To scenariusz, który jeszcze niedawno wydawał się mało prawdopodobny: oszustwo przeprowadzone nie obok znanej platformy rezerwacyjnej, lecz w jej wnętrzu. Tymczasem setki turystów na całym świecie padły ofiarą nowego rodzaju wyłudzeń, w których cyberprzestępcy wykorzystują oficjalny system komunikacji Booking.com.
Mechanizm oszustwa jest wyjątkowo podstępny, bo bazuje na zaufaniu do znanej marki. Gość dokonuje rezerwacji noclegu, a następnie – już w aplikacji Booking.com – otrzymuje wiadomość rzekomo od hotelu. Treść wygląda całkowicie wiarygodnie: informacje o zameldowaniu, dodatkowych opłatach lub konieczności potwierdzenia płatności. Problem w tym, że autorem komunikatu nie jest hotelarz, lecz haker.
Przejęte konta hoteli zamiast fałszywych stron
W przeciwieństwie do klasycznego phishingu, oszuści nie podszywają się bezpośrednio pod Booking.com. Ich celem są systemy hoteli i pensjonatów, do których uzyskują dostęp dzięki wykradzionym hasłom i złośliwemu oprogramowaniu. Po przejęciu panelu administracyjnego obiektu przestępcy widzą prawdziwe dane rezerwacji: nazwiska gości, daty pobytu, kwoty i numery pokoi.
Dzięki temu mogą kontaktować się z turystami z poziomu oficjalnego czatu platformy lub przez WhatsApp, żądając natychmiastowej dopłaty i strasząc anulowaniem rezerwacji. Presja czasu i autentyczny kontekst sprawiają, że wiele osób nie weryfikuje prośby i wykonuje przelew.
Sztuczna inteligencja zwiększa skuteczność
Nowym elementem tego procederu jest wykorzystanie sztucznej inteligencji. Jak wskazują eksperci ds. cyberbezpieczeństwa, przestępcy generują wiadomości w języku ojczystym ofiary, bez błędów stylistycznych czy gramatycznych. To eliminuje jeden z głównych sygnałów ostrzegawczych, na które dotąd zwracali uwagę podróżni.
W efekcie oszustwa stają się niemal nieodróżnialne od prawdziwej korespondencji z obiektem noclegowym.
Booking.com umywa ręce
Platforma rezerwacyjna podkreśla, że jej systemy nie zostały zhakowane, a odpowiedzialność spoczywa na partnerach, którzy niewystarczająco zabezpieczyli swoje konta. W praktyce oznacza to jednak, że wielu poszkodowanych klientów ma poważne problemy z odzyskaniem utraconych pieniędzy.
Dla turystów to gorzka lekcja: nawet komunikat wysłany w oficjalnej aplikacji znanej firmy nie gwarantuje dziś bezpieczeństwa.
Jak się chronić?
Eksperci radzą, by:
- nie dokonywać dodatkowych płatności na żądanie przesłane przez czat,
- zawsze sprawdzać, czy płatność jest widoczna w oficjalnym panelu rezerwacji,
- kontaktować się bezpośrednio z obiektem innym kanałem,
- zgłaszać podejrzane wiadomości do Booking.com.
Nowy schemat oszustwa pokazuje, że cyberprzestępcy coraz częściej atakują najsłabsze ogniwo – nie globalne platformy, lecz ich partnerów. A skutki tych ataków boleśnie odczuwają zwykli turyści.
Komentarze (0)