Hotelmedewerkers die op phishinglinks klikten, openden onbedoeld de deur voor cybercriminelen. Het gevolg: gasten van twee Van der Valk-hotels werden opgelicht nadat hun persoonsgegevens waren buitgemaakt.

Cybercriminelen blijven succesvol door social engineering en geduld als effectieve wapens in te zetten. Bij Van der Valk speelde menselijk gedrag de hoofdrol in dit incident. De aanvallers creëerden een valse inlogpagina die sterk leek op het echte personeelssysteem. Hotelmedewerkers die hierop hun inloggegevens invulden, gaven de aanvallers onbedoeld toegang tot klantdata.

Na het bemachtigen van de gegevens van enkele honderden reserveringen bij de locaties Amsterdam en Almere, gingen de hackers over tot gerichte oplichtingspogingen. Ze benaderden gasten rechtstreeks via apps en e-mails met het verzoek boekingen te bevestigen en creditcardgegevens in te vullen.

Gasten direct benaderd door criminelen

Phishing-as-a-Service maakt dit soort aanvallen steeds toegankelijker voor criminelen zonder uitgebreide technische kennis. Het incident toont aan dat personaltraining rond phishing essentieel blijft, vooral in sectoren waar medewerkers regelmatig met klantendata werken.

De Telegraaf meldt dat één gast op deze manier 200 euro kwijtraakte. De hotelketen bevestigt aan persbureau ANP dat er “enkele schadegevallen bekend zijn van gasten die vooruit hebben betaald aan een verkeerd banknummer”. Van der Valk neemt volledige verantwoordelijkheid en vergoedt alle schade aan gedupeerde gasten.

Van der Valk vergoedt alle schade

Het bedrijf stelt dat het probleem “inmiddels volledig onder controle” is en sluit “op dit moment” uit dat er bij andere hotels gegevens zijn gestolen. Deze beperking tot twee locaties suggereert dat de aanval gericht was uitgevoerd. De hotelketen heeft sindsdien extra beveiligingsmaatregelen genomen, al worden hierover geen details gedeeld om potentiële aanvallers geen handvatten te bieden.