Zolang klanten, door een (onterecht) door hen vertrouwde partij (zoals booking.com) naar nepwebsites worden gestuurd, zal deze wijze van oplichten blijven doorgaan.

Want (daar kan booking.com in hun eentje weinig aan doen): er bestaat op dit moment simpelweg géén betrouwbare en reproduceerbare manier om een nepwebsite van een echte te onderscheiden.

D.w.z. tenzij (en/en):

1) De betreffende website een fatsoenlijk authenticerend certificaat (geen DV = Domain Validated) gebruikt,

2) De bezoeker dat certificaat kan bekijken met de gebruikte browser (op smartphones, zeker bij reizende mensen, kan dat in steeds minder gevallen),

3) De bezoeker weet hoe je een certificaat zichtbaar maakt in diens browser en hoe je certificaten moet interpreteren,

4) De bezoeker redelijk zeker weet dat de certificaatuitgever niet onterecht certificaten uitgeeft;

5) De bezoeker redelijk zeker weet dat de certificaatuitgever altijd voldoende nauwkeurig vaststelt wie een certificaataanvrager is én dat die aanvrager geautoriseerd is om een certificaat voor de betreffende domeinnaam aan te vragen.

Los van de onzekerheid over de punten 2 t/m 5 gebruiken de meeste, zo niet alle, nepwebsites DV-certificaten - omdat deze gratis zijn (geen geldspoor), niemand hoeft te authenticeren en het certificaat onmiddellijk wordt afgegeven. Een zo laag mogelijke pakkans voor criminelen dus.

Bijkomend probleem: doordat steeds meer authentieke websites DV-certificaten gebruiken (en, notabene de overheid, het "DV"-protocol (ACME) wil gaan verplichten, zie https://www.security.nl/posting/876900/ACME+voor+uitgifte+tls-certificaten+wordt+mogelijk+verplicht+voor+overheid en mijn reactie(s) daarop), wordt het internet met de dag onveiliger.

Juist omdat klanten een nepwebsite met een DV-certificaat steeds minder betrouwbaar van een echte website kunnen onderscheiden, ligt de primaire verantwoordelijkheid voor het voorkómen van dit soort oplichting m.i. volledig bij booking.com. Dus, als klanten slachtoffer worden van de beschreven wijze van oplichten, dient booking.com hen volledig schadeloos te stellen.

Mijn vraag is "Wat mogen wij (consumenten) van Booking verwachten in de bestrijding van dit soort fraude?" Als de emails via Booking systemen verstuurd worden, moet het mogelijk zijn om daar aan detectie en eventueel filtering te doen. Het is mij niet duidelijk wat Booking nu precies doet (behalve filteren) om dit probleem te stoppen. Ze melden niet eens dat ze gecorrumpeerde wachtwoorden blokkeren.
https://www.bnnvara.nl/kassa/artikelen/bookingcom-blijft-kampen-met-criminelen-die-reizigers-duperen

@Mathfox, uit de "volledige reactie van Booking.com" in https://www.bnnvara.nl/kassa/artikelen/bookingcom-blijft-kampen-met-criminelen-die-reizigers-duperen (opmaak toegevoegd door mij):
Juridische leugens in een poging om zowel booking.com als haar "partners" vrij te pleiten van verantwoordelijkheid.

Als een crimineel ongeautoriseerd e-mails met valse inhoud vanaf booking.com mailservers kan verzenden, liegt booking.com als zij stelt dat hun "backend systemen en platform op geen enkele manier zijn gecompromitteerd".

De eisen die booking.com stelt aan inloggende partijen zijn, overduidelijk, onvoldoende - en dat is een keuze van booking.com. En dat geldt ongeacht waarop die keuze is gebaseerd (economische motieven en/of andere beweegredenen).