• Van de Cruys legt uit: “De hackers hebben hotels aangevallen die hun diensten verlenen via booking.com. Ze hebben phishing-mails naar die hotels gestuurd. Op die manier hebben ze een virus of malware kunnen installeren op de toestellen van die hotels.”
• “Vervolgens hebben de hackers de booking.com-accounts van die hotels gebruikt om berichten naar hun klanten te sturen met de vraag om een nieuwe betaling te doen omdat de oude zogezegd mislukt was. Booking.com dus is niet rechtstreeks gehackt, maar hun platform wordt wel gebruikt om geld van mensen te gaan stelen.”

Verantwoordelijkheid van Booking.com

De hamvraag: Hoeveel verantwoordelijkheid draagt Booking.com zelf?

• “Booking.com zegt dat het al veel doet”, haalt Van de Cruys aan. “Zoals het sensibiliseren van hotels, hoe zij zich kunnen beveiligen tegen phishing en hacking. Het is moeilijk om die hotels daartoe gemotiveerd te krijgen om dat grondig aan te pakken.”
• “Het bedrijf beweert ook dat het probeert om dat soort kwaadaardige berichtjes te filteren. Stel dat een hotel vreemde berichten naar klanten begint te sturen om bijkomende betalingen te vragen. Booking.com zegt dat het systemen heeft om die berichten te onderscheppen. Dat systeem is dus duidelijk verre van waterdicht.”

Gebruiker treft weinig schuld

• “Als hackers een phishing-mail moeten sturen vanuit een anoniem adres, dan is de slaagkans veel lager. In dit geval kunnen ze klanten contacteren in naam van dat hotel zelf. En ze zijn op de hoogte van de reservatiegegevens. Dat maakt die aanvallen bijzonder overtuigend.”
• Van de Cruys vindt dat de verantwoordelijkheid niet bij de gedupeerde gebruikers gelegd moet worden: “Dit moet hoofdzakelijk vanuit de hotels en booking.com worden aangepakt. Ik kan weinig advies geven aan de gemiddelde persoon, juist omdat het zo’n zo’n doeltreffende aanval is.”

(evb)