Booking.com bevestigt aan BNR dat hotels op het platform doelwit zijn geworden van een 'zeer geloofwaardige en verfijnde' phishingaanval. Het Amsterdamse verhuurplatform heeft dit gemeld bij de Autoriteit Persoonsgegevens.

De hackers gaan als volgt te werkt: hotels krijgen een mailtje waarin ze verleid worden een bestand met malware te downloaden. Hiermee wordt het Booking-account van het hotel overgenomen. Vervolgens sturen de hackers via het berichtensysteem van Booking.com aan toekomstige gasten van het hotel een mail over een probleem met hun creditcard. Als er niet opnieuw betaald wordt, wordt de reservering geannuleerd. Omdat de mailtjes worden verstuurd uit naam van het hotel en de hackers de vakantiedata van hun slachtoffers kennen, trappen relatief veel vakantiegangers in de val.

Mogelijk duizenden hotels doelwit

Hoeveel hotels doelwit zijn geworden is onbekend. Booking.com wil geen exacte cijfers delen. Volgens hoofd beveiliging Marnie Wilking gaat het 'maar om een klein deel van een procent' van de 28 miljoen accommodaties die op het platform geregistreerd staan. Op Reddit staan tientallen verhalen van slachtoffers die de laatste maanden op deze wijze vaak honderden euro's zijn kwijtgeraakt.

Booking benadrukt dat de hackers alleen inloggegevens van hotels op het platform hebben buitgemaakt. In hun eigen systemen zou niet zijn ingebroken. Medewerkers van het bedrijf doen er alles aan 'om getroffen partners te helpen bij het beveiligen van hun systemen en klanten die mogelijk doelwit zijn geworden te ondersteunen', aldus Wilking. Booking.com laat via een woordvoerder weten dat hotelgasten die slachtoffer zijn geworden contact kunnen opnemen met de klantenservice en dat het bedrijf hen dan helpt hun geld terug te krijgen.

Booking.com waarschuwt hotels op het platform de afgelopen maanden voor de phishingaanvallen. Ook zet het zelflerende systemen in om verdachte activiteiten op het platform op te sporen. 'De impact van dit soort aanvallen neemt hierdoor geleidelijk af', aldus Wilking. Booking.com raadt hotelgasten aan voorzichtig te zijn met het doen van betalingen in het algemeen en nooit creditcardgegevens te delen buiten de site om.

'Investeren in security blijft een afweging'

Volgens beveiligingsexperts is Booking.com verwikkeld in een wapenwedloop met online criminelen. De methode waarbij oplichters uit naam van het hotel om geld vragen wordt al jaren gebruikt, maar de manier waarop in de systemen wordt ingebroken ontwikkelt zich voortdurend, zegt Rik van Duijn, founder van beveiligingsbedrijf Zolder B.V. 'Voor een bedrijf als Booking blijft investeren in security ook een afweging', aldus Van Duijn.

'Elke drempel die je oplegt aan je klanten vertaalt zich weer in minder inkomen. Er wordt dus niet altijd naar de zwaarste middelen gegrepen bij de bestrijding van dit soort fraude.' Voor hotelfraude geldt dit nog meer, omdat het vaak de gasten zijn die opdraaien voor de kosten. 'Hoeveel resources Booking.com hierin willen steken is afhankelijk van hoeveel schade Booking.com er zelf van ondervindt.'