In januari 2026 blijkt dat boeken via een vertrouwd platform als Booking.com lang niet zo veilig is als veel mensen denken. Uit berichtgeving van de Telegraaf komt naar voren dat een grote groep Nederlandse reizigers is opgelicht via berichten binnen de app zelf. Honderden mensen zijn geld kwijtgeraakt nadat ze, in een ogenschijnlijk veilige omgeving, op valse betaalverzoeken klikten. Het vertrouwen in het platform krijgt daarmee een flinke deuk.
Werkwijze van de oplichters
Het patroon is steeds hetzelfde. Iemand reserveert een kamer of appartement via de app. Even later verschijnt er, binnen diezelfde app, een bericht dat lijkt te komen van de accommodatie. De boodschap: er is iets misgegaan met de aanbetaling of kaartverificatie, en er moet via een linkje opnieuw betaald worden. Omdat het bericht in de officiële chat van Booking.com staat, voelt het betrouwbaar. Maar de link leidt naar een nagemaakte betaalpagina. Het geld verdwijnt direct naar criminelen en de boeking blijft onbetaald achter.
Hoe komen die berichten in de app terecht? Volgens beveiligingsexperts hebben criminelen inloggegevens van hotels buitgemaakt. Daarmee krijgen ze toegang tot de partneromgeving van Booking.com en kunnen ze klanten via de officiële chat benaderen. In sommige gevallen nemen ze ook via WhatsApp contact op, zogenaamd namens het hotel, om nog meer te incasseren.
Hoe criminelen binnenkomen
Ethisch hacker Sijmen Ruwhof legt uit dat er miljarden gelekte wachtwoorden circuleren op het dark web. Veel hotels zijn kleine ondernemingen zonder eigen IT-afdeling. Zij gebruiken nog te vaak zwakke wachtwoorden, hergebruiken inloggegevens of hebben geen tweestapsverificatie ingesteld. Daardoor is het voor criminelen relatief eenvoudig om accounts over te nemen.
Hier ligt een duidelijke verantwoordelijkheid voor Booking.com. Het platform kan namelijk veiligheidsmaatregelen afdwingen, zoals verplichte tweestapsverificatie voor alle partners en strengere controles bij inlogpogingen. Dat gebeurt nu onvoldoende, met alle risico’s voor gasten tot gevolg.
Stijgende schade en meldingen
De cijfers laten zien dat het probleem groeit. In 2024 werd er voor bijna 25.000 euro aan schade gemeld. Een jaar later liep dat op tot 65.400 euro. In de eerste weken van 2026 komen er bij de Fraudehelpdesk opnieuw veel klachten binnen. Niet elke zaak wordt gemeld, dus de werkelijke schade kan nog hoger liggen.
Reactie van Booking.com
Booking.com stelt dat de beveiliging de afgelopen tijd juist is verbeterd. Ook zegt het bedrijf dat het hogere aantal meldingen mogelijk komt doordat mensen het minder gênant vinden om toe te geven dat ze zijn opgelicht. Verder benadrukt het platform dat het “streeft naar ondersteuning” en in sommige gevallen geld terugbetaalt als “blijk van goede wil”. Ook wijst het erop dat veel grote platforms met dit soort fraude te maken hebben.
Die reactie roept vragen op. Voor slachtoffers voelt het als een vorm van schuld doorschuiven, terwijl de oplichting plaatsvindt binnen de systemen van het platform. Als accounts van partners eenvoudig kunnen worden overgenomen en klanten via de app zelf naar valse betaalpagina’s worden gestuurd, dan ligt daar een duidelijke taak voor de aanbieder om de toegang en communicatie beter te beveiligen.
Risico’s voor privacy en vertrouwen
Wanneer criminelen toegang krijgen tot partneraccounts, zien ze vaak ook reserveringsgegevens: namen, telefoonnummers en e-mailadressen van gasten. Daarmee kunnen ze hun verhaal overtuigend maken en het contact verplaatsen naar andere kanalen, zoals WhatsApp. Het tast niet alleen de portemonnee van reizigers aan, maar ook het vertrouwen in digitale boekingsplatforms als geheel.
Wat kun je zelf doen als reiziger?
Complete veiligheid garanderen kan niemand, maar met een paar stappen verklein je het risico aanzienlijk:
- Wees extra alert op betaalverzoeken. Betaallinks in app-chats zijn verdacht, ook als ze er professioneel uitzien.
- Betaal alleen via de officiële betaalpagina van het platform of bij check-in. Twijfel je? Bel de accommodatie via het nummer op de officiële boekingsbevestiging.
- Controleer de url van betaalpagina’s. Een kleine afwijking kan al duiden op fraude.
- Gebruik bij voorkeur een creditcard met aankoopverzekering en chargeback-mogelijkheid.
- Ben je toch geld kwijt? Neem direct contact op met je bank, meld het bij de Fraudehelpdesk en doe aangifte.
Wat Booking.com zou moeten doen
Er zijn praktische maatregelen die de risico’s flink kunnen verlagen:
- Verplichte tweestapsverificatie voor alle partneraccounts, zonder uitzonderingen.
- Striktere wachtwoordregels en automatische detectie van verdachte inlogpogingen en locaties.
- Beperk of blokkeer klikbare links in partnerchats, of leid betalingen alleen via een afgeschermd, intern betaalkanaal.
- Realtime monitoring op afwijkend gedrag in chats (bijvoorbeeld plots massaal verstuurde betaalverzoeken).
- Transparante rapportages over incidenten en herstel, zodat gebruikers weten waar ze aan toe zijn.
- Snelle en consequente compensatie wanneer fraude via het platform mogelijk is gemaakt.
Waarom afdwingen loont
Het argument dat strengere beveiliging “lastig” is voor partners, weegt niet op tegen de schade voor consumenten en het reputatierisico voor het platform. Ja, tweestapsverificatie kost een extra handeling. Maar het voorkomt dat een gestolen wachtwoord meteen toegang geeft tot klantgegevens en chatfuncties. Voor een wereldwijd platform met miljoenen boekingen is het afdwingen van deze basismaatregel geen luxe, maar noodzaak.
Steun onafhankelijke berichtgeving
Dit soort verhalen komt boven tafel dankzij kritische journalistiek. Wil je bijdragen aan onafhankelijk nieuws en onderzoeken naar digitale veiligheid? Overweeg dan een donatie. Dat kan snel via BackMe of via een bankoverschrijving:
- BackMe: dds.backme.org
- IBAN: NL95 RABO 0159 0983 27 t.n.v. Liberty Media (zet je e-mailadres in de omschrijving voor toegang tot extra columns)
Samenvatting en vooruitblik
Oplichters misbruiken overgenomen partneraccounts om reizigers binnen de Booking.com-app naar valse betaalpagina’s te sturen. Het aantal meldingen en de totale schade nemen toe. Beveiligingsexperts wijzen op zwakke wachtwoorden en het ontbreken van tweestapsverificatie bij hotels. Booking.com zegt dat de beveiliging is verbeterd en biedt soms compensatie, maar de kern blijft: zolang basismaatregelen niet worden afgedwongen, blijft het risico voor gebruikers groot.
De komende maanden zal duidelijk worden of het platform harde stappen zet. Verplichte tweestapsverificatie, veiligere chatfuncties en transparantie over incidenten zijn essentieel om het vertrouwen te herstellen. Tot die tijd geldt voor reizigers: betaal niet via linkjes uit chats, controleer alles dubbel en bel bij twijfel altijd de accommodatie.
