Cybercriminelen die zich voordoen als klantenservicemedewerkers richten zich op gasten van de Nederlandse hotelketen Bastion Hotels. Klanten ontvangen op WhatsApp schijnbaar phishing-berichten met daarin opmerkelijk veel persoonlijke gegevens, meldt AD na een gesprek met twee Bastion-gasten en het zien van een e-mail die het hotel hen heeft gestuurd.
In de e-mail waarschuwde Bastion gasten om niet op de berichten te reageren en niet op links te klikken. De cybercriminelen hebben hun contactgegevens waarschijnlijk verkregen via een datalek, hetzij bij Booking.com, hetzij bij het hotel, maar dit is niet bevestigd.
Een gast van Bastion Hotels vertelde aan AD dat hij dinsdag ineens WhatsApp-berichten ontving van een bedrijf in Brazilië. Het bedrijf wist verdacht veel over hem: zijn naam en telefoonnummer, evenals zijn reisinformatie. Ze wisten in welk hotel hij verbleef en wanneer.
De gast stuurde AD-screenshots van de nogal vage berichten, schijnbaar in een poging hem ervan te overtuigen een betaling te doen. “We begrijpen dat u zich zorgen maakt over betalingen, dus laten we dit verduidelijken”, luidt een bericht. “Tijdens de verificatie wordt het boekingsbedrag tijdelijk voor slechts 1 minuut geblokkeerd. U dient dit te bevestigen via een pushmelding in uw bankieren-app.” De man vertrouwde de berichten niet en blokkeerde de afzender.
Een andere gast van Bastion vertelde AD dat ze opgelicht waren. “Ik heb Bastion Hotels om opheldering gevraagd, zowel telefonisch als per e-mail, maar krijg hetzelfde botte antwoord: ze zijn er mee bezig. Ik heb gevraagd of ze het lek hebben gemeld: geen antwoord.”
Bastion Hotels vertelde AD dat het op dit moment geen tijd had om de vragen van de krant te beantwoorden. “We begrijpen uw zorgen, maar zoals u zult begrijpen hebben we op dit moment andere prioriteiten”, zegt een woordvoerder schriftelijk tegen het AD. “We nemen contact met u op zodra we meer informatie hebben.”
Op grond van de Europese privacywetgeving moeten bedrijven datalekken melden bij de Autoriteit Persoonsgegevens (AP). AP kon de krant niet vertellen of zij een rapport heeft ontvangen waarin wordt verwezen naar de privacyregelgeving.
