Zolang klanten, door een (onterecht) door hen vertrouwde partij (zoals booking.com) naar nepwebsites worden gestuurd, zal deze wijze van oplichten blijven doorgaan.

Want (daar kan booking.com in hun eentje weinig aan doen): er bestaat op dit moment simpelweg géén betrouwbare en reproduceerbare manier om een nepwebsite van een echte te onderscheiden.

D.w.z. tenzij (en/en):

1) De betreffende website een fatsoenlijk authenticerend certificaat (geen DV = Domain Validated) gebruikt,

2) De bezoeker dat certificaat kan bekijken met de gebruikte browser (op smartphones, zeker bij reizende mensen, kan dat in steeds minder gevallen),

3) De bezoeker weet hoe je een certificaat zichtbaar maakt in diens browser en hoe je certificaten moet interpreteren,

4) De bezoeker redelijk zeker weet dat de certificaatuitgever niet onterecht certificaten uitgeeft;

5) De bezoeker redelijk zeker weet dat de certificaatuitgever altijd voldoende nauwkeurig vaststelt wie een certificaataanvrager is én dat die aanvrager geautoriseerd is om een certificaat voor de betreffende domeinnaam aan te vragen.

Los van de onzekerheid over de punten 2 t/m 5 gebruiken de meeste, zo niet alle, nepwebsites DV-certificaten - omdat deze gratis zijn (geen geldspoor), niemand hoeft te authenticeren en het certificaat onmiddellijk wordt afgegeven. Een zo laag mogelijke pakkans voor criminelen dus.

Bijkomend probleem: doordat steeds meer authentieke websites DV-certificaten gebruiken (en, notabene de overheid, het "DV"-protocol (ACME) wil gaan verplichten, zie https://www.security.nl/posting/876900/ACME+voor+uitgifte+tls-certificaten+wordt+mogelijk+verplicht+voor+overheid en mijn reactie(s) daarop), wordt het internet met de dag onveiliger.

Juist omdat klanten een nepwebsite met een DV-certificaat steeds minder betrouwbaar van een echte website kunnen onderscheiden, ligt de primaire verantwoordelijkheid voor het voorkómen van dit soort oplichting m.i. volledig bij booking.com. Dus, als klanten slachtoffer worden van de beschreven wijze van oplichten, dient booking.com hen volledig schadeloos te stellen.

Mijn vraag is "Wat mogen wij (consumenten) van Booking verwachten in de bestrijding van dit soort fraude?" Als de emails via Booking systemen verstuurd worden, moet het mogelijk zijn om daar aan detectie en eventueel filtering te doen. Het is mij niet duidelijk wat Booking nu precies doet (behalve filteren) om dit probleem te stoppen. Ze melden niet eens dat ze gecorrumpeerde wachtwoorden blokkeren.
https://www.bnnvara.nl/kassa/artikelen/bookingcom-blijft-kampen-met-criminelen-die-reizigers-duperen

@Mathfox, uit de "volledige reactie van Booking.com" in https://www.bnnvara.nl/kassa/artikelen/bookingcom-blijft-kampen-met-criminelen-die-reizigers-duperen (opmaak toegevoegd door mij):
Juridische leugens in een poging om zowel booking.com als haar "partners" vrij te pleiten van verantwoordelijkheid.

Als een crimineel ongeautoriseerd e-mails met valse inhoud vanaf booking.com mailservers kan verzenden, liegt booking.com als zij stelt dat hun "backend systemen en platform op geen enkele manier zijn gecompromitteerd".

De eisen die booking.com stelt aan inloggende partijen zijn, overduidelijk, onvoldoende - en dat is een keuze van booking.com. En dat geldt ongeacht waarop die keuze is gebaseerd (economische motieven en/of andere beweegredenen).

@Erik van Straten en @Mathfox:

Jullie hebben allebei geen Booking.com zeker?

De Booking.zom app (en site) heeft een interne berichtenmodule voor contact tussen hotel en gast. Vanuit die interne berichtenmodule wordt de phishinglink verzonden. Het heeft helemaal niets met email of certificaten te maken.

Dit kan ontstaan omdat de bookingsmodule van baliecomputers van hotels soms zijn geïnfecteerd. Deze saliecomputers zijn van hotels en niet van Booking.com. Daarom zijn ook de mitigerende maatregelen vanuit Booking.com beperkt (ze kunnen niet een bepaalde anti malware scanner eisen bij apparatuur die niet van hen is). Wat Booking.com wél doet (en de hotels) is vooraf in deze berichtenmodule een duidelijke instructie sturen (dat doen ze) en een getroffene zo snel mogelijk informeren over een gestuurde phishinglink. Vaak zie je als gast die phishinglink niet eens omdat Booking.com hem dan zelf al heeft verwijderd.

Deze scam is overigens alleen mogelijk bij mensen die achteraf[/] betalen. Als je meteen betaald bij boeken heb je hier geen last van.

Wat bedoel je, aandelen? In elk geval ik niet.

Je kunt ongetwijfeld eindeloos scenario's verzinnen waarbij mensen niet bestolen worden, maar soms regent het wel, sommige mensen gaan wel dood t.g.v. een vliegtuigongeluk en het verschil tussen een dood vogeltje is dat zijn ene pootje even lang is. Het topic hier is het falen van booking.com in de onophoudelijke situaties dat klanten wél worden beroofd.

JA EN? Lees https://security.nl/posting/877869 nogmaals (of voor de 1 keer).

Nee dat domein is in actief gebruik door een hotelbemiddelaar... (En waarom zou ik een nutteloze app installeren?)
Mijn vraag is of Booking de (bekend) geïnfecteerde hotelsystemen afsluit en zo nee, waarom niet. Als Booking dit niet doet faciliteert ze met haar passiviteit de fraudeurs.

Hier spreek je jezelf tegen. Als alles via de app van booking loopt, kunnen ze er de volledige controle over hebben. Het zal eerder bewust zijn dat ze in het ontwerp van hun app geen controle ingebouwd hebben.

En natuurlijk kunnen ze wel eisen stellen aan de apparatuur van de hotels. Voldoen de hotels niet aan de eisen, dan kunnen ze gewoon niet aangesloten worden. Blijkbaar neemt booking het niet zo nauw met de veiligheid en laten ze ook hotels toe op hun systeem die geen veiligheidsmaatregelen nemen. (En geen veiligheidslaag in hun app).

Niet helemaal.

Het is allemaal heel makkelijk roepen en wijzen naar de inkomsten van Booking.com. Maar in de professionaliteit van risicomanagers (wat een aantal mensen op dit forum zijn) kun je niet zomaar iets roepen zonder dat je weet hoe de technische omgeving er eigenlijk uit ziet en hoe de werkprocessen functioneren.

Om vervolgens te roepen dat je eigenlijk toch geen interesse hebt in deze nutteloze app is verre van geloofwaardig of professioneel.

Er is in deze thread niets over de inkomsten van Booking geroepen, maar wel gevraagd of Booking meer aan preventie kan doen. Het is goed dat Booking misbruik van haar berichtensysteem detecteert, maar mijn vraag of Booking de (voor mij) voor de hand liggende vervolgstap neemt om gecorrumpeerde computers af te sluiten van het berichtensysteem is niet beantwoord. Een van de veiligheidsmotto's is "Voorkomen is beter dan genezen."
Ik hou van kamperen en zeilen, dus wat heb ik aan een hotelapp? (Dan praat nog niet over potentiële privacyschade.)

Nee, dat gaat niet, het kan immers ook jouw of mijn mobiel zijn. Hoe zou jij het vinden dat je bv door je zorgverzekeraar wordt buitengesloten van hun diensten omdat ze vinden dat jij malware hebt?

Mijn ISP kan me blackholen als ze teveel klachten over me krijgen... Google, Amazon, etc. schoppen je van hun cloud als je daar kinderporno opslaat. Je krijgt een winkelverbod na diefstal of andere ongeregeldheden.

Maar mijn ziektekostenverzekering blijft de ziekenhuisrekening betalen, al kost dat me misschien een postzegel.
Booking hoeft een hotel niet 100% af te sluiten, alleen maar berichten naar klanten blokkeren tot zij bericht van het hotel hebben dat de computer weer schoon is.

Dat is irrelevant voor de uitkomst.

Wat booking.com doet is de, door haar keuzes veroorzaakte risico's, afwentelen op klanten. Zelfs als booking.com onvoorwaardelijk alle directe financiële schade geleden door klanten (en creditcardmaatschappijen en/of banken) zou vergoeden, gaat het om zeer vervelende ervaringen voor hun klanten en (terecht) verlies van vertrouwen van die (en andere) klanten in de betrouwbaarheid en eerlijkheid van booking.com.

Booking.com zou bijv. een 4-ogen principe met twee door booking.com vertouwde yubikeys kunnen vereisen bij haar partners voor élke mailing, en/of gecompromitteerde partners onmiddellijk voor een "gevoelde" periode van bijv. één jaar kunnen buitensluiten (1 jaar zodat alle seizoenen worden "meegepakt"). En/of eventueel resterende slachtoffers flink overcompenseren. Maar dat wil booking.com allemaal niet, want dan zullen hun diensten in prijs moeten stijgen om dezelfde winst te kunnen behalen. Een keuze.

Booking.com kiest echter voor de middelvinger naar een deel van haar klanten. Dus volgt de schandpaal. Hou op met janken of geef toe dat je namens booking.com mooi weer komt spelen - door iedereen, behalve de eindverantwoordelijke, van vanalles en nog wat de schuld te geven.

We zouden ook DNS wereldwijd een jaartje kunnen uitzetten om te kijken of de wereld dan een betere plek word.