Hotels op Booking.com en hun gasten doelwit phishingaanval
Hotels en pensions die op Booking.com te vinden zijn, alsmede hun gasten, zijn doelwit van phishingaanvallen geworden. Gasten kregen legitiem uitziende sms- en WhatsApp-berichten waarin om een betaling werd gevraagd, zo meldt de Daily Express. Ook ontvingen de gasten gepersonaliseerde e-mails met hun namen, adresgegevens, telefoonnummers, kosten, referentienummers en boekingsdata.
Daardoor dachten gasten dat het om een legitiem bericht ging. Booking.com stelt tegenover The Independent dat de eigen systemen niet zijn gehackt. Verschillende hotels en pensions op de website waren het doelwit van phishingaanvallen geworden. Medewerkers van een aantal van deze accommodaties trapten in de phishingmail, waardoor aanvallers toegang tot hun account kregen. Op deze manier kregen de aanvallers toegang tot de gastgegevens en kon er ook een phishingmail naar de gasten worden verstuurd. Booking.com zegt dat alle potentieel getroffen gasten zijn gewaarschuwd en eventuele schade op de hotels en pensions verhaald zal worden.
Dan lijkt me de schade veroorzaakt te zijn door booking.com. Ze zijn wel heel snel met het ontkennen van verantwoordelijkheid.
Nu ik hun gegevens heb moet Karma4 de portomonee trekken om de schade, die zijn relaties en klanten zelf hebben veroorzaakt, te betalen. :p
Nu ik hun gegevens heb moet Karma4 de portomonee trekken om de schade, die zijn relaties en klanten zelf hebben veroorzaakt, te betalen. :p
Dat er zo makkelijk uit naam van booking.com een mail als officieel iets gezien kan worden duidt er op dat booking.com als machtige partij mogelijk de ict niet adequaat naaf de eisen van de tijd heeft ingericht.
Vertel eens karma4, hoe jij de ict zou inrichten zodat e-mails niet uit naam van booking.com verstuurd kunnen worden.
Goede poging Anoniem, echter dat zijn maatregelen die je als ontvanger van dergelijke e-mails kan treffen. Onze forumgenoot karma4 had het erover dat booking.com - als vervalste afzender - maatregelen had kunnen nemen, ik quote karma4 in deze:
Dus nogmaals, vertel eens karma4, hoe jij de ict zou inrichten zodat e-mails niet uit naam van booking.com verstuurd kunnen worden.
Vertel eens karma4, hoe jij de ict zou inrichten zodat e-mails niet uit naam van booking.com verstuurd kunnen worden.
Je kan informatie uitwisselen met een dubbele controle dat is het.
Wil je veilig iets uitwisselen over boekingen rekeningen eb verwachtingen dan zul je toch iets met gescheiden omgevingen en iets als https:///my.booking.com moeten doen.
Duidelijke afspraken en verwachtingen waadoor een phishing mail snel door de mand valt.
Er is een hele waslijst aan technieken om te proberen een sender policy af te dwingen. Met hotels kamer verhuur heb je doelgroep die niet voorop zal lopen. Ze hebben de klanten nodig.
Zie je banken overschrijvingen via email afhandelen?
Je kunt wel prima een afspraak voor een bezoekje aan de bank per email doen en tijd locatie bevestigd krijgen.
Kwestie van risico en impact.
Vertel eens karma4, hoe jij de ict zou inrichten zodat e-mails niet uit naam van booking.com verstuurd kunnen worden.
Je kan informatie uitwisselen met een dubbele controle dat is het.
Oh? Jouw oplossing is dat booking.com geen e-mail meer mag gebruiken?
Duidelijke afspraken en verwachtingen waadoor een phishing mail snel door de mand valt.
Oh? Je stelt zoiets als mijnoverheid voor? Maar booking.com heeft dat allang. Je moet inloggen bij de site of via de app om toegang te krijgen tot de meeste functionaliteit.
Interessant! Welke van die waslijst van technieken zou voor booking.com bruikbaar zijn om te vermijden dat er phishing-mails uit hun naam worden verstuurd?
Je kunt wel prima een afspraak voor een bezoekje aan de bank per email doen en tijd locatie bevestigd krijgen.
Kwestie van risico en impact.
Geloof je nou echt dat booking.com 'overschrijvingen' via e-mail doet? (Of iets vergelijkbaars?)
Indien booking.com dat inderdaad zo doet dan zij wegens niet adequate ict net zo goed verantwoordelijk mogelijk zelf hoofdverantwoordelijk. Dat is de gdpr richtlijn.
Je bent echt op de man aan het spelen uit frustratie. Wel ergens vermakelijk.
Goh... Er is iemand in een phishing mail getrapt. Dat kan gebeuren hè.
Nee, dat duidt daar niet op. Pure speculatie. Een phishingmail met gevoelige informatie of een vraag om gevoelige informatie hoeft helemaal niet te betekenen dat dit gangbaar is voor de vervalste afzender. Er trapt desondanks wel iemand in.
Indien booking.com dat inderdaad zo doet dan zij wegens niet adequate ict net zo goed verantwoordelijk mogelijk zelf hoofdverantwoordelijk. Dat is de gdpr richtlijn.
Ik geloof er niets van, dat booking.com dat zou doen. Je zal met meer moeten komen dan alleen speculatie. Een voorbeeld e-mail zou mooi zijn.
Nee hoor, de man - in dit geval karma4 - interesseert me niet. Ik trigger puur op onzin of holle frasen. Als je het vermakelijk vindt om steeds daarop aangesproken te worden - door mij en door anderen - tja, ieder z'n ding nietwaar.
Nee hoor, de man - in dit geval karma4 - interesseert me niet. Ik trigger puur op onzin of holle frasen. Als je het vermakelijk vindt om steeds daarop aangesproken te worden - door mij en door anderen - tja, ieder z'n ding nietwaar.
Uit het redactieartikel
- "dat de eigen systemen niet zijn gehackt. "
- "trapten in de phishingmail, waardoor aanvallers toegang tot hun account kregen."
De boekingen staan bij booking.com. kennelijk is email een gangbaar iets want werd als legitiem aangenomen. De vraag hoe dat als legitiem er uit moet zien en wie je moet aanspreken lijkt geeft inside ervaring aan. Mogelijk een (ex) hotel medewerker. De hotelgasten kregen iets wat van booking.com leek te komen. Ook daar ontbreekt voldoende toelichting van booking.com naar de bekers toe wat die kunnen verwachten.
In ieder geval wordt enkel het account genoemd geen 2fa.
Lees nu eens de links naar krantenartikelen.
Orbitz, Expedia, Trip advisor en Ryanair zijn genoemd als eerdere hacks in de zelfde branche. Booking.com had kunnen weten dat ook zij aangevallen zouden worden. De wijze waarop kan verschillen dus pishing mails voor accounts hadden ze moten meenemen net zoals gelekte boeking informatie. Twee duidelijke zaken die gemist zijn.
Security besef en insteek is wat meer dan je eigen Desktop en holle frasen over " mijn os dit ... en mijn os dat .."
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.