‘Ook ik zou in de Booking-scam kunnen trappen’: experts over de gevaarlijkste phishing-trends van het moment

Booking

Stel u even voor: u plant een reis naar New York en u legt via het populaire platform Booking.com een hotel vast. De ene dag bent u op de app aan het chatten met de hotelbalie over uw ontbijtformule, en de volgende dag krijgt u plots een verzoek om uw creditkaartgegevens opnieuw in te geven. En binnen de twaalf uur ook, want uw vertrek staat vlak voor de deur.

Die strakke deadline doet heel wat alarmbellen afgaan, maar helaas niet de juiste. Het is immers de officiële app en bovenal wil u niet, een week voor vertrek, nog naar een nieuw hotel moeten zoeken. En dus drukt u op de link in het laatste bericht. Pas wanneer u een bericht van uw bank krijgt, beseft u dat u erin geluisd bent.

Een waargebeurd verhaal voor bovenstaande en voor duizenden klanten van Booking over de hele wereld, helaas. “Maar je moet er niet beschaamd voor zijn”, krijgen we te horen van ethisch hacker Inti De Ceukelaire. “Dit is al een verregaande vorm van phishing, waar ik ook nog in zou kunnen trappen. De lat voor online oplichters ligt hoger dan ooit.”

“Zie het als een soort ‘abuseware’, software die werkt zoals ze bedoeld is, maar op een manier waarop het misleidend kan zijn voor de gebruiker”, legt De Ceukelaire uit. “In dit geval zien we dat het bericht van Booking komt én we verwachten ook een betaling, dus het is herkenbaar en moet wel veilig zijn.”

“Bij Booking.com ontkennen ze het met klem, maar het is onweerlegbaar dat er ergens een hack heeft plaatsgevonden”, vertelt Eddy Willems, expert in cybersecurity. “Ook hotels moeten inloggen bij Booking, dus wellicht gaat het om een hack op dat niveau. Zo krijgen hackers toegang tot informatie, zoals je aankomstdata, en via officiële communicatiekanalen kunnen ze op die details voortborduren, met alle gevolgen van dien.”

Dan rest de vraag: hoe kan ik mezelf hier als gebruiker beter tegen wapenen? “Of het nu gaat om Booking of een ander tussenplatform zoals 2dehands; het is belangrijk om te onthouden dat je klant bent bij het platform en niet bij het hotel of de verkoper”, zegt De Ceukelaire. “Dus als een hotel zegt dat de betaling niet is doorgekomen moeten zij dat aan Booking laten weten, en niet aan jou.” Willems voegt er nog aan toe dat de dringendheid van zo’n bericht, zoals een deadline van twaalf uur, altijd een waarschuwing moet zijn. “En als het echt heel dringend is, dan kan je beter rechtstreeks naar het hotel bellen.”

Quishing

Nog een phishingtrend waar deze week voor gewaarschuwd wordt is ‘quishing’: een praktijk waarbij oplichters QR-codes verspreiden waar malafide URL-codes achter verstopt zitten. Zo waarschuwt de FOD Economie voor facturen die van officiële instanties lijken te komen en slachtoffers aanmanen om te betalen via een QR-code, die vervolgens naar phishingwebsites leidt.

“Hackers merken al langer dat externe links vaker geblokkeerd worden door onze mailboxen”, zegt de ethische hacker. “En dus nemen ze nu toevlucht tot afbeeldingen in een mail, met daarop een QR-code.”

Daarnaast zijn we ook veel minder waakzaam op onze smartphone dan op onze computers, merken beide experts op. “Het is een van mijn allergrootste ergernissen”, zucht Willems. “Zelfs als ik lezingen geef aan een publiek dat actief met cybersecurity bezig is, merk ik dat minder dan een op de tien een veiligheidspakket zoals Norton op de smartphone heeft. Terwijl we dat op onze pc toch heel normaal vinden.”

De Ceukelaire en Willems benadrukken allebei om ook op smartphone kritischer om te gaan met links. “Als je met je smartphone-camera een QR-code bekijkt, zie je eerst een preview van een link. Maar zelfs als je per ongeluk naar de achterliggende website gaat, is het nog niet meteen gevaarlijk, zolang je geen betaalgegevens deelt, bijvoorbeeld”, aldus De Ceukelaire.

“Maar het beste advies is dat er altijd alternatieven zijn voor QR-codes”, klinkt het bij Willems. “Als je je niet comfortabel voelt bij een QR-code op restaurant bijvoorbeeld kan je nog altijd de menukaart vragen. QR-codes zijn quasi altijd optioneel.”

AI-vriendschappen

Zoals er allang vriendschapsfraude bestaat, is er nu ook een AI-versie van. “Vroeger moest iemand met slechte bedoelingen hierbij aan de andere kant van het scherm zitten”, zegt De Ceukelaire. “Die vertaalde dan via Google Translate je berichten om vervolgens – vaak gebrekkig – te antwoorden.”

Maar intussen zijn we een stap verder, waarschuwt hij. “We moeten nu opletten voor vriendschapsfraudes waarbij er niemand meer aan de andere kant van het scherm zit. Mensen, vaak de meest kwetsbaren, zitten gewoon tegen bots te praten die geprogrammeerd zijn om hun tijd te nemen en langzaam vertrouwen te winnen zodat het slachtoffer geld geeft.”

Volgens de ethische hacker wordt dit “het nieuwe goud van phishing”. Want de AI-bots zijn niet moeilijk om op te zetten, en in vergelijking met vroeger kan een crimineel zo met veel meer slachtoffers tegelijk (laten) praten.

De techniek bij deze moderne vriendschapsfraude verandert dus, maar het advies niet, aldus De Ceukelaire: “Ik raad nog altijd aan om elkaar eens face to face te spreken. En ja, dan kan het nog altijd gaan om deepfake-beelden, maar voorlopig zien we zulke grote inspanningen niet tegen de modale burger gebruikt worden.”