Planowanie wakacji i rezerwacja noclegu za pośrednictwem zaufanej platformy, takiej jak Booking.com, od lat uchodziły za bezpieczny standard. Niestety, cyberprzestępcy weszli na nowy, bezprecedensowy poziom wyrafinowania, który całkowicie podważa zaufanie do oficjalnych kanałów komunikacji. Zamiast tradycyjnych ataków phishingowych wysyłanych przez e-mail czy SMS, hakerzy uderzają teraz bezpośrednio w serce systemu – w wewnętrzny komunikator aplikacji.
Eksperci ds. cyberbezpieczeństwa alarmują: to, co obserwujemy obecnie na rynku rezerwacji turystycznych, to inwazja. Przestępcy wykorzystują złośliwe oprogramowanie, przejmując dostęp do systemów informatycznych hoteli i pensjonatów, które są partnerami platformy. W rezultacie, wiadomości z żądaniem dopłaty lub ponownej weryfikacji karty nie trafiają do folderu spam, lecz pojawiają się w oficjalnym czacie, wyglądając na w 100% autentyczne komunikaty od obsługi obiektu, w którym faktycznie dokonano rezerwacji.
To kluczowa zmiana w strategii oszustów. Czytelnik, który wykupił legalny nocleg i prowadzi korespondencję wewnątrz zaufanej aplikacji, ma minimalne szanse na wykrycie podstępu. Zdesperowani turyści, obawiając się utraty opłaconego urlopu, wykonują przelewy na konta przestępców, co prowadzi do strat idących w tysiące złotych. Skala problemu jest globalna, a statystyki za 2024 rok pokazują, że rok 2025 może przynieść jeszcze gorsze żniwo, jeśli nie zmienimy swoich nawyków dotyczących bezpieczeństwa online.
Dlaczego to oszustwo jest tak skuteczne?
Siła tego ataku tkwi w jego wiarygodności i kontekście. Cyberprzestępcy nie muszą już tworzyć fałszywych stron logowania czy nieudolnie podszywać się pod instytucje. Zamiast tego, wykorzystują systemy hotelowe, które zostały zainfekowane złośliwym oprogramowaniem typu infostealer. Dzięki przejęciu tych danych, mają pełną kontrolę nad komunikacją z gośćmi wewnątrz platformy Booking.com.
Wiadomość od oszustów pojawia się w tym samym wątku, co oryginalne potwierdzenie rezerwacji. Często zaczyna się niewinnie – od pytań o godzinę przyjazdu, preferencje dotyczące pokoju czy prośby o potwierdzenie danych. To gra na uśpienie czujności klienta, który naturalnie zakłada, że rozmawia z pracownikiem hotelu.
Co więcej, złodzieje wykorzystują zaawansowane narzędzia, w tym sztuczną inteligencję, do generowania treści. Wiadomości te są pozbawione błędów językowych, sformułowane w pełni profesjonalnie i merytorycznie, co czyni je niemal niemożliwymi do odróżnienia od prawdziwych komunikatów. Turysta otrzymuje spersonalizowaną, pilną informację, która idealnie pasuje do jego bieżącej sytuacji (np. zbliżającego się terminu pobytu).
Schemat działania: szantaż anulowaniem rezerwacji
Schemat, choć prosty, jest psychologicznie dewastujący. Po nawiązaniu kontaktu i uśpieniu czujności, oszuści przechodzą do kluczowego etapu – żądania pieniędzy. Podszywając się pod obsługę hotelu, informują klienta, że jego rezerwacja wymaga natychmiastowej „weryfikacji” lub „dodatkowej opłaty bezpieczeństwa”.
Wiadomości te zawsze zawierają element pilności i szantażu. Najczęstsza groźba to natychmiastowe anulowanie rezerwacji, jeśli płatność nie zostanie dokonana w ciągu 30, 60 lub 90 minut. Link do płatności prowadzi oczywiście do fałszywej bramki, która wyłudza pełne dane karty płatniczej lub wymusza bezpośredni przelew na konto przestępców.
Skala finansowa tego procederu jest alarmująca. Na przykład, w samej Holandii, gdzie ten rodzaj oszustwa jest szeroko badany, wartość skradzionych w ten sposób środków wzrosła rok do roku o szokujące 160 procent. Straty pojedynczych osób idą w dziesiątki tysięcy euro, co świadczy o tym, że metoda ta jest niezwykle efektywna dla cyberprzestępców. Oszustwa te są szczególnie niebezpieczne w szczycie sezonu turystycznego, kiedy panuje pośpiech i stres związany z planowaniem podróży.
Kto ponosi odpowiedzialność? Stanowisko platformy i ryzyko
W obliczu rosnącej liczby ofiar, pojawia się pytanie o odpowiedzialność. Niestety, poszkodowani klienci często zostają z problemem sami. Booking.com utrzymuje stanowisko, że ich własne systemy nie zostały złamane. Platforma przerzuca odpowiedzialność na partnerów biznesowych – hotele i pensjonaty, które dopuściły do zainfekowania swoich komputerów złośliwym oprogramowaniem.
Taka postawa giganta turystycznego oznacza, że odzyskanie skradzionych pieniędzy jest skomplikowane i długotrwałe. Poszkodowany musi udowodnić, że padł ofiarą oszustwa w wyniku zaniedbania hotelu lub braku odpowiednich zabezpieczeń na platformie komunikacyjnej, co w praktyce jest trudne do zrealizowania bez wsparcia prawnego.
Dla konsumenta oznacza to konieczność przyjęcia zasady ograniczonego zaufania. Nawet jeśli rezerwacja została dokonana na wiarygodnej platformie, a wiadomość przychodzi z oficjalnego konta, każda prośba o ponowne podanie danych płatniczych lub dodatkową opłatę powinna być traktowana jako potencjalne zagrożenie. W świetle tej sytuacji, banki i organizacje konsumenckie apelują o podjęcie dodatkowych kroków weryfikacyjnych.
Praktyczna obrona: Jak chronić swoje pieniądze?
Bezpieczeństwo w sieci wymaga dziś ciągłej czujności. Ponieważ oszuści działają wewnątrz zaufanego środowiska, kluczowe jest wprowadzenie dwustopniowej weryfikacji każdego żądania finansowego, niezależnie od tego, jak pilne i autentyczne się wydaje. Oto konkretne kroki, które należy podjąć, aby chronić swoje środki:
- Weryfikuj każde żądanie pieniędzy telefonicznie: Jeśli po opłaceniu rezerwacji otrzymasz prośbę o dopłatę, „weryfikację karty” lub inny przelew, natychmiast zadzwoń bezpośrednio do hotelu. Użyj numeru telefonu znalezionego na oficjalnej, niezależnej stronie internetowej obiektu lub w oryginalnym mailu potwierdzającym rezerwację – nigdy nie korzystaj z numeru podanego w podejrzanej wiadomości na czacie.
- Nigdy nie klikaj w linki do płatności w czacie: Żaden legalny hotel ani platforma Booking.com nie poprosi Cię o ponowne podanie pełnych danych karty lub dokonanie dodatkowej opłaty weryfikacyjnej poprzez link przesłany w wiadomości. Płatności powinny być dokonywane wyłącznie w oficjalnym, bezpiecznym interfejsie platformy.
- Sprawdź status rezerwacji: Zaloguj się na swoje konto Booking.com (bezpośrednio przez stronę, nie przez link) i sprawdź status rezerwacji. Jeśli hotel faktycznie miałby problem z płatnością, status ten byłby prawdopodobnie oznaczony jako „Wymaga uwagi” lub „Brak płatności”.
- Zgłaszaj próby oszustwa: Jeśli podejrzewasz atak, natychmiast poinformuj o tym obsługę klienta platformy Booking.com oraz swój bank. Szybka reakcja może pomóc w zablokowaniu transakcji lub konta przestępców.
Pamiętaj, że w dobie zaawansowanych ataków phishingowych, nawet oficjalne kanały komunikacji mogą zostać skompromitowane. Twoja czujność i weryfikacja poza systemem są obecnie jedyną skuteczną barierą przed utratą pieniędzy na wakacjach.