Word lid
NPO
Logo Kassa
Kassa
Het consumentenplatform van BNNVARA.

Booking.com blijft kampen met criminelen die reizigers duperen

16-11-2024
  •  
leestijd 3 minuten
  •  
19043 keer bekeken
  •  

Wie een reis boekt via Booking.com loopt kans opgelicht te worden. Wereldwijd raakten mensen honderden euro’s kwijt toen hun creditcardgegevens werden buitgemaakt uit naam van hotels. Onder hen ook een onbekend aantal Nederlanders. Maar krijgen zij ook hun geld terug? 

Oplichting vanuit eigen systeem

De site worstelt al jaren met oplichters die achter de portemonnee van hun klanten aanzitten die een reis hebben geboekt. Uit mails die bij Kassa binnenkomen, blijkt dat het probleem nog steeds niet onder controle is. De werkwijze is als volgt: criminelen loggen in op accounts van hotels en appartementen, waarna ze uit naam van de accommodatie berichten sturen naar aankomende gasten. 

Er wordt bijvoorbeeld gevraagd of ze nog even hun accommodatie kunnen betalen of hun creditkaartgegevens willen updaten. De berichten lijken sprekend op de normale en zien er dus geloofwaardig uit, want ze worden via het booking.com-systeem verstuurd.  

Slechte klantenservice

Reizigers die in contact zijn gekomen met Kassa blijken voor honderden euro’s gedupeerd te zijn. Zo verloor Bien Strooker 300 euro en Dick Middelburg was zelfs 609 euro kwijt. Beiden hebben herhaaldelijk geprobeerd contact op te nemen met Booking.com, maar zonder resultaat. Dick was hier zelfs tien maanden mee bezig.  

Het blijkt dat veel klanten die aan de bel trokken om de fraude te melden, een reactie per mail van de klantenservice van Booking.com kregen in gebrekkig Engels. Telefonisch werd soms zelfs de verbinding verbroken. Veel klanten wachten al maanden op compensatie. Slechts drie uur nadat Kassa zelf contact opnam met Booking.com hierover, ontvingen Strooker en Middelburg binnen no-time een compensatie. 

Booking.com neemt weinig verantwoordelijkheid

Cybersecurity-expert Dave Maasland vertelt dat hij niet te spreken is over deze gang van zaken. ‘De oplichting vindt plaats via het online bookingsplatform van Booking.com. Het bedrijf zal zijn verantwoordelijkheid moeten nemen om de schade netjes op te lossen voor alle klanten die slachtoffers zijn geworden van oplichting.’ 

Maasland is daarnaast van mening dat Booking.com meer moet doen om klanten te waarschuwen voor deze vorm van fraude via notificaties. ‘Waarom plaatsen ze hierover niet een bericht op bijvoorbeeld hun socials?’, aldus Maasland.  

Al jarenlang problemen met beveiliging

De problemen zijn ook bekend bij de Autoriteit Persoonsgegevens (AP). Zo was Booking.com in 2019, 22 dagen te laat met het melden van een datalek. Hier hebben ze in 2021 een boete van 475.000 euro opgelegd gekregen. Mede hierdoor heeft de AP gedurende 2023 intensief toezicht gehouden op het bedrijf. 

Volledige reactie Booking.com

Booking.com biedt uiteindelijk per mail excuses aan dat Strooker en Middelburg zo lang op hun compensatie moesten wachten, hun dossier zou niet compleet zijn. Het bedrijf geeft aan geïnvesteerd te hebben in ‘geavanceerde beveiligingsinfrastructuur om frauduleuze activiteiten te detecteren en blokkeren’. Lees hieronder hun volledige reactie. 

Lees hier de volledige reactie van Booking.com

Volledige reactie Booking.com
"Voor onze klanten die getroffen worden door phishingaanvallen op onze accommodatie partners, is het ons doel om hen zo snel mogelijk te helpen, inclusief het ondersteunen van inspanningen om het verloren geld terug te vorderen. Hoewel we kunnen bevestigen dat onze backend systemen en platform op geen enkele manier zijn gecompromitteerd, zijn we ons er zeer van bewust hoe geavanceerd en overtuigend de tactieken van cybercriminelen zijn geworden en werken we onze verdediging tegen deze aanvallen voortdurend bij. We maken gebruik van de nieuwste AI- en machine learning technieken om verdachte activiteiten te detecteren en te blokkeren, en hebben onze inspanningen om het bewustzijn bij onze klanten en partners te vergroten opgevoerd, zodat ze zichzelf online veilig kunnen houden. Wat deze twee klanten betreft, erkennen we dat we meer hadden kunnen doen om hen sneller te ondersteunen en we beloven het in de toekomst beter te doen. We hebben onze excuses aangeboden en ze het volledige bedrag terugbetaald als gebaar van goede wil." 
  
Antwoorden op de specifieke vragen 
Hoe is het mogelijk dat twee klagers, één van januari 2024 en één van oktober 2024, hun geld nog niet hebben teruggekregen van Booking.com ondanks beloftes? 
Bij het ondersteunen van onze klanten streven we er altijd naar om zoveel mogelijk informatie te verzamelen om te begrijpen wat er is gebeurd en om hen de juiste oplossing te bieden. Voordat we in geval van vermoede fraude een terugbetaling doen, vragen we om een betalingsbewijs en een officiële mededeling van hun bank die bevestigt dat ze de betaling niet rechtstreeks via hun financiële dienstverlener konden uitvoeren.   
In het geval van Bien Strooker hadden we nog niet alle benodigde documenten ontvangen. In het geval van Dick Middelburg werd een deel van deze documentatie aangemerkt voor verder onderzoek, wat de reden is dat dit langer duurde om op te lossen dan we hadden gewild. We erkennen volledig dat we meer hadden kunnen doen om dit tijdig af te handelen en geven feedback door aan de betrokkenen, zodat zij het niveau van de ondersteuning in de toekomst kunnen verbeteren. We kunnen ook bevestigen dat we contact hebben gehad om onze excuses aan te bieden en dat we deze klanten het volledige bedrag hebben terugbetaald. 
  
Waarom verwijst Booking.com slachtoffers naar hun creditcardmaatschappij (bijv. ING / ABN AMRO) als zij er niet verantwoordelijk voor zijn en daarom niets uitbetalen, maar terugverwijzen naar Booking.com? 
Voordat we een terugbetaling doen in het geval van vermoede fraude, vooral als het om een onrechtmatige betalingsaanvraag gaat die buiten ons platform heeft plaatsgevonden, vragen we eerst om een betalingsbewijs en een officiële mededeling van de bank van de klant die bevestigt dat ze de betaling niet rechtstreeks via hun financiële dienstverlener konden uitvoeren. Als de bank de afschrijving niet kan terugdraaien, stappen wij in om een terugbetaling te doen als blijk van goede wil, omdat we begrijpen hoe stressvol deze situatie kan zijn voor onze klanten. 

De e-mails van Booking.com zijn een mengelmoes van slecht Engels/Nederlands waardoor deze op phishing e-mails lijken, hoe kan dit? 
We streven er altijd naar om klantondersteuning van topkwaliteit te bieden, bij voorkeur in de taal van de klant. Soms moeten onze medewerkers de communicatie doorgeven aan een meer ervaren collega, waardoor iemand die Nederlands als moedertaal heeft niet altijd beschikbaar is. In al het werk dat door mensen wordt gedaan, zijn menselijke fouten, zoals spelfouten, een mogelijkheid. We betreuren uiteraard de bezorgdheid die dit mogelijk heeft gewekt. 

De fraude methode die gebruikt wordt, is al sinds minstens 2021 bekend, waarom is dit nog steeds op deze manier mogelijk? 
Cybercriminaliteit en online fraude zijn niet nieuw, en het is ook niet uniek voor Booking.com. Net als elke andere onderneming in de e-commerce branche, zijn wij en onze partners helaas een aantrekkelijk doelwit voor cybercriminelen die proberen toegang te krijgen tot waardevolle gegevens en informatie die wij beschermen. Aanvallen binnen de reissector en in de hele e-commerce branche zijn al geruime tijd in ontwikkeling. Phishing-aanvallen zijn de afgelopen jaren ook steeds frequenter en verfijnder geworden, wat het voor mensen moeilijker maakt om deze pogingen te herkennen.   
De daders achter deze aanvallen zijn derde partijen die zich rechtstreeks richten op onze accommodatiepartners, en het is belangrijk om te benadrukken dat de backend-systemen en infrastructuur van Booking.com niet zijn aangetast. Gezien onze wereldwijde omvang en het aantal transacties dat we via ons platform faciliteren, zijn daadwerkelijke incidenten zeer zeldzaam. Terwijl we gelukkig in staat zijn om de overgrote meerderheid van deze pogingen te blokkeren, ondersteunen we getroffen partners en klanten waar nodig. 

Wat zal Booking.com doen om haar systeem en dat van haar partners te verbeteren, bijvoorbeeld het introduceren van tweestapsverificatie? 
We nemen onze toewijding om de online veiligheid en beveiliging van onze klanten te beschermen zeer serieus. Daarom zijn we gericht op het voortdurend verbeteren van onze systemen en processen, inclusief het gebruik van AI en machine learning technologie. We hebben ook extra inspanningen geleverd om onze partners en klanten verder voor te lichten om hopelijk het bewustzijn over deze phishing-technieken te vergroten.   
In de afgelopen jaren hebben we geïnvesteerd in geavanceerde beveiligingsinfrastructuur om frauduleuze activiteiten te detecteren en te blokkeren. Zo hebben we een nieuw machine learning-algoritme geïmplementeerd om phishing-berichten in het contact tussen onze partners en reizigers te identificeren en elimineren. Dit vermindert de impact van systeem- en accountcompromittering van de partner, met als doel om onze reizigers te beschermen tegen phishing en de reputatie van onze partners te beschermen.   
Wat betreft tweestapsverificatie (2FA), dit is al een verplichte vereiste die alle partners moeten gebruiken bij toegang tot hun Booking.com-account (extranet). Daarnaast blijven we voortdurend nieuwe beveiligingsfuncties introduceren om reizigers te beschermen tegen phishing-aanvallen. In 2023 hebben we meer dan 1,5 miljoen phishing-gerelateerde nepboekingen onderschept en 85 miljoen frauduleuze reserveringen op ons platform geblokkeerd, wat de schaal laat zien waarop cybercriminelen proberen belangrijke gegevens te verkrijgen en ook de impact van onze maatregelen om deze pogingen tegen te gaan. 
Om het bewustzijn verder te verhogen, staan we ook in regelmatig contact met onze partners en reizigers om hen te informeren en praktische tips te geven om online veilig te blijven. We hebben banners op ons berichten systeem die klanten waarschuwen om op hun hoede te zijn voor verdachte activiteiten, inclusief links of berichten die er ongebruikelijk uitzien. Het advies is om contact op te nemen met ons klantenserviceteam voordat er op links wordt geklikt of er op een verzoek om betaling wordt gereageerd. Naast online informatievoorziening hebben we onlangs een webinar over cybercriminaliteit georganiseerd samen met Koninklijke Horeca Nederland en Platform Veilig Ondernemen, om onze Nederlandse hotelpartners te helpen hun kennis over cybercriminaliteit methoden uit te breiden en hen te helpen zichzelf te beschermen tegen deze aanvallen. 

Tips om fraude te voorkomen

Fraude voorkomen? Lees dan de volgende tips om te voorkomen dat ook jij ten prooi valt aan internetcriminelen als je een reis boekt. 

  • Bij phishing kan u onder druk gezet worden om snel iets te doen. Laat u niet onder druk zetten. Neem zelf contact op met Booking.com of het hotel als u het niet vertrouwt. 
  • Bij phishing kan worden gevraagd om uw gegevens ‘aan te vullen’ of ‘te controleren’ (of iets soortgelijks). U kunt controleren of u dit echt moet doen bij het hotel of Booking.com. 
  • Booking.com geeft zelf ook veiligheidsinformatie tijdens het gebruik van het platform. Lees deze informatie goed door en meldt eventuele verdachte activiteiten aan Booking.com.  
  • Mocht u denken dat u slachtoffer bent geworden van oplichting, dan kunt u ook contact opnemen met Booking.com. 

Bent u ook opgelicht toen u een reis boekte? Laat het ons weten via Kassa@bnnvara.nl

Meer over:

booking, booking.com, booking.com fraude, fraude, online fraude, dave maasland, cybersecurity, phishing, autoriteit persoonsgevens, internetcriminelen
Delen:

Praat mee

Onze spelregels.

0/1500 Tekens
Bedankt voor je reactie! De redactie controleert of je bericht voldoet aan de spelregels. Het kan even duren voordat het zichtbaar is.

Altijd op de hoogte blijven van het laatste nieuws?

Meld je snel en gratis aan voor de Kassa nieuwsbrief!