🔹 Kassa
Het TV-programma Kassa besteedde vanavond aandacht aan de al jaren aan de gang zijnde 'Booking.com oplichting', zie https://www.bnnvara.nl/kassa/artikelen/bookingcom-blijft-kampen-met-criminelen-die-reizigers-duperen.
🔹 2FA/MFA?
Hoewel de werkwijze van de oplichters goed werd toegelicht, werd niet duidelijk waar je zelf op moet letten, en bovendien vond Dave Maasland het helaas nodig om te vertelien dat je vooral meer-factor authenticatie (ook bekend als MFA of 2FA) zou moeten gebruiken. Idioot, want:
1) Zwakke 2FA/MFA, middels een Authenticator app of SMS, helpt steeds vaker NIET als je op een nepwebsite inlogt (die op de echte lijkt maar een afwijkende domeinnaam heeft);
2) In deze context is het advies helemaal absurd omdat je gevraagd wordt om een creditcardbetaling te doen op een nepwebsite - waar je helemaal niet op hoeft in te loggen!
🔹 Wat speelt hier?
Bij veel hotels zijn computers slecht beveiligd, of hotelmedewerkers trappen in scams en installeren onbedoeld kwaadaardige software op de administratieve computer(s) van het hotel. Daardoor kunnen criminelen op afstand toegang verkrijgen tot die computers.
Met die toegang kan een crimineel (op afstand dus) zich voordoen als echte hotelmedewerker en daarmee in het systeem zien welke klanten via booking.com hebben geboekt en wat hun contactgegevens zijn. Ook kan zo'n crimineel, zich voordoend als een hotelmedewerker, *via* booking.com, e-mails naar klanten sturen - nep natuurlijk.
Booking.com weet niet dat de afzender geen echte hotelmedewerker is. De klant, die zo'n nepmail ontvangt met écht booking.com als verzendende organisatie, kan niet eenvoudig nep van echt onderscheiden, vooral niet als de in de e-mail opgenomen link een "URL-verkorter" is (zoals https://s.id/1HGqM, feitelijk een website van een derde partij die jouw browser doorstuurt) of een QR-code.
🔹 Linke link
De link in de in Kassa getoonde e-mail (zie het linkerplaatje hieronder) was, voor mensrn die weten waar zij op moeten letten, duidelijk foute boel. Immers geen fatsoenlijke organisatie gebruikt een domeinnaam die eindigt op:
        id178177[.]com
of
        maaktnietuit[.]id178177[.]com
Nb. hierboven heb ik de . vervangen door [.] om per ongeluk openen te voorkómen.
🔹 Adresbalk van browser
Aan een eventuele "verkorte URL" kunt u nog niets zien; zoals ik in mijn "Sint" waarschuwing (https://infosec.exchange/@ErikvanStraten/113488427652048575) schreef is de domeinnaam (het adres van de website), die u uiteindelijk in de adresbalk van uw browser ziet, het enige dat u kunt vertrouwen en waar u op moet letten als u ergens moet inloggen, (bank-of persoons-) gegevens moet invoeren, iets moet downloaden of getoonde informatie moet kunnen vertrouwen.
🔹 Domeinnaam in link
Om veilig te kunnen internetten is het *noodzakelijk* dat u weet welk deel van een link (ook URL genoemd) de domeinnaam is en hoe u deze moet interpreteren - zodat u die domeinnaam in de belangrijkste delen kunt interpreteren.
🔹 reservations[.]id178177[.]com
De website met die organisatienaam en voorvoegsel bestaat niet meer, zoals in het plaatje rechtsonder te zien is. Het essentiële deel van de link heb ik met rood onderstreept. Ongeacht hoe overtuigend de webpagina is, op een website met zo'n domeinnaam moet je geen (creditcard) betalingen doen.
Een beetje kennis en opletten kan veel schade en frustraties voorkómen!
#Scams #Booking #Phishing #Cybercrime #Kassa #BookingCom
