UNIZO roept hotels, logiesuitbaters en reizigers op om extra waakzaam te zijn voor phishing-berichten die gebruikmaken van echte hotel- en boekingsgegevens. Aanleiding zijn recente meldingen uit de hotelsector waarbij gasten via onder meer WhatsApp, e-mail of berichtenplatformen frauduleuze betaalverzoeken ontvangen.  De berichten lijken betrouwbaar omdat ze vaak correcte informatie bevatten, zoals naam, verblijfsdatum, hotelnaam of reservatiegegevens.

“Dit soort phishing is bijzonder gevaarlijk omdat criminelen niet langer mikken met een vaag, slecht geschreven bericht, maar met echte reservatiegegevens. Voor een gast lijkt zo’n WhatsApp-bericht daardoor perfect geloofwaardig: de naam, de boeking en zelfs het hotel kloppen. Net dat maakt deze fraude zo moeilijk te herkennen. Ook bij UNIZO krijgen we hierover vragen en signalen van Belgische hoteluitbaters. Dat toont dat dit geen ver-van-ons-bedprobleem is en ook onze ondernemers rechtstreeks raakt. Hotels doen er goed aan hun gasten actief te waarschuwen, maar ook boekingsplatformen en softwarepartners moeten hun verantwoordelijkheid nemen om zulke fraude sneller te detecteren en te stoppen.”

De waarschuwing volgt op recente berichtgeving over een datalek dat meer dan honderd Nederlandse hotels zou treffen, met ook meldingen uit België en Ierland. Volgens berichtgeving van onder meer Tweakers, NOS en BNR zouden klant- en reservatiegegevens zijn buitgemaakt en vervolgens gebruikt worden voor zeer overtuigende phishing-pogingen richting gasten. Ook Booking.com waarschuwde eerder dit voorjaar voor het risico dat onbevoegden toegang kregen tot bepaalde boekingsinformatie. 

Wat moeten gasten doen?

UNIZO vraagt reizigers om extra alert te zijn bij elk bericht waarin gevraagd wordt om een betaling opnieuw uit te voeren, kaartgegevens te verifiëren of dringend op een link te klikken om een reservatie te behouden.

“Onze boodschap aan reizigers is eenvoudig, klik nooit zomaar op een betaallink die u via WhatsApp, sms of e-mail krijgt, zeker niet wanneer er druk wordt gezet of wanneer u twijfelt. Controleer uw reservatie altijd via het officiële account van het boekingsplatform of via de officiële website van het hotel, en gebruik nooit de contactgegevens uit het verdachte bericht zelf. Het verraderlijke is dat zulke berichten vandaag soms echte reis- en reservatiegegevens bevatten. een verdacht bericht krijgt, stuurt het best door naar verdacht@safeonweb.be. Wie toch betaal- of kaartgegevens heeft gedeeld, neemt onmiddellijk contact op met de bank en Card Stop. Bij financieel verlies of identiteitsmisbruik is ook aangifte bij de politie aangewezen.”

Wat moeten hotels en logiesuitbaters doen?

UNIZO raadt hotels aan om niet te wachten tot er een incident is, maar nu al hun digitale procedures na te kijken. Daarbij gaat het niet alleen om technische beveiliging, maar ook om duidelijke communicatie naar gasten.

“Hotels doen er goed aan om hun gasten proactief te informeren dat zij nooit via WhatsApp, sms of een losse link om creditcardgegevens vragen. Daarnaast moeten medewerkers extra waakzaam zijn voor phishingmails die zogezegd afkomstig zijn van gasten, boekingsplatformen of softwareleveranciers. Volgens Booking.com zijn phishing-pogingen bij partners vaak gericht op het stelen van reserveringsgegevens, persoonlijke informatie of creditcardinformatie.”

Concreet adviseert UNIZO hotels om minstens deze stappen te zetten:

  • Activeer multifactor-authenticatie op alle accounts van boekingsplatformen, hotelsoftware en mailboxen.
  • Controleer wie toegang heeft tot reserveringssystemen en verwijder oude of overbodige accounts.
  • Verander wachtwoorden bij de minste twijfel over misbruik.
  • Informeer personeel over phishing-berichten die zich voordoen als reservatievragen, klachten of betaalproblemen.
  • Publiceer op de website en in bevestigingsmails een korte waarschuwing aan gasten: “Wij vragen nooit betaalkaartgegevens via WhatsApp, sms of losse betaallink.”
  • Meld verdachte berichten en links via verdacht@safeonweb.be.
  • Documenteer incidenten en ga na of er sprake is van een datalek. Wanneer persoonsgegevens betrokken zijn en er een risico bestaat voor de rechten en vrijheden van betrokkenen, moet een gegevensinbreuk in principe zo snel mogelijk en uiterlijk binnen 72 uur gemeld worden aan de Gegevensbeschermingsautoriteit.

Vertrouwen beschermen

Voor UNIZO is dit incident opnieuw een duidelijk signaal dat cybersecurity rechtstreeks aan vertrouwen tussen ondernemer en klant raakt.

“Boekingsplatformen, softwareleveranciers en sectororganisaties moeten hier snel en transparant over communiceren. Getroffen ondernemers hebben nood aan duidelijke informatie, snelle ondersteuning en concrete veiligheidsrichtlijnen die ze meteen met hun gasten kunnen delen. Zeker kleine hotels en zelfstandige logiesuitbaters staan hier kwetsbaar. Zij krijgen dezelfde digitale dreigingen over zich heen als grote ketens, maar hebben niet altijd dezelfde IT-capaciteit. 

 

Nuttig voor jou