Een phishingaanval bij hotelketen Bastion Hotels heeft
geleid tot een datalek waarbij gegevens van ongeveer 6000 hotelgasten zijn
buitgemaakt. Het incident laat opnieuw zien hoe cybercriminelen te werk gaan en
hoe één fout hele grote gevolgen kan hebben. We vertellen je alles wat je moet
weten.
Dit keer is Bastion Hotel het slachtoffer van een grote phishingaanval.
Deze aanval past in een bredere trend van phishingcampagnes waarbij bedrijven
misbruikt worden door oplichters, zoals recent het geval was bij Odido.
Hoe het datalek bij Bastion Hotels ontstond
De aanval begon toen een medewerker van Bastion Hotels op
een phishinglink klikte in een e-mail. De link leek afkomstig van het
reserveringssysteem van de hotelketen, maar leidde in werkelijkheid naar een
nagemaakte website van cybercriminelen.
Daardoor kregen de aanvallers toegang tot boekingsgegevens
van ongeveer 6000 gasten uit zeven hotels:
• Almere
• Amsterdam Airport
• Amsterdam Amstel
• Amsterdam Noord
• Amsterdam Zuidwest
• Amersfoort
• Apeldoorn
De gestolen informatie bestaat onder andere uit namen,
telefoonnummers, adressen, nationaliteiten en boekingsdata. Ook een klein deel
van betaalgegevens is buitgemaakt, namelijk de laatste vier cijfers van
creditcards en de vervaldatum.
Na het verkrijgen van de gegevens begonnen de oplichters
direct met een nieuwe aanval. Gasten ontvingen WhatsApp- en sms-berichten
waarin werd gevraagd hun reservering binnen 12 uur te verifiëren via een link.
De berichten kwamen van een nummer met een Indonesische
landcode. Verder werd het logo van Bastion Hotels gebruikt als profielfoto om
vertrouwen te wekken. Tot in de details hebben de criminelen dus nagedacht.
De hotelketen benadrukt dat zij nooit betaalverzoeken via
sms of WhatsApp verstuurt en heeft getroffen gasten meerdere waarschuwingen
gestuurd via e-mail en sms.
De link met Odido en telecomfraude
De aanval laat ook zien hoe telecomnetwerken een belangrijke
rol spelen bij moderne phishing. Oplichters gebruiken massaal sms en WhatsApp
om slachtoffers te bereiken, vaak via buitenlandse nummers of anonieme
prepaidverbindingen.
Telecomproviders zoals Odido proberen dit soort fraude
actief te bestrijden door verdachte sms-campagnes te blokkeren en
phishingnummers te identificeren. Toch blijft het lastig om alle aanvallen te
stoppen, omdat cybercriminelen voortdurend nieuwe nummers en technieken
gebruiken.
Phishing via sms, ook wel smishing genoemd, groeit snel.
Volgens cybersecurity-experts is deze methode effectief omdat berichten direct
op iemands telefoon verschijnen en vaak een gevoel van urgentie creëren.
McAfee Total Protection incl VPN - Beveiligingssoftware - 1 jaar/5 Apparaten - Nederlands - Windows, Mac, iOS & Android Download
Het Bastion-incident staat niet op zichzelf. In 2024 werden
ook gasten van Van der Valk benaderd door cybercriminelen nadat hotelgegevens
waren buitgemaakt via een phishingaanval op een medewerker.
Wat kun je zelf doen?
Experts adviseren om altijd kritisch te zijn bij berichten
met links, vooral wanneer er druk wordt gezet om snel te handelen. Controleer
altijd de afzender en open bij twijfel nooit een link via sms of WhatsApp.
In een tijd waarin steeds meer diensten digitaal verlopen én
AI heel snel de overhand neemt is het belangrijk met z’n allen extra scherp te
blijven. Klik nooit zomaar op een link die om persoonlijke of betaalgegevens
vraagt.