10 lip 2026
Zagrożenia i Ataki

Oszustwo na Booking.com przez WhatsApp: jak się bronić

Fałszywe wiadomości na WhatsApp podszywają się pod Booking.com, wyłudzając dane kart.

Redakcja · 10 lipca 2026
Business person holding a scam alert sign over a laptop, warning against online fraud.
Fot. Gustavo Fring / Pexels · Pexels License

Oszustwo na Booking.com poprzez fałszywe wiadomości na WhatsApp to kampania phishingowa, która wykorzystuje rzeczywiste dane rezerwacji ofiar — ich imiona, nazwiska i numery pokojów — aby wyglądać wiarygodnie i wyłudzić dane kart bankowych.

Campania powraca co roku na początek sezonu wakacyjnego, a jej skalę sugeruje włamania na serwisy rezerwacyjne. W szczególności Booking.com, platforma z przychodami przekraczającymi 17 miliardów dolarów rocznie (2022), przyznał się w kwietniu tego roku do naruszenia bezpieczeństwa, choć nie ujawnił liczby poszkodowanych użytkowników. Eksperci CERT Orange Polska potwierdzili, że obecna fala oszustw wykorzystuje dokładnie te skompromitowane dane.

Jak wygląda oszustwo na Booking.com?

Ofiary otrzymują wiadomości na WhatsApp zawierające:

  • Swoje imię i nazwisko
  • Faktyczny numer rezerwacji w Booking.com
  • Prośbę o pilną dopłatę do rezerwacji
  • Link do strony płatności, która wygląda jak oficjalna strona Booking.com, ale nią nie jest

Dane nadawcy są zgodne z danymi właściciela hotelu lub obiektu noclegowego, co dodatkowo zwiększa wiarygodność oszustwa. Oszuści wykorzystują fakt, że turyści przed wyjazdem są rozproszeni i mogą nie zwrócić uwagi na szczegóły.

Dlaczego to oszustwo jest niebezpieczne?

Zagrożenie wynika z kilku czynników:

Personalizacja danych — Znanie przez oszusta Twoich rzeczywistych danych rezerwacji sprawia, że wiadomość wydaje się autentyczna. Jednak to, że ktoś zna Twoje imię, nazwisko i numer rezerwacji, nie gwarantuje jego wiarygodności — może to być efekt wycieku danych z Booking.com lub innego serwisu.

Presja czasu — Prośba o “pilną dopłatę” ma na celu zmuszenie Cię do szybkiej decyzji bez głębszego zastanowienia. Przestępcy wiedzą, że turyści przed wyjazdem są w stresie i mogą działać impulsywnie.

Bieżące okradanie — Według CERT Orange Polska, w tego typu kampaniach przestępcy okradają ofiary na bieżąco. Oznacza to, że jeśli podasz dane karty, pieniądze mogą zostać skradzione w ciągu minut. Czas jest kluczowy — szybka reakcja może uratować Twoje środki.

Jak się bronić przed oszustwem na Booking.com?

Nigdy nie ufaj wiadomościom z prośbą o dopłatę poza Booking.com

Booking.com nigdy nie prosi o dopłatę poprzez WhatsApp, SMS lub inne kanały komunikacyjne. Jeśli otrzymasz wiadomość z prośbą o dopłatę — to oszustwo. Możliwość, że coś takiego będzie miało miejsce, jest tak nikła, że lepiej założyć, iż mamy do czynienia z phishingiem.

Sprawdzaj adres URL przed podaniem danych

Jeśli klikniesz w link z podejrzanej wiadomości, nie grozi Ci nic — pod warunkiem, że nie podasz żadnych danych. Zanim wpiszesz login lub dane karty, sprawdź adres URL w pasku przeglądarki. Powinna tam widnieć domena booking.com, a nie coś w rodzaju “booking-dopłata.com” czy “booking-rezerwacja.top”.

Oszuści często tworzą domeny, które wyglądają podobnie do oryginalnych, ale zawierają drobne różnice. Przykłady fałszywych domen:

  • booking-pl.com (zamiast booking.com)
  • bookings.com (dodatkowe “s”)
  • b00king.com (zero zamiast litery “o”)

Weryfikuj rezerwację bezpośrednio w aplikacji

Jeśli masz wątpliwości, otwórz aplikację Booking.com lub wejdź na stronę booking.com i zaloguj się bezpośrednio — bez klikania w linki z wiadomości. Sprawdź swoją rezerwację. Jeśli wszystko jest w porządku, wiadomość na WhatsApp to na pewno oszustwo.

Zgłoś oszustwo

Jeśli otrzymasz podejrzaną wiadomość:

  1. Zgłoś ją WhatsAppowi — długo przytrzymaj wiadomość i wybierz opcję “Zgłoś”
  2. Skontaktuj się z Booking.com — poprzez oficjalną aplikację lub stronę, a nie poprzez link z wiadomości
  3. Powiadom swojego banka — jeśli podałeś dane karty

Co to oznacza dla Ciebie?

Oszustwa na Booking.com to nie anomalia, ale regularny element krajobrazu bezpieczeństwa cybernetycznego, szczególnie w sezonie wakacyjnym. Fakt, że Booking.com — jeden z największych serwisów rezerwacyjnych na świecie — padł ofiarą włamania, pokazuje, że nawet duże korporacje mogą mieć problemy z bezpieczeństwem danych.

Dla turystów oznacza to, że personalizacja oszustw będzie się pogłębiać. Oszuści będą mieć dostęp do coraz bardziej szczegółowych informacji o rezerwacjach, co sprawi, że fałszywe wiadomości będą wyglądać jeszcze bardziej wiarygodnie. Jedyną obroną jest świadomość i sceptycyzm — zawsze zakładaj, że wiadomość z prośbą o dopłatę poza oficjalnym serwisem to oszustwo, niezależnie od tego, jak wiarygodnie wygląda.

Orange Polska wspiera walkę z phishingiem poprzez udział w finansowanym przez Unię Europejską projekcie ThreatChase, którego celem jest stworzenie platformy do strukturyzacji danych o phishingowych adresach i domenach oraz proaktywne zapobieganie atakom. Jednak ostateczna ochrona zależy od Ciebie — od Twojej czujności i wiedzy na temat tego, jak działają oszuści.

Przed wyjazdem na wakacje poświęć kilka minut na zapamiętanie tych zasad. Może to uratować Ci budżet na całe wakacje.

Najczęstsze pytania

Jak rozpoznać fałszywą wiadomość od Booking.com na WhatsApp?

Oszuści wysyłają wiadomości zawierające Twoje rzeczywiste imię, nazwisko i numer rezerwacji, aby wyglądały wiarygodnie. Jednak Booking.com nigdy nie prosi o dopłatę poza swoją oficjalną stroną. Jeśli wiadomość zawiera prośbę o płatność lub link do płatności — to oszustwo, niezależnie od tego, jak wiarygodnie wygląda.

Co powinienem zrobić, jeśli kliknąłem w link z podejrzanej wiadomości?

Samo kliknięcie w link nie jest niebezpieczne. Niebezpieczne jest podanie danych karty lub loginu na fałszywej stronie. Jeśli tego nie zrobiłeś, nic się nie stało. Jeśli podałeś dane — natychmiast skontaktuj się z bankiem i zgłoś podejrzenie oszustwa.

Skąd oszuści mają moje dane rezerwacji i numer pokoju?

Booking.com przyznał się w kwietniu tego roku do włamania na swoje systemy. Choć firma nie ujawniła liczby poszkodowanych użytkowników, wiele wskazuje na to, że dane wielu rezerwujących mogły zostać skompromitowane i teraz są wykorzystywane w kampaniach phishingowych.

Czy mogę bezpiecznie kliknąć w link z wiadomości, aby sprawdzić, czy to oszustwo?

Tak, kliknięcie w link jest bezpieczne. Ważne jest, aby nie wpisywać żadnych danych na stronie docelowej. Po kliknięciu sprawdź adres URL — jeśli nie widzisz "booking.com" w domenie, to fałszywa strona. Zamknij kartę bez podawania jakichkolwiek informacji.

Co powinienem zrobić, jeśli podejrzewam oszustwo na Booking.com?

Skontaktuj się bezpośrednio z Booking.com poprzez ich oficjalną aplikację lub stronę (booking.com), a nie poprzez link z wiadomości. Zgłoś podejrzaną wiadomość WhatsAppowi. Jeśli podałeś dane karty, natychmiast zadzwoń do swojego banku.

Na podstawie: CERT Orange. Tekst opracowany redakcyjnie.