Jak hakerzy oszukują turystów przez Booking.com: nowa fala oszustw
Hakerzy uzyskali dostęp do danych osobowych tysięcy użytkowników Booking.com i teraz wykorzystują je, by wyciągać pieniądze pod pozorem hoteli. Jeśli ostatnio rezerwowałeś zakwaterowanie — bądź szczególnie ostrożny: oszustowie znają Twoje imię, daty podróży i nawet numer telefonu.
Co naprawdę się stało?
W marcu–kwietniu 2024 roku Booking.com zarejestrował «podążytą aktywność» związana z kilkoma rezerwacjami. W wyniku złodzieje zdobyli dostęp do następujących danych:
- Imiona klientów
- Adresy e-mail
- Numery telefonów
- Informacje o poprzednich i aktualnych rezerwacjach
Ważne: dane płatności — numery kart, kod CVV, termin ważności — nie zostały naruszone. System płatności Booking.com pozostał nienaruszony. Jednak nawet podstawowe informacje o rezerwacji dają oszustom potężne narzędzie: mogą się z Tobą skontaktować i przekonująco przedstawić jako personel hotelu.
Jak działa "kradzież rezerwacji"?
Eksperci ds. bezpieczeństwa cyberprzestrzeni nazywają tę schemat "kradzieżą rezerwacji" (booking hijacking). Oto jak wygląda to w praktyce:
- Otrzymujesz SMS lub e-mail od "hotelu", gdzie według nich została zarezerwowana pokój.
- W wiadomości mówi się, że wystąpił problem: np. płatność nie powiodła się albo wymagana jest dodatkowa opłata za sezonowy tarif.
- Proponuje się natychmiast przelewać pieniądze na konto bankowe lub przesyłać dane karty "na potwierdzenie".
- Gdy to robisz — pieniądze znikają, a rezerwacja zostaje anulowana lub pozostaje bez wsparcia.
To przypomina sytuację, gdy ktoś wie Twoje imię, adres i zamówienie w pizzerii — i dzwoni, by "potwierdzić szczegóły płatności". Ufasz, bo wszystko brzmi znajomo. Akurat tym się posługują oszustowie.
Dlaczego to groźne dla wszystkich, a nie tylko dla ofiar?
Booking.com to jedna z największych platform na świecie: od 2010 roku przez nią zarezerwowano prawie 7 miliardów pobytów. Nawet jeśli ujawnienie dotyczyło niewielkiego procentu użytkowników, mowa może być o setkach tysięcy ludzi na całym świecie.
Dodatkowo takie ataki podkopują zaufanie do całej branży podróżniczej online. Kiedy ludzie boją się rezerwować zakwaterowanie — cierpią nie tylko giganci typu Booking, ale także małe hotele, hostele i prywatni właściciele nieruchomości zależni od tych platform.
Co zrobić, jeśli otrzymałeś podejrzane wiadomość?
Booking.com jasno deklaruje:
- Firma nigdy nie prosi o przesyłanie danych kart e-mailem, przez WhatsApp, SMS czy telefon.
- Wszystkie płatności muszą odpowiadać warunkom zawartym w potwierdzeniu rezerwacji.
- Każda zmiana w rezerwacji jest widoczna w osobistym koncie na stronie lub aplikacji.
Jeśli ktoś dzwoni lub pisze "od hotelu" z prośbą o przelew — nie reaguj. Zaloguj się bezpośrednio do swojego konta Booking.com i sprawdź status rezerwacji. W razie potrzeby skontaktuj się z obsługą przez oficjalny kanał.
Co ważne
- Ujawnienie danych obejmuje imię, e-mail, telefon i szczegóły rezerwacji — ale nie informacje płatności.
- Oszustowie wykorzystują te dane, by przedstawiać się jako hotel i żądać "dopłat".
- Booking.com już zaktualizował PIN-y rezerwacji i ostrzega użytkowników.
- Podobne ataki trwają od 2023 roku i stają się coraz bardziej przekonujące.
- Globalny rozmiar Booking.com czyni tę zagrożenie międzynarodowym, a nie lokalnym.
Co to oznacza dla zwykłych ludzi?
Jeśli rezerwujesz zakwaterowanie online — nawet przez wiarygodne usługi — zawsze sprawdzaj źródło wiadomości. Nie klikaj w linki z SMS-ów i nie przesyłaj pieniędzy na pierwsze prośby. Twoja czujność to najlepsza ochrona. Pamiętaj: prawdziwe hotele i Booking.com nigdy nie poproszą Cię o naruszenie zasad płatności określonych przy rezerwacji.
— Editorial Team