Booking.com blijft kampen met criminelen die reizigers duperen

"Voor onze klanten die getroffen worden door phishingaanvallen op onze accommodatie partners, is het ons doel om hen zo snel mogelijk te helpen, inclusief het ondersteunen van inspanningen om het verloren geld terug te vorderen. Hoewel we kunnen bevestigen dat onze backend systemen en platform op geen enkele manier zijn gecompromitteerd, zijn we ons er zeer van bewust hoe geavanceerd en overtuigend de tactieken van cybercriminelen zijn geworden en werken we onze verdediging tegen deze aanvallen voortdurend bij. We maken gebruik van de nieuwste AI- en machine learning technieken om verdachte activiteiten te detecteren en te blokkeren, en hebben onze inspanningen om het bewustzijn bij onze klanten en partners te vergroten opgevoerd, zodat ze zichzelf online veilig kunnen houden. Wat deze twee klanten betreft, erkennen we dat we meer hadden kunnen doen om hen sneller te ondersteunen en we beloven het in de toekomst beter te doen. We hebben onze excuses aangeboden en ze het volledige bedrag terugbetaald als gebaar van goede wil." 
  
Antwoorden op de specifieke vragen 
Hoe is het mogelijk dat twee klagers, één van januari 2024 en één van oktober 2024, hun geld nog niet hebben teruggekregen van Booking.com ondanks beloftes? 
Bij het ondersteunen van onze klanten streven we er altijd naar om zoveel mogelijk informatie te verzamelen om te begrijpen wat er is gebeurd en om hen de juiste oplossing te bieden. Voordat we in geval van vermoede fraude een terugbetaling doen, vragen we om een betalingsbewijs en een officiële mededeling van hun bank die bevestigt dat ze de betaling niet rechtstreeks via hun financiële dienstverlener konden uitvoeren.   
In het geval van Bien Strooker hadden we nog niet alle benodigde documenten ontvangen. In het geval van Dick Middelburg werd een deel van deze documentatie aangemerkt voor verder onderzoek, wat de reden is dat dit langer duurde om op te lossen dan we hadden gewild. We erkennen volledig dat we meer hadden kunnen doen om dit tijdig af te handelen en geven feedback door aan de betrokkenen, zodat zij het niveau van de ondersteuning in de toekomst kunnen verbeteren. We kunnen ook bevestigen dat we contact hebben gehad om onze excuses aan te bieden en dat we deze klanten het volledige bedrag hebben terugbetaald. 
  
Waarom verwijst Booking.com slachtoffers naar hun creditcardmaatschappij (bijv. ING / ABN AMRO) als zij er niet verantwoordelijk voor zijn en daarom niets uitbetalen, maar terugverwijzen naar Booking.com? 
Voordat we een terugbetaling doen in het geval van vermoede fraude, vooral als het om een onrechtmatige betalingsaanvraag gaat die buiten ons platform heeft plaatsgevonden, vragen we eerst om een betalingsbewijs en een officiële mededeling van de bank van de klant die bevestigt dat ze de betaling niet rechtstreeks via hun financiële dienstverlener konden uitvoeren. Als de bank de afschrijving niet kan terugdraaien, stappen wij in om een terugbetaling te doen als blijk van goede wil, omdat we begrijpen hoe stressvol deze situatie kan zijn voor onze klanten. 

De e-mails van Booking.com zijn een mengelmoes van slecht Engels/Nederlands waardoor deze op phishing e-mails lijken, hoe kan dit? 
We streven er altijd naar om klantondersteuning van topkwaliteit te bieden, bij voorkeur in de taal van de klant. Soms moeten onze medewerkers de communicatie doorgeven aan een meer ervaren collega, waardoor iemand die Nederlands als moedertaal heeft niet altijd beschikbaar is. In al het werk dat door mensen wordt gedaan, zijn menselijke fouten, zoals spelfouten, een mogelijkheid. We betreuren uiteraard de bezorgdheid die dit mogelijk heeft gewekt. 

De fraude methode die gebruikt wordt, is al sinds minstens 2021 bekend, waarom is dit nog steeds op deze manier mogelijk? 
Cybercriminaliteit en online fraude zijn niet nieuw, en het is ook niet uniek voor Booking.com. Net als elke andere onderneming in de e-commerce branche, zijn wij en onze partners helaas een aantrekkelijk doelwit voor cybercriminelen die proberen toegang te krijgen tot waardevolle gegevens en informatie die wij beschermen. Aanvallen binnen de reissector en in de hele e-commerce branche zijn al geruime tijd in ontwikkeling. Phishing-aanvallen zijn de afgelopen jaren ook steeds frequenter en verfijnder geworden, wat het voor mensen moeilijker maakt om deze pogingen te herkennen.   
De daders achter deze aanvallen zijn derde partijen die zich rechtstreeks richten op onze accommodatiepartners, en het is belangrijk om te benadrukken dat de backend-systemen en infrastructuur van Booking.com niet zijn aangetast. Gezien onze wereldwijde omvang en het aantal transacties dat we via ons platform faciliteren, zijn daadwerkelijke incidenten zeer zeldzaam. Terwijl we gelukkig in staat zijn om de overgrote meerderheid van deze pogingen te blokkeren, ondersteunen we getroffen partners en klanten waar nodig. 

Wat zal Booking.com doen om haar systeem en dat van haar partners te verbeteren, bijvoorbeeld het introduceren van tweestapsverificatie? 
We nemen onze toewijding om de online veiligheid en beveiliging van onze klanten te beschermen zeer serieus. Daarom zijn we gericht op het voortdurend verbeteren van onze systemen en processen, inclusief het gebruik van AI en machine learning technologie. We hebben ook extra inspanningen geleverd om onze partners en klanten verder voor te lichten om hopelijk het bewustzijn over deze phishing-technieken te vergroten.   
In de afgelopen jaren hebben we geïnvesteerd in geavanceerde beveiligingsinfrastructuur om frauduleuze activiteiten te detecteren en te blokkeren. Zo hebben we een nieuw machine learning-algoritme geïmplementeerd om phishing-berichten in het contact tussen onze partners en reizigers te identificeren en elimineren. Dit vermindert de impact van systeem- en accountcompromittering van de partner, met als doel om onze reizigers te beschermen tegen phishing en de reputatie van onze partners te beschermen.   
Wat betreft tweestapsverificatie (2FA), dit is al een verplichte vereiste die alle partners moeten gebruiken bij toegang tot hun Booking.com-account (extranet). Daarnaast blijven we voortdurend nieuwe beveiligingsfuncties introduceren om reizigers te beschermen tegen phishing-aanvallen. In 2023 hebben we meer dan 1,5 miljoen phishing-gerelateerde nepboekingen onderschept en 85 miljoen frauduleuze reserveringen op ons platform geblokkeerd, wat de schaal laat zien waarop cybercriminelen proberen belangrijke gegevens te verkrijgen en ook de impact van onze maatregelen om deze pogingen tegen te gaan. 
Om het bewustzijn verder te verhogen, staan we ook in regelmatig contact met onze partners en reizigers om hen te informeren en praktische tips te geven om online veilig te blijven. We hebben banners op ons berichten systeem die klanten waarschuwen om op hun hoede te zijn voor verdachte activiteiten, inclusief links of berichten die er ongebruikelijk uitzien. Het advies is om contact op te nemen met ons klantenserviceteam voordat er op links wordt geklikt of er op een verzoek om betaling wordt gereageerd. Naast online informatievoorziening hebben we onlangs een webinar over cybercriminaliteit georganiseerd samen met Koninklijke Horeca Nederland en Platform Veilig Ondernemen, om onze Nederlandse hotelpartners te helpen hun kennis over cybercriminaliteit methoden uit te breiden en hen te helpen zichzelf te beschermen tegen deze aanvallen.