat de gegevens opnieuw bevestigd moeten worden. De meegestuurde link is een phishingsite die om creditcardgegevens en andere informatie vraagt. Doordat het bericht van het hotel zelf via het Booking.com-platform afkomstig is, kunnen gasten denken dat het om een legitiem bericht gaat. Deze werkwijze vindt al enige tijd plaats.

Een woordvoerder van Booking.com zegt tegenover het AD dat klanten alert moeten zijn op ongewone verzoeken. "Als een nieuwe accommodatie op ons platform een verzoek lijkt te doen om een reservering te bevestigen of een betaling buiten Booking.com uit te voeren, raden we klanten ten zeerste aan geen persoonlijke of financiële gegevens te verstrekken. Klanten moeten in deze situaties onmiddellijk contact opnemen met onze klantenservice, die 24/7 beschikbaar is om verdere ondersteuning te bieden en passende actie te ondernemen."

Reacties (13)
26-02-2025, 21:15 door Erik van Straten
De meegestuurde link is een phishingsite die om creditcardgegevens en andere informatie vraagt. Doordat het bericht van het hotel zelf via het Booking.com-platform afkomstig is, kunnen gasten denken dat het om een legitiem bericht gaat. Deze werkwijze vindt al enige tijd plaats.
Zolang klanten, door een (onterecht) door hen vertrouwde partij (zoals booking.com) naar nepwebsites worden gestuurd, zal deze wijze van oplichten blijven doorgaan.

Want (daar kan booking.com in hun eentje weinig aan doen): er bestaat op dit moment simpelweg géén betrouwbare en reproduceerbare manier om een nepwebsite van een echte te onderscheiden.

D.w.z. tenzij (en/en):

1) De betreffende website een fatsoenlijk authenticerend certificaat (geen DV = Domain Validated) gebruikt,

2) De bezoeker dat certificaat kan bekijken met de gebruikte browser (op smartphones, zeker bij reizende mensen, kan dat in steeds minder gevallen),

3) De bezoeker weet hoe je een certificaat zichtbaar maakt in diens browser en hoe je certificaten moet interpreteren,

4) De bezoeker redelijk zeker weet dat de certificaatuitgever niet onterecht certificaten uitgeeft;

5) De bezoeker redelijk zeker weet dat de certificaatuitgever altijd voldoende nauwkeurig vaststelt wie een certificaataanvrager is én dat die aanvrager geautoriseerd is om een certificaat voor de betreffende domeinnaam aan te vragen.

Los van de onzekerheid over de punten 2 t/m 5 gebruiken de meeste, zo niet alle, nepwebsites DV-certificaten - omdat deze gratis zijn (geen geldspoor), niemand hoeft te authenticeren en het certificaat onmiddellijk wordt afgegeven. Een zo laag mogelijke pakkans voor criminelen dus.

Bijkomend probleem: doordat steeds meer authentieke websites DV-certificaten gebruiken (en, notabene de overheid, het "DV"-protocol (ACME) wil gaan verplichten, zie https://www.security.nl/posting/876900/ACME+voor+uitgifte+tls-certificaten+wordt+mogelijk+verplicht+voor+overheid en mijn reactie(s) daarop), wordt het internet met de dag onveiliger.

Juist omdat klanten een nepwebsite met een DV-certificaat steeds minder betrouwbaar van een echte website kunnen onderscheiden, ligt de primaire verantwoordelijkheid voor het voorkómen van dit soort oplichting m.i. volledig bij booking.com. Dus, als klanten slachtoffer worden van de beschreven wijze van oplichten, dient booking.com hen volledig schadeloos te stellen.
26-02-2025, 21:42 door MathFox
Door Erik van Straten:
Zolang klanten, door een (onterecht) door hen vertrouwde partij (zoals booking.com) naar nepwebsites worden gestuurd, zal deze wijze van oplichten blijven doorgaan.
...
Juist omdat klanten een nepwebsite met een DV-certificaat steeds minder betrouwbaar van een echte website kunnen onderscheiden, ligt de primaire verantwoordelijkheid voor het voorkómen van dit soort oplichting m.i. volledig bij booking.com. Dus, als klanten slachtoffer worden van de beschreven wijze van oplichten, dient booking.com hen volledig schadeloos te stellen.
Mijn vraag is "Wat mogen wij (consumenten) van Booking verwachten in de bestrijding van dit soort fraude?" Als de emails via Booking systemen verstuurd worden, moet het mogelijk zijn om daar aan detectie en eventueel filtering te doen. Het is mij niet duidelijk wat Booking nu precies doet (behalve filteren) om dit probleem te stoppen. Ze melden niet eens dat ze gecorrumpeerde wachtwoorden blokkeren.
https://www.bnnvara.nl/kassa/artikelen/bookingcom-blijft-kampen-met-criminelen-die-reizigers-duperen
26-02-2025, 23:55 door Erik van Straten
@Mathfox, uit de "volledige reactie van Booking.com" in https://www.bnnvara.nl/kassa/artikelen/bookingcom-blijft-kampen-met-criminelen-die-reizigers-duperen (opmaak toegevoegd door mij):
Hoewel we kunnen bevestigen dat onze backend systemen en platform op geen enkele manier zijn gecompromitteerd, zijn we ons er zeer van bewust hoe geavanceerd en overtuigend de tactieken van cybercriminelen zijn geworden en werken we onze verdediging tegen deze aanvallen voortdurend bij. We maken gebruik van de nieuwste AI- en machine learning technieken om verdachte activiteiten te detecteren en te blokkeren, en hebben onze inspanningen om het bewustzijn bij onze klanten en partners te vergroten opgevoerd, zodat ze zichzelf online veilig kunnen houden.
Juridische leugens in een poging om zowel booking.com als haar "partners" vrij te pleiten van verantwoordelijkheid.

Als een crimineel ongeautoriseerd e-mails met valse inhoud vanaf booking.com mailservers kan verzenden, liegt booking.com als zij stelt dat hun "backend systemen en platform op geen enkele manier zijn gecompromitteerd".

De eisen die booking.com stelt aan inloggende partijen zijn, overduidelijk, onvoldoende - en dat is een keuze van booking.com. En dat geldt ongeacht waarop die keuze is gebaseerd (economische motieven en/of andere beweegredenen).
27-02-2025, 09:24 door Anoniem
@Erik van Straten en @Mathfox:

Jullie hebben allebei geen Booking.com zeker?

De Booking.zom app (en site) heeft een interne berichtenmodule voor contact tussen hotel en gast. Vanuit die interne berichtenmodule wordt de phishinglink verzonden. Het heeft helemaal niets met email of certificaten te maken.

Dit kan ontstaan omdat de bookingsmodule van baliecomputers van hotels soms zijn geïnfecteerd. Deze saliecomputers zijn van hotels en niet van Booking.com. Daarom zijn ook de mitigerende maatregelen vanuit Booking.com beperkt (ze kunnen niet een bepaalde anti malware scanner eisen bij apparatuur die niet van hen is). Wat Booking.com wél doet (en de hotels) is vooraf in deze berichtenmodule een duidelijke instructie sturen (dat doen ze) en een getroffene zo snel mogelijk informeren over een gestuurde phishinglink. Vaak zie je als gast die phishinglink niet eens omdat Booking.com hem dan zelf al heeft verwijderd.

Deze scam is overigens alleen mogelijk bij mensen die achteraf[/] betalen. Als je meteen betaald bij boeken heb je hier geen last van.
27-02-2025, 11:06 door Erik van Straten
Door Anonieme Booking Bobo: @Erik van Straten en @Mathfox:

Jullie hebben allebei geen Booking.com zeker?
Wat bedoel je, aandelen? In elk geval ik niet.

Door Anonieme Booking Bobo: De Booking.zom app (en site) heeft een interne berichtenmodule voor contact tussen hotel en gast. Vanuit die interne berichtenmodule wordt de phishinglink verzonden. Het heeft helemaal niets met email of certificaten te maken.
[...]
Deze scam is overigens alleen mogelijk bij [...]
Je kunt ongetwijfeld eindeloos scenario's verzinnen waarbij mensen niet bestolen worden, maar soms regent het wel, sommige mensen gaan wel dood t.g.v. een vliegtuigongeluk en het verschil tussen een dood vogeltje is dat zijn ene pootje even lang is. Het topic hier is het falen van booking.com in de onophoudelijke situaties dat klanten wél worden beroofd.

Door Anonieme Booking Bobo: Dit kan ontstaan omdat de bookingsmodule van baliecomputers van hotels soms zijn geïnfecteerd [...]
JA EN? Lees https://security.nl/posting/877869 nogmaals (of voor de 1 keer).
27-02-2025, 11:38 door MathFox
Door Anonieme Booking Insider: @Erik van Straten en @Mathfox:
Jullie hebben allebei geen Booking.com zeker?
Nee dat domein is in actief gebruik door een hotelbemiddelaar... (En waarom zou ik een nutteloze app installeren?)
Door Anonieme Booking Insider:De Booking.zom app (en site) heeft een interne berichtenmodule voor contact tussen hotel en gast. Vanuit die interne berichtenmodule wordt de phishinglink verzonden. Het heeft helemaal niets met email of certificaten te maken.

Dit kan ontstaan omdat de bookingsmodule van baliecomputers van hotels soms zijn geïnfecteerd. Deze saliecomputers zijn van hotels en niet van Booking.com. Daarom zijn ook de mitigerende maatregelen vanuit Booking.com beperkt.
Mijn vraag is of Booking de (bekend) geïnfecteerde hotelsystemen afsluit en zo nee, waarom niet. Als Booking dit niet doet faciliteert ze met haar passiviteit de fraudeurs.
27-02-2025, 14:05 door Briolet
Door Anoniem: @Erik van Straten en @Mathfox:

Jullie hebben allebei geen Booking.com zeker?

De Booking.zom app (en site) heeft een interne berichtenmodule voor contact tussen hotel en gast. …

Dit kan ontstaan omdat de bookingsmodule van baliecomputers van hotels soms zijn geïnfecteerd. Deze saliecomputers zijn van hotels en niet van Booking.com. Daarom zijn ook de mitigerende maatregelen vanuit Booking.com beperkt (ze kunnen niet een bepaalde anti malware scanner eisen bij apparatuur die niet van hen is).

Hier spreek je jezelf tegen. Als alles via de app van booking loopt, kunnen ze er de volledige controle over hebben. Het zal eerder bewust zijn dat ze in het ontwerp van hun app geen controle ingebouwd hebben.

En natuurlijk kunnen ze wel eisen stellen aan de apparatuur van de hotels. Voldoen de hotels niet aan de eisen, dan kunnen ze gewoon niet aangesloten worden. Blijkbaar neemt booking het niet zo nauw met de veiligheid en laten ze ook hotels toe op hun systeem die geen veiligheidsmaatregelen nemen. (En geen veiligheidslaag in hun app).
27-02-2025, 16:00 door Anoniem
Door Briolet:
Door Anoniem: @Erik van Straten en @Mathfox:

Jullie hebben allebei geen Booking.com zeker?

De Booking.zom app (en site) heeft een interne berichtenmodule voor contact tussen hotel en gast. …

Dit kan ontstaan omdat de bookingsmodule van baliecomputers van hotels soms zijn geïnfecteerd. Deze saliecomputers zijn van hotels en niet van Booking.com. Daarom zijn ook de mitigerende maatregelen vanuit Booking.com beperkt (ze kunnen niet een bepaalde anti malware scanner eisen bij apparatuur die niet van hen is).

Hier spreek je jezelf tegen. Als alles via de app van booking loopt, kunnen ze er de volledige controle over hebben. Het zal eerder bewust zijn dat ze in het ontwerp van hun app geen controle ingebouwd hebben.

En natuurlijk kunnen ze wel eisen stellen aan de apparatuur van de hotels. Voldoen de hotels niet aan de eisen, dan kunnen ze gewoon niet aangesloten worden. Blijkbaar neemt booking het niet zo nauw met de veiligheid en laten ze ook hotels toe op hun systeem die geen veiligheidsmaatregelen nemen. (En geen veiligheidslaag in hun app).

Niet helemaal.

Het is allemaal heel makkelijk roepen en wijzen naar de inkomsten van Booking.com. Maar in de professionaliteit van risicomanagers (wat een aantal mensen op dit forum zijn) kun je niet zomaar iets roepen zonder dat je weet hoe de technische omgeving er eigenlijk uit ziet en hoe de werkprocessen functioneren.

Om vervolgens te roepen dat je eigenlijk toch geen interesse hebt in deze nutteloze app is verre van geloofwaardig of professioneel.
27-02-2025, 17:08 door MathFox
Door Anoniem:
Het is allemaal heel makkelijk roepen en wijzen naar de inkomsten van Booking.com. Maar in de professionaliteit van risicomanagers (wat een aantal mensen op dit forum zijn) kun je niet zomaar iets roepen zonder dat je weet hoe de technische omgeving er eigenlijk uit ziet en hoe de werkprocessen functioneren.
Er is in deze thread niets over de inkomsten van Booking geroepen, maar wel gevraagd of Booking meer aan preventie kan doen. Het is goed dat Booking misbruik van haar berichtensysteem detecteert, maar mijn vraag of Booking de (voor mij) voor de hand liggende vervolgstap neemt om gecorrumpeerde computers af te sluiten van het berichtensysteem is niet beantwoord. Een van de veiligheidsmotto's is "Voorkomen is beter dan genezen."
Om vervolgens te roepen dat je eigenlijk toch geen interesse hebt in deze nutteloze app is verre van geloofwaardig of professioneel.
Ik hou van kamperen en zeilen, dus wat heb ik aan een hotelapp? (Dan praat nog niet over potentiële privacyschade.)
27-02-2025, 17:37 door Anoniem
Door MathFox: mijn vraag of Booking de (voor mij) voor de hand liggende vervolgstap neemt om gecorrumpeerde computers af te sluiten van het berichtensysteem is niet beantwoord.

Nee, dat gaat niet, het kan immers ook jouw of mijn mobiel zijn. Hoe zou jij het vinden dat je bv door je zorgverzekeraar wordt buitengesloten van hun diensten omdat ze vinden dat jij malware hebt?
27-02-2025, 23:32 door MathFox
Door Anoniem:
Door MathFox: mijn vraag of Booking de (voor mij) voor de hand liggende vervolgstap neemt om gecorrumpeerde computers af te sluiten van het berichtensysteem is niet beantwoord.
Nee, dat gaat niet, het kan immers ook jouw of mijn mobiel zijn. Hoe zou jij het vinden dat je bv door je zorgverzekeraar wordt buitengesloten van hun diensten omdat ze vinden dat jij malware hebt?
Mijn ISP kan me blackholen als ze teveel klachten over me krijgen... Google, Amazon, etc. schoppen je van hun cloud als je daar kinderporno opslaat. Je krijgt een winkelverbod na diefstal of andere ongeregeldheden.

Maar mijn ziektekostenverzekering blijft de ziekenhuisrekening betalen, al kost dat me misschien een postzegel.
Booking hoeft een hotel niet 100% af te sluiten, alleen maar berichten naar klanten blokkeren tot zij bericht van het hotel hebben dat de computer weer schoon is.
28-02-2025, 00:06 door Erik van Straten - Bijgewerkt: 28-02-2025, 00:10
Door Anoniem: Het is allemaal heel makkelijk roepen en wijzen naar de inkomsten van Booking.com. Maar in de professionaliteit van risicomanagers (wat een aantal mensen op dit forum zijn) kun je niet zomaar iets roepen zonder dat je weet hoe de technische omgeving er eigenlijk uit ziet en hoe de werkprocessen functioneren.
Dat is irrelevant voor de uitkomst.

Wat booking.com doet is de, door haar keuzes veroorzaakte risico's, afwentelen op klanten. Zelfs als booking.com onvoorwaardelijk alle directe financiële schade geleden door klanten (en creditcardmaatschappijen en/of banken) zou vergoeden, gaat het om zeer vervelende ervaringen voor hun klanten en (terecht) verlies van vertrouwen van die (en andere) klanten in de betrouwbaarheid en eerlijkheid van booking.com.

Booking.com zou bijv. een 4-ogen principe met twee door booking.com vertouwde yubikeys kunnen vereisen bij haar partners voor élke mailing, en/of gecompromitteerde partners onmiddellijk voor een "gevoelde" periode van bijv. één jaar kunnen buitensluiten (1 jaar zodat alle seizoenen worden "meegepakt"). En/of eventueel resterende slachtoffers flink overcompenseren. Maar dat wil booking.com allemaal niet, want dan zullen hun diensten in prijs moeten stijgen om dezelfde winst te kunnen behalen. Een keuze.

Booking.com kiest echter voor de middelvinger naar een deel van haar klanten. Dus volgt de schandpaal. Hou op met janken of geef toe dat je namens booking.com mooi weer komt spelen - door iedereen, behalve de eindverantwoordelijke, van vanalles en nog wat de schuld te geven.
28-02-2025, 09:21 door Anoniem
We zouden ook DNS wereldwijd een jaartje kunnen uitzetten om te kijken of de wereld dan een betere plek word.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.