Oszustwa przy rezerwacjach Booking – jak się bronić
CERT Orange Polska ostrzega przed oszustwami na Booking.com. Oszuści wysyłają wiadomości przez WhatsApp z danymi rezerwacji i kierują na fałszywe strony…
Oszuści prowadzą nową kampanię wyłudzeń skierowaną do użytkowników Booking.com, posługując się rzeczywistymi danymi rezerwacji ofiar i kierując ich na fałszywe strony płatności przez WhatsApp. CERT Orange Polska ostrzega przed tym zagrożeniem, szczególnie w sezonie wakacyjnym, gdy liczba rezerwacji wzrasta dramatycznie.
Jak działają oszustwa przy rezerwacjach?
Mechanizm ataku jest prosty, ale niezwykle skuteczny. Ofiara otrzymuje wiadomość za pośrednictwem WhatsApp od osoby, która podaje się za właściciela obiektu noclegowego lub pracownika Booking.com. Nadawca dysponuje pełnym imieniem i nazwiskiem ofiary, faktycznym numerem rezerwacji oraz nazwą konkretnego obiektu noclegowego. Dane nadawcy są zgodne z danymi rzeczywistego właściciela miejsca noclegowego, co sprawia, że wiadomość wydaje się całkowicie autentyczna.
W treści wiadomości znajduje się żądanie dopłaty pod groźbą anulowania rezerwacji. Jednak dołączony link prowadzi do zewnętrznego, fałszywego panelu płatności, gdzie ofiara proszona jest o podanie pełnych danych swojej karty płatniczej — numeru, daty ważności i kodu CVV. Te dane natychmiast trafiają w ręce przestępców, którzy mogą następnie dokonać nieautoryzowanych transakcji lub sprzedać je na czarnym rynku.
Źródło zagrożenia: wyciek danych z kwietnia 2025 roku
Zdaniem CERT Orange Polska obecna kampania to prawdopodobnie bezpośredni skutek włamania do systemów Booking.com, które serwis ujawnił w kwietniu 2025 roku. Booking.com nie podał wówczas skali wycieku danych, co utrudnia ocenę rozmiarów problemu. Jednak eksperci wskazują, że skala incydentu może ujawniać się właśnie teraz, wraz z początkiem sezonu wakacyjnego.
Ta hipoteza jest wiarygodna — oszuści czekają na optymalny moment, gdy liczba rezerwacji jest największa, a użytkownicy są bardziej roztrzęsieni i mniej czujni. Wiele osób planuje wyjazdy, dokonuje rezerwacji i oczekuje potwierdzenia — co czyni ich podatnymi na wiadomości, które wydają się związane z ich podróżami.
Dlaczego te oszustwa są szczególnie niebezpieczne?
Wysoki poziom personalizacji wiadomości sprawia, że atak może łatwo uśpić czujność nawet ostrożnych użytkowników. Wiadomość zawiera bowiem szczegóły, które ofiara może kojarzyć wyłącznie z autentyczną korespondencją dotyczącą jej podróży. To nie jest ogólna wiadomość typu “Kliknij tutaj, aby potwierdzić dane” — to konkretna wiadomość o konkretnej rezerwacji w konkretnym hotelu.
Similarne kampanie oszustw związanych z Booking.com były odnotowywane przez specjalistów również podczas poprzednich ferii zimowych oraz ubiegłorocznych wakacji. Jednak tym razem, ze względu na możliwy wyciek danych z serwisu, zagrożenie jest oceniane jako szczególnie poważne. Oszuści mają dostęp do ogromnej bazy rzeczywistych rezerwacji, co pozwala im na masową kampanię z wysokim wskaźnikiem powodzenia.
Jak się bronić przed oszustwami przy rezerwacjach?
Kluczowe zasady bezpieczeństwa
Specjaliści z CERT Orange Polska przypominają kilka kluczowych zasad, które mogą uchronić użytkowników przed stratą pieniędzy:
Oficjalne rozliczenia odbywają się wyłącznie na bezpiecznej domenie Booking.com. Każda próba przeniesienia transakcji na zewnętrzną platformę lub komunikator powinna być natychmiast traktowana jako próba wyłudzenia. Booking.com nigdy nie prosi o dopłaty przez WhatsApp, Messenger, Telegram czy inne komunikatory.
Wszelkie żądania uregulowania należności za pomocą linku przesłanego przez WhatsApp lub inny komunikator powinny wzbudzić natychmiastową czujność. Jeśli otrzymasz taką wiadomość, nie klikaj w link. Zamiast tego zaloguj się bezpośrednio na Booking.com (wpisując adres w przeglądarce) i sprawdź status rezerwacji.
Podanie danych karty płatniczej na niezweryfikowanej stronie grozi całkowitym wyczyszczeniem konta bankowego. Oszuści mogą wykorzystać dane karty nie tylko do jednorazowego oszustwa, ale również do wielokrotnych nieautoryzowanych transakcji.
Praktyczne kroki weryfikacji
Jeśli otrzymasz wiadomość o rezerwacji, którą musisz potwierdzić lub dopłacić:
- Nie klikaj w żaden link — zawsze wpisz adres Booking.com bezpośrednio w przeglądarce
- Zaloguj się na swoje konto — sprawdź, czy rezerwacja naprawdę wymaga dopłaty
- Skontaktuj się bezpośrednio z obiektem — zadzwoń lub wyślij wiadomość przez oficjalny kanał hotelu
- Sprawdź dane nadawcy — czy numer telefonu lub nazwa zgadzają się z oficjalnymi danymi Booking.com?
- Zgłoś podejrzaną wiadomość — zarówno Booking.com, jak i WhatsApp mają funkcje raportowania oszustw
Co zrobić, jeśli już padłeś ofiarą oszustwa?
Jeśli już podałeś dane karty płatniczej na fałszywej stronie, natychmiast:
- Skontaktuj się z bankiem — poinformuj go o potencjalnym oszustwie i poproś o zablokowanie karty
- Monitoruj konto bankowe — obserwuj wszelkie transakcje i natychmiast zgłoś podejrzane operacje
- Zmień hasła — jeśli oszuści uzyskali dostęp do Twojego konta Booking.com, zmień hasło i włącz uwierzytelnianie dwuskładnikowe
- Zgłoś incydent — zawiadom policję i CERT Orange Polska o oszustwie
Co to oznacza dla użytkowników Booking.com?
Prezentna fala oszustw pokazuje, jak ważna jest czujność przy korzystaniu z serwisów rezerwacyjnych. Wyciek danych z Booking.com w kwietniu 2025 roku miał poważne konsekwencje — oszuści dysponują teraz rzeczywistymi danymi milionów użytkowników, co pozwala im na prowadzenie wysoce spersonalizowanych ataków.
Użytkownicy powinni założyć, że ich dane mogą być zagrożone, i przyjąć defensywną postawę: nigdy nie ufać wiadomościom o rezerwacjach przesyłanym przez komunikatory, zawsze weryfikować żądania płatności bezpośrednio na oficjalnej stronie serwisu, oraz regularnie monitorować aktywność na swoich kontach bankowych.
Warto również pamiętać, że podobne kampanie mogą być skierowane również do użytkowników innych serwisów rezerwacyjnych (Airbnb, Agoda, Expedia). Zasady bezpieczeństwa pozostają takie same — nigdy nie przesyłaj danych karty płatniczej poza zaufanymi, oficjalnymi platformami.
Najczęstsze pytania
Jak poznać oszustwo przy rezerwacji Booking.com?
Booking.com nigdy nie wysyła żądań dopłaty przez WhatsApp ani inne komunikatory. Oficjalne rozliczenia odbywają się wyłącznie na bezpiecznej domenie serwisu. Każdy link do płatności przesłany poza platformą Booking to czerwona flaga.
Co zrobić, jeśli otrzymałem podejrzaną wiadomość o rezerwacji?
Nie klikaj w żaden link. Zamiast tego zaloguj się bezpośrednio na Booking.com (wpisując adres w przeglądarce) i sprawdź status rezerwacji. Możesz również skontaktować się z rzeczywistym obiektem noclegowego, aby potwierdzić, czy wiadomość pochodzi od niego.
Czy moje dane z Booking.com zostały ujawnione?
W kwietniu 2025 roku Booking.com potwierdził wyciek danych, ale nie podał skali incydentu. Obecna fala oszustw sugeruje, że dane mogą być rozpowszechniane. Zmień hasło do Booking.com i monitoruj aktywność na swoim koncie bankowym.
Jak bezpiecznie rezerwować noclegi online?
Używaj oficjalnych stron rezerwacji, nigdy nie podawaj pełnych danych karty poza zaufanymi platformami, a wszelkie wiadomości o rezerwacjach weryfikuj bezpośrednio na stronie serwisu lub u właściciela obiektu.
Co zrobić, jeśli już podałem dane karty na fałszywej stronie?
Natychmiast skontaktuj się z bankiem i zgłoś potencjalne oszustwo. Bank może zablokować kartę i monitorować podejrzane transakcje. Zgłoś incydent również na policję i do CERT Orange Polska.
Na podstawie: Radio Piekary. Tekst opracowany redakcyjnie.