Grybetrotter (og Jobetrotter) har lenge vært fan av nettsiden booking.com. Desverre må vi i dag si at vi ikke lenger anser booking.com for å være et sted der det er trygt å bestille hotelloppholdene sine.
Vår erfaring er at booking.com ser ut til å ha store sikkerhetsproblemer. Vi ser desverre heller ikke noen tegn til at dette bare er et kortvarig problem. Svarene vi har fått fra kundesupport tyder på at booking.com enten ikke forstår alvoret i sikkerhetsproblemene de har, eller at de ikke bryr seg. Booking.com har nå blitt et nettsted der det ser ut til å være mer sannsynlig at du blir utsatt for svindel, enn om du bare tar direkte kontakt med et tilfeldig hotell du finner på google.
Det har vært mange grunner til at booking.com har vært flittig brukt av Grybetrotter og Jobetrotter. Booking.com har historie helt tilbake til 1996 og er i dag et av verdens aller største online reisebyråer. Gjennom booking.com har det vært enkelt å søke opp hoteller over hele verden. Det har vært lett å sammenligne ulike alternativer, og søke opp f.eks rullestoltilgjengelige hotell med basseng. Dette gjør det ofte enklere å søke etter gode tilbud, noe vi ofte har benyttet oss av. Booking.com formidlet også betaling, slik at man slipper å oppgi kredittkortinformasjon til et ukjent hotell på den andre siden av kloden, gjennom mer eller mindre sikre betalingsløsninger. Og de har hatt en meldingsfunksjon der man kommunisere direkte med hotellet, hvor vi ofte har fått svar på ting vi lurer på før vi reiser. Og aller sist har de hatt gode bonusordninger for oss som reiser mye.
De to siste gangene vi har benyttet booking.com har vi nå blitt utsatt for svindel. Dvs, den siste gangen vet vi ikke om er svindel, men om det skulle vise seg at det ikke er svindel, er det nesten enda mer alvorlig fordi det i så fall viser at booking.com oppfordrer kunder til usikker betaling utenom deres eget betalingssystem.
Hvordan vi ble svindlet gjennom booking.com
Ca 1 uke før vi skulle ut å reise til Panama dukket følgende melding opp i den sikre meldingstjenesten booking.com tilbyr for kommunikasjon mellom kunder og hotellene:
Dear [Grybetrotter], unfortunately your booking might be cancelled due to an error during verification of your payment method.
Usually in this case Booking asks to verify your payment method and confirm your identity as a holder.
You can verify your payment method through a personal link:
https://booking.apartment-reserve663014.net/p/6751481XYZ
Please enter your payment details and wait for verification!
Booking will charge your payment method with your reservation amount, and in a minute will credit it back – this is your payment method verification!
(Payment method verification is not a payment or deposit. You pay directly when you arrive at the hotel).
If you want to save your reservation, you must do it within 24 hours, otherwise the reservation will be automatically canceled.
Kindest regards,
Decapolis Hotel Panama City
Klikker man på linken for å verifisere betalingsmåten kommer man til en side som på alle måter ser helt ut som booking.coms egen:
Legger du inn betalingsinformasjon her, blir du svindlet. Vi ble svindlet, og ut forsvant 11 000 kroner som tilsvarte det meste av beløpet vi skulle betale for oppholdet.
Vi liker å tro at vi er ganske oppegående på hva man skal og ikke skal gjøre på Internett. Så aller først vil jeg forklare hva som gjorde at vi faktisk trodde på dette:
At den sikre chat/meldingsfunksjonen i booking.com’s app skulle benyttes av svindlere er noe vi egentlig aldri hadde forestilt oss. På epost og når vi surfer på Internett er vi vant med både uventet arv fra Nigeria og andre tilbud som er for gode til å være sanne. Men når beskjeden kommer gjennom det vi trodde var en sikker meldingstjeneste, så stolte vi på at avsender var den vi trodde det var.
Videre inneholdt jo siden vi kom til når man trykket på linken all relevant informasjon om bookingen vi hadde på hotellet. Våre navn, hotellets navn, dato for ankomst og avreise, og riktig beløp. De eneste som bør ha tilgang til denne informasjonen er oss selv, hotellet, og booking.com. Og siden ser akkurat ut som der man legger inn betalingsinformasjon hos booking.com.
For å gjennomføre denne svindelen, må altså enten hotellet eller booking.com ha store sikkerhetsproblemer. Det kan være at innloggingsinformasjon har kommet på avveie, slik at svindlere har tilgang til bookinginformasjon og meldingstjenesten med hotellet, eller kanskje en ansatt hos hotellet eller booking.com som selv er med på svindelen. Dersom man søker på google ser man også at denne svindelen er forholdsvis vanlig, på flere hoteller enn det vi valgte, og at vi langt fra er de første som opplever det. Her er altså et problem booking.com burde ta på aller høyeste alvor. Vi har tatt kontakt med booking.com’s kundeservice om saken, men nå mer enn to uker senere har de fremdeles ikke svart oss.
For de som leser dette, og selv ønsker å unngå å bli svindlet, kan vi også peke på to ting som gjorde at vi kanskje kunne ha skjønt at dette var svindel. På Internet er domenenavn lagt opp slik at det er den siste delen før .com (eller .no eller lignende) som er den viktigste. Linken i meldingen vi fikk gikk ikke til booking.com, men til apartment-reserve663014.net. Dette burde vi sett.
Det er også relativt uvanlig å plutselig bli bedt om å betale noe innen 24 timer, med advarsel om at bookingen ellers vil kanselleres. Troverdige selskaper (og hoteller) gjør normalt ikke dette, da de ønsker både å ha kunder, og å ha fornøyde kunder. Hadde vi ikke sett meldingen innen 24 timer ville hotellet (hvis meldingen var ekte) mistet kunden sin, og vi ville blitt frustrerte og sinte. Grunnen til at svindlerne ba oss betale innen 24 timer var selvsagt fordi de ønsket at vi ikke skulle tenke oss om to ganger. Noe de desverre lyktes med.
Uansett mener vi at dette var en forholdsvis godt gjennomført svindel, og vi skammer oss ikke så alt for mye for å bli lurt (bare litt).
Vi kan også nevne at vi fikk pengene igjen etterhvert. Først og fremst ved å ta kontakt med selskapet svindleren benyttet som betalingsformidler: WorldRemit. WorldRemit viste seg å ha en fantastisk kundeservice for folk som var utsatt for svindel. De løste saken i løpet av minutter.
Vi tok også kontakt med banken som hadde utstedt kredittkoret: Bank Norwegian. Bank Norwegian virker desverre ikke å ta svindel eller kredittkortsikkerhet på alvor, men slik vi forstår det, så er alle norske banker omtrent like dårlige, så det er ingen grunn til å henge dem ut spesielt.
For de som tror at det å ta kontakt med banken angående nettsvindel skulle være grei skuring, kan det være nyttig å vite hvordan det faktisk foregår. Banken informerte oss først om at de ikke kunne stoppe en reservert transaksjon før den var gjennomført. Banken ba oss derfor ta kontakt med betalingsutsteder. Når vi igjen presiserte at dette var en svindelsak, og at det neppe ville hjelpe å ta kontakt med svindleren, var svaret bare «nei, det er jo vanskelig å ta kontakt hvis det er svindel». Utover det hadde ikke banken noe godt svar. Vi kunne heller ikke bestride transaksjonen hos banken før den var fullført. Banken ba oss derfor ta kontakt igjen når transaksjonen var gjennomført. Etter at WorldRemit hadde stoppet transaksjonen hos seg, og slettet svindlerens konto hos dem, tok det 3 virkedager før banken informerte oss om at alt var ok.
Blir du svindlet på Internett, eller utsatt for identitetstyveri, er det fortsatt slik at mesteparten av jobben må du gjøre selv.
Hvordan en kollega av Jobetrotter ble svindlet på booking.com
Dette blir bare en kort parentes. Men Jobetrotter nevnte svindelen vi hadde blitt utsatt for på jobb. En kollega fortalte da at han selv hadde blitt svindlet gjennom booking.com. Hvordan svindelen ble gjennomført i detalj har vi ikke helt oversikt over. Men det var altså en booking han gjorde, der alt plutselig ble overført fra booking.com til lastminute.com, uten at han hadde bedt om eller gitt sin godkjennelse til dette. Etter dette gjaldt visst plutselig ikke de vanlige avbestillingsvilkårene, etc… Min kollega endte opp med å ta deler av tapet selv.
Vi har ikke selv erfaring med lastminute.com. Men om du googler ordet «scam» og «lastminute.com» ser det ikke særlig bra ut. Søker du på anmeldelser, ser det ut som de har i hvert fall noen fornøyde kunder, men også veldig mange veldig misfornøyde. Det er ikke sikkert hele selskapet er svindel, men vi ville i hvert fall holdt oss unna.
Hvordan booking.com enten står i ledtog med svindlerne, eller er totalt inkompetente
Etter både vår egen, og Jobetrotters kollegas opplevelser var vi naturlig nok ganske skeptiske til booking.com’s sikre meldingstjeneste, og uvanlige betalingsmåter gjennom booking.com’s app. Men det viste seg altså at det neste hotellet vi forsøkte å booke, så var det lignende, om enn ikke helt identiske problemer.
Følgende melding dukket opp i bookings «sikre» meldingstjeneste med hotellet:
Det var litt pussig at denne meldingen fra «hotellet» kom på spansk, siden vi allerede hadde skrevet til hotellet på engelsk og informert dem om rullestol.
For de som ikke er så stive i spansk, meldingen sier at de ønsker oss velkommen, og opplyser om hvordan hotellet skal betales.
Betalingsmåte de foreslår er direkte bankoverføring. Om du blir usikker her, kan vi opplyse om at det ikke er vanlig å betale hotellopphold på forhånd, og i hvert fall ikke et år i forveien. Det normale er å betale ved utsjekk, eller eventuelt ved ankomst. I noen tilfeller vil man bli bedt om å forhåndsbetale et depositum gjennom bookings app. Men det er i hvert fall ikke vanlig å forhåndsbetale hotellopphold ved direkte bankoverføring. Reiser bør betales med kredittkort. Betaler du til en svindler gjennom direkte bankoverføring vil i de fleste tilfeller hverken banken eller kortutsteder hjelpe deg.
Gitt tidligere erfaring, og advarselen booking satte inn nederst i meldingen, antok vi derfor at sansynligheten for at dette var svindel var omtrent 100%. Faktisk mente vi begge at dette var såpass opplagt svindel at booking.com burde ha stoppet meldingen automatisk. En melding som inneholder betalingsinformasjon for internasjonal betalingsoverføring burde umiddelbart ha blitt flagget som svindel av booking.com, lenge før den ble vist oss.
Etter hvert svarte hotellet også på forespørselen vår om rullestol, denne gang på engelsk. Vi informerte derfor hotellet gjennom samme meldingstjeneste om denne meldingen, og at vi antok det var et svindelforsøk de burde være klar over. Om det var hotellet, eller en svindler som svarte, får vi antagelig aldri vite. Men den vi snakket med gjennom bookings «sikre» meldingstjeneste sa i hvert fall fra at de krevde forhåndsbetaling, og at de ikke var hacket.
Enda større ble overraskelsen når vi fikk følgende beskjed fra booking.com’s kundeservice:
Det er nesten vanskelige å tro: booking.com’s egen kundeservice (som nettopp har varslet oss om mulige svindleri deres «sikre» meldingstjeneste) ber oss altså igjen om å forhåndsbetale direkte til «hotellet» uten å benytte booking.com’s eget sikre betalingssystem.
Booking.com har heller ikke svart oss på forespørselen nederst i skjermbildet over. Det har nå gått over en uke. Mangel på svar kan skyldes at vi valgte å avbestille hotellet, men at de lar være å svare, viser også at de ikke bryr seg det minste om sikkerhet på egen platform.
For oss som reisende, viser dette at det ikke lenger er noe å tjene på å benytte booking.com. Du kan benytte tjenesten til å sammenligne priser, og til å finne et egnet hotell i området, men deretter bør du gjøre selve bookingen et annet sted, f.eks via hotels.com eller direkte med hotellet.
Konklusjonen vår er: booking.com flommer over av svindel, de ser ikke ut til å bry seg, og de oppfordrer i tillegg kunder til usikre betalingsmåter.
Strengt tatt spiller det ikke lenger noen rolle for oss om dette er svindel eller ikke. Kanskje det ikke er det. Men poenget med å benytte en sikker mellommann er uansett borte.
Selv om kundeservicen til booking.com ikke har svart oss på noen av svindelmeldingene vi har informert dem om, har de sendt oss en forespørsel om hvordan vi syntes siste kontakt med dem var. Vi kommer til å sende dem denne linken.