Booking.com platform faciliteert frauduleuze accommodaties/advertenties. Wie helpt de consument?

[Mirella Lankhuijzen]

Tijdens het boeken van een accommodatie bij Booking.com zijn we via booking.com website omgeleid naar een andere beveiligde look a like booking.com website en hebben rechtstreeks betaald aan de accommodatie. Bij sommige accommodaties op de Booking.com site wordt vooraf aangegeven “geen creditcard nodig om te boeken. We mailen je reservering om te bevestigen” en/of in kleine lettertjes “Ter garantie van uw reservering dient u een aanbetaling te doen. De accommodatie neemt contact met u op om dit te regelen. Betaling vooraf per bankoverschrijving is vereist. Nadat je geboekt hebt neemt de accommodatie contact met je op met betaalinstructies”. De manier waarop we geboekt hebben blijkt achteraf oplichting, de mail van host was oplichting. We hebben melding gedaan bij de ING, Fraudedesk, politieaangifte en contact gezocht met de klantenservice van Booking.com om fraude te melden en compensatie voor de financiële schade. Het is moeilijk om in contact te komen met de klantenservice, bij iedere medewerker moet je op nieuw je verhaal doen en een fraudedesk waar je je kunt melden is niet beschikbaar. De geboekte accommodatie is na enkele dagen van de Nederlandse website van Booking.com gehaald en daarna van het platform en dus ook van alle andere officiële website. Meerdere malen heb ik contact gehad met de klantenservice van Booking.com, alle informatie aangeleverd, maar we komen niet tot een oplossing. Onlangs heb ik via een aangetekende brief Booking.com formeel aan aansprakelijk gesteld voor het geleden financiële verlies als gevolg van oplichting die ik heb ondervonden als gevolg van het faciliteren van een frauduleuze accommodatie en advertentie op het platform Booking.com. Deze brief heb ik ook via de andere kanalen waaruit Booking.com met mij communiceert (mail, booking.com account) verstuurd. De aangetekende brief is in ontvangst genomen. Wederom reageren zij niet wat het onmogelijk maakt om tot een oplossing te komen. Rechtsbijstand kan ons niet bijstaan omdat we niet geboekt hebben bij Booking.com. Wij willen in gesprek met Booking.com maar niemand weet hoe. Welke stappen kunnen wij nog nemen via welke weg? Alle tips zijn welkom.

[Moneyman]

Rechtsbijstand kan ons niet bijstaan omdat we niet geboekt hebben bij Booking.com.

Waarom richt je dan je pijlen op Booking.com, als je daar niet geboekt hebt? Zo te lezen (als ik je warrige verhaal goed begrijp) ben je gewoon in een scam getrapt. Daar hoeeft Booking.com dan toch niets mee te maken?

[jochemd]

Tijdens het boeken van een accommodatie bij Booking.com zijn we via booking.com website omgeleid naar een andere beveiligde look a like booking.com website

Hoe moet ik dat "via booking.com website omgeleid" zien? U heeft op de booking.com website heeft geklikt op een "Ik ga boeken" knop en u kwam vervolgens terecht kwam op een "look a like" website? Of zaten daar nog een paar andere stappen tussen omdat u bijvoorbeeld vanaf de accomodatie op een link "reserveer nu via booking.com" heeft geklikt.

[Bezorgdeburger]

U hebt een fout gemaakt door een betaling te doen aan oplichters die zich voordeden als booking.com.

Maar daar kun je booking.com toch niet verantwoordelijk voor houden?
U trapt in een misleiding en het enige dat u kunt doen is aangifte doen.

[juliomariner]

Ik kan me niet voorstellen dat Booking.com u naar een fake site doorlinkt.
Welke stappen heeft u gedaan voor u bij de valse site kwam? Het lijkt me dat dit is gebeurd zoals Jochem hierboven beschrijft.
Booking heeft er geen enkel belang bij u naar een valse site tye linken want daar komt geen omzet en provisie van.

[NeoDutchio]

Booking adviseert om de betalingen via hun systeem te laten lopen. Rechtstreeks betalen word afgeraden omdat er dan geen controle is. En ook Booking kan dan niets voor de consument betekenen. Net zo goed dat u Marktplaats niet verantwoordelijk kan houden als een verkoper niet levert en u rechtstreeks betaald hebt.
Het is een bekende truc, maar helaas geeft het dus nog steeds slachtoffers.

[Methusalah]

Eens met de rest. Leg eerst even uit hoe dit is gebeurt:

bij Booking.com zijn we via booking.com website omgeleid naar een andere beveiligde look a like booking.com website

[Jablan]

Tijdens het boeken van een accommodatie bij Booking.com zijn we via booking.com website omgeleid naar een andere beveiligde look a like booking.com website en hebben rechtstreeks betaald aan de accommodatie. Bij sommige accommodaties op de Booking.com site wordt vooraf aangegeven “geen creditcard nodig om te boeken. We mailen je reservering om te bevestigen” en/of in kleine lettertjes “Ter garantie van uw reservering dient u een aanbetaling te doen. De accommodatie neemt contact met u op om dit te regelen. Betaling vooraf per bankoverschrijving is vereist. Nadat je geboekt hebt neemt de accommodatie contact met je op met betaalinstructies”. [...] Welke stappen kunnen wij nog nemen via welke weg? Alle tips zijn welkom.

Wat ontbreekt in je verhaal, is het land, plaats en soort accommodatie. Dan kan ik gerichter antwoord geven, al blijf ik je teleurstellen. Je geld ben je kwijt en je kunt verder niets meer doen.

Ik verwijs je door naar ander topic over hetzelfde onderwerp oplichters op Booking bij verhuur vakantiehuis Daar kun je zien hoe het werkt en waar jij een volgende keer op kunt letten.

[Jablan]

Booking adviseert om de betalingen via hun systeem te laten lopen. Rechtstreeks betalen word afgeraden omdat er dan geen controle is. En ook Booking kan dan niets voor de consument betekenen.

Waar, maar sinds Booking door een verkeerd gelopen implementatie van een nieuw betalingssysteem verhuurders maandenlang niet heeft uitbetaald, zijn er veel verhuurders afgestapt van het betalen via Booking. Als gast heb je hier geen keuze in.

Wanneer je niet via Booking kunt betalen, ga op onderzoek uit. Bel, mail, kijk of de beddenverhuurder ook via andere sites is te boeken en het belangrijkste: elke accommodatie moet vermeld staat op de site van de plaatselijke VVV/toeristendienst.

[Speedy123]

Ik kan me niet voorstellen dat Booking.com u naar een fake site doorlinkt.
Welke stappen heeft u gedaan voor u bij de valse site kwam? Het lijkt me dat dit is gebeurd zoals Jochem hierboven beschrijft.
Booking heeft er geen enkel belang bij u naar een valse site tye linken want daar komt geen omzet en provisie van.

Helaas, een partners (hotels) van booking.com worden/werden slachtoffer van een computer inbraak. Daardoor zijn en worden er emails verstuurt vanuit de partner met de echte booking gegevens erin. De klant wordt bijvoorbeeld gevraagd de creditcard gegevens aan te vullen. Aangezien alle gegevens echt zijn, zal de klant niet door hebben dat hij slachtoffer is van fraude.

En zoals eerder in dit forum al opgemerkt, omdat hotels maandenlang geen geld kregen van booking.com door een storing in hun systeem, willen veel hotels dat je daar betaald en niet via booking.com betaald .

Zie bijvoorbeeld https://www.techradar.com/pro/security/ ... g-campaign (link is naar een engelstalig artikel).

Deze twee issues samen hebben voor een enorme hausse in fraude gezorgd bij booking.com. Dit is echt next level fraude, voor een klant is het bijna ondoenelijk om er niet in te trappen.

[juliomariner]

Zeer kwalijk inderdaad maar je wordt dus niet via decechte site naar de fajmke gelinkt maar via een phishingmail naar een nepsite.

[Speedy123]

Zeer kwalijk inderdaad maar je wordt dus niet via decechte site naar de fajmke gelinkt maar via een phishingmail naar een nepsite.

Dat is nog niet helemaal duidelijk. Zie de Guardian (helaas engelstalig):

Travellers using the popular hotel website Booking.com are being warned not to fall for scam emails asking them to confirm their hotel payment, after a hack of Booking.com’s email system.

In recent weeks the Observer has been contacted by a number of customers claiming that they had received scam emails from within the Booking.com system.

In each case the customer has either checked in, or was due to check in, to a hotel they had reserved using Booking.com. The email – sent from [email protected] – claims their stay may have to be cancelled unless they hand over their bank card details via an embedded link.

If they fail to do so within four or 12 hours – the emails vary slightly – the reservation will be cancelled. Notifications of the email have also appeared in the company’s app on mobile phones.

Booking.com has strenuously denied its system has been hacked and has, instead, blamed the messages on breaches in the email systems of its partner hotels.

....

“I was made to feel like I was being hysterical – the call centre refused to believe that scammers had sent out an email using the Booking.com system. But, after two days, I eventually received a message from the hotel, again via Booking.com, saying that the system had been breached, that it knew about it, but was not telling their customers.

Dus er is nog een aardige discussie gaande of booking.com zelf gehacked is en zelf de emails verstuurt heeft of dat het via partners gelopen heeft. Maar wereldwijd zijn er heel veel slachtoffers, dat is wel duidelijk inmiddels.

[Jablan]

Bedankt Speedy. Dit is meer dan een klein probleem, zo te zien. Medelijden heb ik niet, Booking heeft te veel op de back office bezuinigd.

[juliomariner]

Ik denk dat deze vorm van criminaliteit in de toekomst een heel groot probleem gaat worden zeker als de criminelen alle mogelijkheden van AI ontdekken.

[Jablan]

Dat zou zomaar kunnen. Wij houden strak vast aan de route reserveren-bericht sturen met alle informatie en het verzoek pas te betalen kort voor aankomst of bij aankomst, niet eerder. Levert soms verbaasde reacties op en dat is goed zo.

*

Heerlijk, dankzij verkiezingen en oorlogen sneeuwen sommige berichten onder. We hadden het al kunnen weten:

NOS.nl 24 oktober over Booking en oplichting

(met dank aan Avrotros voor de tip)

[rwolters]

99,999% kans dat je niet via de booking.com naar elders werd geleid maar dat je al op een foute site zat. Booking heeft nooit links naar buiten toe. Logisch want ze willen je binnen hun ecosysteem houden anders verdienen ze niets.

[Cro]

Zeer kwalijk inderdaad maar je wordt dus niet via decechte site naar de fajmke gelinkt maar via een phishingmail naar een nepsite.

Dat is nog niet helemaal duidelijk. Zie de Guardian (helaas engelstalig):

Travellers using the popular hotel website Booking.com are being warned not to fall for scam emails asking them to confirm their hotel payment, after a hack of Booking.com’s email system.

In recent weeks the Observer has been contacted by a number of customers claiming that they had received scam emails from within the Booking.com system.

In each case the customer has either checked in, or was due to check in, to a hotel they had reserved using Booking.com. The email – sent from [email protected] – claims their stay may have to be cancelled unless they hand over their bank card details via an embedded link.

If they fail to do so within four or 12 hours – the emails vary slightly – the reservation will be cancelled. Notifications of the email have also appeared in the company’s app on mobile phones.

Booking.com has strenuously denied its system has been hacked and has, instead, blamed the messages on breaches in the email systems of its partner hotels.

....

“I was made to feel like I was being hysterical – the call centre refused to believe that scammers had sent out an email using the Booking.com system. But, after two days, I eventually received a message from the hotel, again via Booking.com, saying that the system had been breached, that it knew about it, but was not telling their customers.

Dus er is nog een aardige discussie gaande of booking.com zelf gehacked is en zelf de emails verstuurt heeft of dat het via partners gelopen heeft. Maar wereldwijd zijn er heel veel slachtoffers, dat is wel duidelijk inmiddels.

Jij, ik en een ieder ander persoon kan ook gewoon mail versturen als '[email protected]', daar hoeft Booking in ieder geval niet voor gehacked te zijn. Het is dan aan de ontvangende mailserver of deze bijvoorbeeld SPF respecteert, doet deze dat niet dan is de kans groot dat die mail gewoon wordt afgeleverd helaas.

[Speedy123]

99,999% kans dat je niet via de booking.com naar elders werd geleid maar dat je al op een foute site zat. Booking heeft nooit links naar buiten toe. Logisch want ze willen je binnen hun ecosysteem houden anders verdienen ze niets.

Hoe verzin je het? Het booking.com eco systeem bevat ook de leveranciers van booking.com, de accomodaties. Het gaat hier om emails die vanuit het eco-systeem van booking.com verstuurt zijn.

De (internationale) discussie is nu of booking.com zelf gehack is of dat hun systeem bij de leveranciers gehacked zijn. De leveranciers stellen dat booking.com gehacked is, booking.com wijst naar de leveranciers.

De klant zal dat nimmer weten, die ontvangt gewoon een email van booking.com. Met daarin zijn booking gegevens. Vandaar de klant geen enkele reden heeft om te twijfelen aan de email en dus de instructies opvolgt.

[Speedy123]

Jij, ik en een ieder ander persoon kan ook gewoon mail versturen als '[email protected]', daar hoeft Booking in ieder geval niet voor gehacked te zijn. Het is dan aan de ontvangende mailserver of deze bijvoorbeeld SPF respecteert, doet deze dat niet dan is de kans groot dat die mail gewoon wordt afgeleverd helaas.

Dat is niet correct. De display naam in je email app of browser zegt niets over de bron. Echter de email header zal altijd de route van de email bevatten. Die wordt standaard niet getoond maar is wel relevant voor spam filters. Aangezien de email gewoon vanuit het booking.com eco-systeem verstuurt is, is de header in orde en ziet de klant app/browser niet dat het een valse email is.

Verder weten derde partijen niets over de persoonlijke- en de booking gegevens. Die kunnen nimmer over die data beschikken zonder eerst ingebroken te hebben in het booking.com eco-systeem.

Het probleem is hier dat de email dus uit het eco systeem van booking.com komt en de echte booking gegevens bevat. Alleen stelt booking.com dat de leveranciers, die hun systeem gebruiken, gehacked zijn en niet zijzelf. De leveranciers zeggen dat dit niet waar is en dat juist booking.com gehacked is.

Wie gelijk heeft, kunnen wij nooit bepalen. Het enige wat duidelijk is, is dat de klant het niet kan weten. En dus vallen er heel veel slachtoffers wereldwijd.

[Cro]

Jij, ik en een ieder ander persoon kan ook gewoon mail versturen als '[email protected]', daar hoeft Booking in ieder geval niet voor gehacked te zijn. Het is dan aan de ontvangende mailserver of deze bijvoorbeeld SPF respecteert, doet deze dat niet dan is de kans groot dat die mail gewoon wordt afgeleverd helaas.

Dat is niet correct. De display naam in je email app of browser zegt niets over de bron. Echter de email header zal altijd de route van de email bevatten. Die wordt standaard niet getoond maar is wel relevant voor spam filters. Aangezien de email gewoon vanuit het booking.com eco-systeem verstuurt is, is de header in orde en ziet de klant app/browser niet dat het een valse email is.

Wat is er aan mijn opmerking niet correct? Ik heb het niet over deze specifieke casus, waar inderdaad mogelijk wel ingebroken is bij hotels aangesloten bij Booking of bij Booking maar over in het algemeen. Dat artikel van de guardian lijkt te suggereren dat mensen alleen kunnen mailen als dat adres van Booking mocht er ingebroken zijn in het systeem van booking of aanverwante systemen. En dat is simpelweg niet zo, en ja, zoals ik al aangaf, een goed spamfilter zal dat eruit pikken op basis van SPF, maar genoeg mailservers negeren SPF, DMARC en andere hulpmiddelen dit soort zaken te voorkomen nog altijd, of geven enkel een soft fail in plaats van een hard fail.