Van der Valk-gasten misleid door phishing bij medewerkers

In dit artikel:

Bij twee Van der Valk-hotels in Amsterdam en Almere zijn persoonsgegevens van enkele honderden reserveringen buitgemaakt nadat personeel op phishinglinks klikte en inloggegevens invulde op een nagemaakte personeelspagina. De aanvallers gebruikten social engineering en een overtuigende valse inlogomgeving om toegang te krijgen tot klantdata; daarna richtten zij zich rechtstreeks op gasten via apps en e-mails om boekingen te laten bevestigen en betaalgegevens te ontfutselen.

Het incident vond recent plaats en illustreert hoe phishing-as-a-service en geduldige social engineering aanvallen ook voor minder technisch onderlegde criminelen effectief maken. Volgens berichtgeving verloor ten minste één gast 200 euro; Van der Valk erkent meerdere gevallen waarin gasten vooruit betaalden naar een verkeerd rekeningnummer. De keten neemt de verantwoordelijkheid en vergoedt de gedupeerden, zegt dat de situatie onder controle is en dat de datadiefstal beperkt bleef tot de twee vestigingen. Exacte aanvullende beveiligingsmaatregelen worden niet openbaar gemaakt. Het voorval benadrukt het belang van blijvende phishingtraining en strikte procedures in sectoren met veel klantgegevens.