Het is januari 2026 en wie denkt zorgeloos te kunnen boeken bij een grote speler als Booking.com, komt van een koude kermis thuis. Een onthulling van De Telegraaf laat zien dat het platform worstelt met een ernstige beveiligingskwetsbaarheid waar gewone reizigers de dupe van zijn. Honderden mensen raakten geld kwijt door een fraudetruc die plaatsvindt binnen de vertrouwde omgeving van de app zelf. De reactie van het bedrijf staat onder een vergrootglas: volgens Booking.com is de beveiliging juist verbeterd, terwijl de klachten blijven stijgen.
Hoe de fraude werkt
De aanpak van de criminelen is eenvoudig én effectief. Een reiziger boekt een kamer en ziet kort daarna in de officiële app een bericht dat lijkt te komen van de accommodatie. De boodschap: de aanbetaling is niet goed verwerkt, of er zijn extra gegevens of een nieuwe betaling nodig. Er staat een link bij waarmee je direct kunt betalen.
Omdat het bericht in de app verschijnt en oogt als een legitieme conversatie met het hotel, klikken veel mensen door. Maar het is niet het hotel dat schrijft. Het gaat om hackers die toegang hebben gekregen tot de accounts van accommodaties. Via die gehackte inlog sturen ze klanten naar valse betaalpagina’s. Het resultaat is voorspelbaar: het geld is weg en de reservering staat nog gewoon open zonder dat er iets is betaald.
Waarom criminelen binnenkomen
Ethisch hacker Sijmen Ruwhof wijst op een bekende zwakke plek: gestolen en hergebruikte wachtwoorden. Op het dark web circuleren inmiddels miljarden combinaties van e-mails en wachtwoorden. Veel kleinere hotels en gastadressen hebben geen IT-afdeling, gebruiken zwakke wachtwoorden en schakelen geen tweestapsverificatie in. Als een kwaadwillende een partneraccount overneemt, kan die meelezen, klantgegevens inzien en via de app geloofwaardige berichten sturen.
Daarmee stopt het niet. Zodra criminelen telefoonnummers en e-mailadressen van gasten hebben, volgen soms ook berichten via WhatsApp of e-mail, opnieuw “namens het hotel”, met nieuwe links of “bevestigingen” die tot extra betalingen leiden. Zo wordt de druk opgevoerd en wordt een slachtoffer meerdere keren geraakt.
Cijfers en meldingen
De Fraudehelpdesk ziet een duidelijke toename in meldingen. Waar in 2024 zo’n 25.000 euro schade werd geregistreerd, liep dat in 2025 op naar ongeveer 65.400 euro. In de eerste weken van 2026 komen er opnieuw veel klachten binnen. Het gaat daarbij om gemelde schade; de werkelijke schade kan hoger liggen, omdat niet iedereen aangifte doet of een melding maakt.
Die stijging zet vraagtekens bij de effectiviteit van de beveiligingsmaatregelen op het platform. Tegelijkertijd zijn criminelen handiger geworden in het nabootsen van communicatie en betaalpagina’s, mede dankzij goedkope en toegankelijke technologie.
Reactie van Booking.com
Booking.com stelt dat de beveiliging de afgelopen tijd is verbeterd. Het bedrijf wijst erop dat grote platforms vaker te maken hebben met dit soort fenomenen en dat er continu wordt geïnvesteerd in bescherming. Volgens een woordvoerder verklaart de stijging in meldingen deels dat mensen het tegenwoordig sneller durven te zeggen als ze zijn opgelicht. Ook zegt het bedrijf dat het ondersteuning biedt en in sommige gevallen uit coulance vergoedt.
Die uitleg roept kritiek op. Consumentenorganisaties en beveiligingsexperts vinden dat de verantwoordelijkheid niet mag worden afgeschoven. Als criminelen via partneraccounts de app-omgeving kunnen misbruiken, dan moet het platform die toegang beter beveiligen en partners helpen om sterke beveiliging af te dwingen.
Verantwoordelijkheid en de rol van partners
Een centraal punt is tweestapsverificatie (2FA). Als partneraccounts standaard 2FA zouden vereisen, wordt het voor aanvallers veel lastiger om binnen te komen met alleen een gestolen wachtwoord. Nu is die extra stap bij veel partners nog niet verplicht. Voor kleine ondernemers kan het instellen ervan een drempel zijn, maar het is een van de meest effectieve maatregelen tegen accountovernames.
Daarnaast kunnen platforms afwijkend gedrag vroegtijdig detecteren: bijvoorbeeld als een account ineens massaal betaalverzoeken of links verstuurt, of als er wordt ingelogd vanaf ongebruikelijke locaties. Strakkere controles op links in berichten, tijdelijk blokkeren van verdachte communicatie en duidelijke waarschuwingen aan gasten kunnen de schade beperken.
Wat reizigers nu zelf kunnen doen
Totdat de beveiliging strakker is ingericht, doen reizigers er goed aan extra kritisch te zijn op betaalverzoeken en links, ook als die in de app verschijnen. Praktische tips:
- Betaal alleen via de officiële betaalfunctie van het platform en niet via losse links in berichten.
- Controleer in je reserveringsoverzicht of er nog een betaling openstaat. Klopt iets niet? Klik niets aan.
- Bel bij twijfel rechtstreeks met de accommodatie via het nummer in je boekingsbevestiging of zoek het officiële nummer op.
- Wees alert op WhatsApp- of e-mailberichten die om extra betalingen vragen, zeker als er tijdsdruk wordt gezet.
- Gebruik bij voorkeur een creditcard met aankoopbescherming en zet waar mogelijk transactiealerts aan.
- Meld verdachte berichten direct bij Booking.com, je bank en de Fraudehelpdesk. Doe bij verlies aangifte.
Wat Booking.com en partners kunnen verbeteren
De belangrijkste stap is het verplicht stellen van tweestapsverificatie voor alle partneraccounts. Dat verlaagt het risico op accountovernames ingrijpend. Verder kan het platform:
- Links in partnerberichten standaard filteren of markeren, en alternatieve, veilige betaalflows afdwingen.
- Realtime detectie inzetten op afwijkende logins en massamessaging, met snelle blokkades waar nodig.
- De zichtbare waarschuwingen in de app aanscherpen, vooral bij betaalverzoeken buiten de officiële checkout.
- De hoeveelheid klantdata die zichtbaar is voor partners beperken tot wat noodzakelijk is voor het verblijf.
- Bij bewezen platformmisbruik ruimhartig en proactief compenseren, en slachtoffers actief begeleiden.
- Partners trainen en ondersteunen bij basisbeveiliging: sterke wachtwoorden, 2FA en veilige workflows.
Met deze combinatie van technische maatregelen en duidelijke procedures kan het platform een groot deel van de huidige fraudestromen afsnijden. De kern is het verminderen van de impact van een gestolen wachtwoord en het beperken van de schade als een account toch wordt misbruikt.
De bredere context
Online fraude groeit al jaren. Criminelen combineren gelekte data met overtuigende communicatie en maken slim gebruik van het vertrouwen dat gebruikers hebben in grote merken en apps. Dat is geen uniek probleem voor één bedrijf, maar het betekent wel dat elk platform dat financiële transacties faciliteert, extra verantwoordelijkheid draagt om misbruik te voorkomen en snel te reageren als het misgaat.
Transparantie speelt daarbij een grote rol: laat zien welke maatregelen zijn genomen, rapporteer aantallen incidenten en herstelacties, en communiceer helder met gebruikers en partners over wat wel en niet kan binnen de app. Hoe duidelijker de spelregels, hoe kleiner de kans dat een nepbericht geloofwaardig overkomt.
Vooruitblik
Zolang criminelen via partneraccounts berichten kunnen sturen die niet te onderscheiden zijn van echte communicatie, blijft het risico bestaan. De druk om tweestapsverificatie te verplichten en de berichtfunctie strenger te bewaken, zal daarom toenemen. Voor reizigers geldt voorlopig: wees extra waakzaam bij elk betaalverzoek, bel bij twijfel altijd het hotel en meld verdachte situaties direct.
Digitale gemak en echte veiligheid gaan alleen samen als de basis goed is geregeld. Met stevige eisen aan partnerbeveiliging, betere detectie en duidelijke waarschuwingen kan het platform het vertrouwen herstellen. Tot die tijd is gezond wantrouwen je beste bescherming.
