Nie daj się oszukać „na Booking”! Zobacz, jak się chronić

Eksperci działającego w NASK CERT Polska ostrzegają przed zjawiskiem tzw. oszustw „na nocleg”. Wspólny mianownik tych ataków jest prosty: oszuści próbują skłonić potencjalną ofiarę do podania danych logowania lub karty płatniczej czy wykonania przelewu poza platformą rezerwacyjną. Najczęściej robią to, wywołując presję czasu („płać natychmiast, inaczej rezerwacja zostanie anulowana”) albo podszywając się pod gospodarza czy obsługę serwisu. Wszystko zazwyczaj w znanym „opakowaniu” wykorzystującym wizerunek platformy Booking.com.

– Wakacje to czas żniw nie tylko dla rolników, ale też dla cyberprzestępców. Rezerwacja noclegu ma być początkiem udanego odpoczynku, a nie prowadzić do stresu i utraty pieniędzy. Niestety w sezonie urlopowym oszuści wykorzystują pośpiech i emocje, by nakłonić użytkowników do podania swoich danych lub wykonania przelewu. Dlatego warto pamiętać o podstawowej zasadzie: zatrzymajmy się na chwilę i dokładnie sprawdźmy, z jaką stroną i z jakim podmiotem mamy do czynienia. Kilka minut ostrożności może uchronić nas przed utratą pieniędzy, ale też przed poważniejszymi konsekwencjami, takimi jak kradzież danych – mówi Iwona Prószyńska, która kieruje w NASK zespołem ds. strategicznej komunikacji cyberbezpieczeństwa.

Trzy najczęstsze schematy oszustw „na Booking”

CERT Polska obserwuje kilka powtarzalnych wariantów. Warto znać te różnice, aby wiedzieć, gdzie zgłosić problem.

• „Fałszywa strona przypominająca Booking, ale pod inną domeną

To jeden z najczęstszych scenariuszy. Użytkownik dostaje wiadomość z linkiem do strony łudząco podobnej do Booking: ta sama kolorystyka, układ, „okienko płatności” czy „panel logowania”. Różnica jest kluczowa: adres strony nie jest prawidłowy – to może być drobna literówka, dodatkowy myślnik, nietypowa końcówka lub zupełnie inny adres, który tylko wizualnie „udaje” oryginał.

Cyberprzestępcy chcą w ten sposób wyłudzić dane karty płatniczej lub dane logowania. Naszą czujność powinny wzbudzić: błędny adres strony, link prowadzący poza platformę, presja czasu, groźba anulowania rezerwacji lub prośba o „ponowną weryfikację płatności”.

• Przejęte konto gospodarza i „dopłata” od rzekomego obiektu

W tym wariancie przestępcy nie zawsze tworzą fałszywą stronę. Zdarza się, że przejmują konto gospodarza, którego ogłoszenie już istnieje na platformie. Następnie kontaktują się z osobami, które mają rezerwację i proszą o „dodatkową wpłatę” – czasem podając numer konta do przelewu, a czasem kierując do fałszywej bramki płatności lub fikcyjnej strony podszywającej się pod Booking.com.

Wiadomość może wyglądać wiarygodnie: pochodzić „z rozmowy” dotyczącej rezerwacji, zawierać dane obiektu, termin pobytu, a nawet podpis gospodarza.

W tym przypadku sygnałem ostrzegawczym powinny być dla nas prośba o płatność poza platformą, nietypowe uzasadnienie dopłaty, naglący ton.

• Fałszywa oferta na prawdziwej platformie (nieuczciwy wystawca)

Trzeci wariant jest inny: oferta dostępna jest na prawdziwej platformie, ale pochodzi od nieuczciwego wystawcy. To nadużycie polegające na wprowadzeniu w błąd co do samej oferty, warunków lub tożsamości wynajmującego.

W takim przypadku decyzje o usunięciu oferty lub blokadzie konta leżą po stronie platformy rezerwacyjnej, dlatego warto zgłaszać do niej takie przypadki.

Gdzie zgłaszać próby oszustwa?

Eksperci CERT Polska podkreślają, że zgłaszanie incydentów ma sens: pomaga analizować skalę zjawiska, rozpoznawać powtarzalne schematy i – co bardzo ważne – blokować fałszywe domeny.

W przypadku opisywanych powyżej dwóch pierwszych sytuacji mamy do czynienia z phishingiem. Warto zgłosić to do CERT Polska przez formularz na stronie: incydent.cert.pl lub w aplikacji mObywatel w usłudze „Bezpiecznie w sieci”. Dzięki temu chronisz siebie i innych.

W przypadku ostatniej sytuacji – fałszywą ofertę zgłoś bezpośrednio do administracji platformy (procedura zgłaszania nadużyć/ofert) oraz, jeśli doszło do oszustwa, także organom ścigania.

Jak nie dać się oszustom?

Najlepszą ochroną jest połączenie trzech rzeczy: spokoju, czujności i ograniczonego zaufania. Oszuści liczą na naszą automatyczną reakcję: szybki przelew lub podanie danych.

Jeśli dostaniesz wiadomość, która nalega na zalogowanie się lub wykonanie przelewu, przypomnij sobie te punkty:

1. Nie działaj pod presją czasu. Komunikaty typu „natychmiast”, „ostatnia szansa”, „anulujemy rezerwację” traktuj jako czerwone flagi.
2. Sprawdź adres strony. Nawet drobna literówka powinna wzbudzić Twoja czujność. Tu znajdziesz więcej informacji na ten temat.
3. Nie podawaj danych karty ani logowania w witrynie z linku w wiadomości. W razie wątpliwości samodzielnie wpisz adres platformy w przeglądarce lub wyszukaj ją i dopiero wtedy zaloguj się.
4. Płać i rozmawiaj wyłącznie w ramach platformy. Unikaj przelewów na „prywatne konto” i zewnętrznych bramek płatności.
5. Włącz uwierzytelnianie dwuskładnikowe (2FA). To istotnie utrudnia przejęcie konta, nawet jeśli hasło wycieknie.

I  co najważniejsze, jeśli ktoś prosi Cię o dopłatę lub ponowne logowanie, zatrzymaj się i zweryfikuj to w panelu rezerwacji pamiętaj, że zawsze możesz skontaktować się bezpośrednio z hotelem lub właścicielem kwatery i wyjaśnić wątpliwości dotyczące rezerwacji.