Oszustwa na Booking.com: Uważaj na te e-maile hotelowe

E-mail, który trafia do Twojej skrzynki odbiorczej za pośrednictwem portalu rezerwacyjnego Booking.com, wydaje się myląco autentyczny. Zaczyna się od spersonalizowanego powitania, po którym następuje przyjazne zaproszenie w nieskazitelnej angielszczyźnie. „Wkrótce wyjeżdżamy” – brzmi pierwsze zdanie. „Potrzebujemy tylko kilku szczegółów, aby dokończyć rezerwację”.

E-mail, który uzyskał RedaktionsNetzwerk Deutschland (RND), pochodzi z hotelu we Włoszech. Nadawca wydaje się wiarygodny na pierwszy rzut oka, powitanie jest poprawne — a podróż została faktycznie zarezerwowana. Jednak za e-mailem nie stoi ani hotel, ani Booking.com — ale przestępcy próbujący oszukać turystów z pieniędzy. Nielegalnie uzyskali dostęp do konta hotelu.

Tylko ci, którzy uważnie się przyjrzą, dostrzegą sztuczkę: e-mail kontynuuje, prosząc o potwierdzenie rezerwacji za pomocą linku – i o zrobienie tego w ciągu sześciu godzin. Jeśli nie dotrzymasz terminu, rezerwacja zostanie anulowana, a zarezerwowany pokój zostanie przekazany innemu gościowi. Jednak link prowadzi do oszukańczej witryny.

Takie wiadomości e-mail typu phishing mogą służyć różnym celom. Centrum Porad Konsumenckich Dolnej Saksonii ostrzega, że ​​w większości przypadków goście hotelowi są zachęcani do wprowadzania danych swojej karty kredytowej za pośrednictwem łącza – być może pod pretekstem potwierdzenia rezerwacji. W co najmniej jednym znanym przypadku z karty gościa nielegalnie pobrano 200 €, zgodnie z informacjami Centrum Porad Konsumenckich.

Teoretycznie jednak kliknięcie fałszywych linków może mieć inne konsekwencje: Link może również zawierać złośliwe oprogramowanie, które jest następnie instalowane na komputerze lub smartfonie. Jeśli tak się stanie, scenariusze oszustw są praktycznie nieograniczone: Urządzenie może zostać podsłuchiwane, w tym hasła i metody logowania używane do bankowości internetowej lub innych poufnych usług.

Centrum porad konsumenckich ostrzega zatem: „Zawsze bądź podejrzliwy w stosunku do próśb o płatność od wynajmujących domki letniskowe lub hoteli. Sprawdź bezpośrednio w portalu rezerwacyjnym lub w swoim zakwaterowaniu. Zgłaszaj tam wszelkie podejrzane wiadomości”.

Agencje ochrony konsumentów ostrzegają przed zwiększoną liczbą tzw. wiadomości phishingowych wysyłanych za pośrednictwem SMS-ów, WhatsApp i poczty e-mail. Często są one maskowane jako oficjalne listy od znanych firm. W jaki sposób przestępcy uzyskują dane kontaktowe?

Oszustwo jest podstępne, ponieważ na pierwszy rzut oka wydaje się całkiem prawdopodobne. W ostatnich latach wiele hoteli zaczęło prosić gości o wcześniejsze zameldowanie za pośrednictwem funkcji wiadomości portalu rezerwacyjnego przed przybyciem. Goście mogą następnie wpisać swój adres i dane kontaktowe do formularza online, zarezerwować miejsce parkingowe lub — jeśli wymaga tego prawo — podać numery identyfikacyjne. Oszczędza to czas po przybyciu do hotelu, zapobiega kolejkom i oszczędza stresu gościom i pracownikom hotelu.

Jednak ten dobrze ugruntowany system jest teraz wykorzystywany przez przestępców. Na przykład w rzekomo wiarygodnym e-mailu z Włoch oszuści proszą gości o „dokończenie” rezerwacji – powszechna praktyka. Adres URL w wiadomości został nawet zmodyfikowany tak, aby przypominał nazwę hotelu. Tylko ci, którzy przyjrzą się uważnie, zauważą, że nie jest to oficjalna strona internetowa hotelu ani renomowany portal rezerwacyjny.

Łącznie wysłano trzy kolejne e-maile z konta hotelowego we Włoszech. Z każdą wiadomością groźby stają się coraz bardziej drastyczne: Jeśli prośba nie zostanie ostatecznie spełniona, nie tylko rezerwacja zostanie anulowana — zostanie naliczona dodatkowa opłata za anulowanie. Sam hotel, którego dotyczyła awaria, wydaje się być całkowicie nieświadomy działań na koncie: Kiedy skontaktowała się z nim recepcjonistka, wyjaśniła, że ​​goście zgłosili oszustwo, ale nie potrafi wyjaśnić, w jaki sposób e-maile mogły zostać wysłane za pośrednictwem konta hotelowego.

Najwyraźniej nie był to odosobniony przypadek. Na początku czerwca Stowarzyszenie Hoteli i Restauracji (HGV) w Południowym Tyrolu ostrzegało o licznych przypadkach, które miały miejsce we włoskim regionie wypoczynkowym. Najwyraźniej wiadomości e-mail typu phishing były wysyłane do gości hotelowych z kilku kont hotelowych. Przyczyna problemu była jednak początkowo niejasna. Raffael Mooswalder, dyrektor generalny HGV, powiedział portalowi „Heise” , że nie można wykluczyć, „że przyczyna leży w naszych własnych systemach lub u partnera technicznego”. Dostawca usług technicznych wyjaśnił portalowi, że tymczasowe adresy e-mail gości mogły zostać wykorzystane do wysyłania fałszywych wiadomości e-mail. Są one generowane dla każdej rezerwacji za pośrednictwem Booking.com w celu ochrony rzeczywistego adresu e-mail gościa.

W innych przypadkach sytuacja wydaje się być jaśniejsza: Kilka tygodni temu konto V8 Hotel w Böblingen również wysyłało złowrogie e-maile do klientów. Te e-maile żądały płatności – jeden gość stracił w ten sposób 400 €, informuje SWR.

Za usterkę odpowiada najwyraźniej sam hotel. Pracownik został podobno oszukany przez e-mail od fałszywego nadawcy. Prawdopodobnie za pomocą złośliwego oprogramowania hakerzy byli w stanie ukraść dane i zalogować się do tzw. extranetu Booking.com, portalu służącego do komunikacji między hotelem a gościem. Oszuści wysyłali tam wiadomości zamiast do hotelu. Dotknięty usterką gość hotelowy otrzymał odszkodowanie za szkodę.

Pytanie brzmi, dlaczego Booking.com nie może zapobiec takim próbom oszustwa. Technologia zapobiegania oszustwom stale się rozwija. Sztuczna inteligencja mogłaby na przykład identyfikować nietypowe rejestracje na portalach rezerwacyjnych – a także nietypowe wzorce językowe w wiadomościach tekstowych.

W odpowiedzi na prośbę RND, Booking.com wyjaśnił, że takie techniki są rzeczywiście stosowane na platformie. Rzecznik holenderskiego giganta rezerwacyjnego wyjaśnił, że poczynili „znaczne inwestycje”, w tym „zaawansowane systemy wykrywania, które stale aktualizujemy i ulepszamy, wykorzystując uczenie maszynowe i sztuczną inteligencję, aby wyprzedzać ewoluujące taktyki oszustw”. Pozwala im to wykrywać i blokować „przytłaczającą większość podejrzanych działań”, zanim spowodują one jakiekolwiek szkody.

Według firmy liczba przypadków oszustw również spadła w wyniku tych wysiłków. W 2023 r. wykryto i zablokowano 1,5 miliona fałszywych rezerwacji phishingowych, a do 2024 r. liczba ta ma spaść do 250 000, według firmy. Firma wskazuje również, że „nie doszło do naruszenia danych w systemach Booking.com, a Booking.com nie został zhakowany”. Scenariusz oszustwa pojawia się, gdy operatorzy hoteli dają się nabrać na e-maile phishingowe i w ten sposób udzielają przestępcom dostępu do swoich kont.

Jedno jest jasne: pomimo tych wysiłków, wczasowicze są bardziej podatni niż kiedykolwiek. Ponieważ przestępcy mogą teraz używać narzędzi AI, oszukańcze wiadomości wydają się coraz bardziej profesjonalne. Często jest niewiele wskazówek, które wskazują na wiadomość phishingową.

Jasnym znakiem jest wykorzystanie presji czasu i groźby konsekwencji. Każdy, kto zarezerwował i potwierdził pokój za pośrednictwem Booking.com, generalnie go nie straci – nawet jeśli grozi mu to złowieszczy komunikat.

Pomocne jest również dokładne sprawdzenie podanego linku. Czy faktycznie prowadzi on do oficjalnej strony internetowej hotelu? Czy jest to popularny dostawca rezerwacji hotelowych? Zazwyczaj można to ustalić, szybko przeszukując Google. Jednak pod żadnym pozorem nie należy podawać numeru karty kredytowej na zewnętrznej stronie internetowej; tylko podczas rezerwacji na oficjalnej stronie Booking.com. Hotele zazwyczaj nie wymagają podania karty kredytowej w celu zameldowania online.

Hotele mogą również chronić się przed nadużyciami swoich kont. Dwuskładnikowe uwierzytelnianie powinno być zawsze włączone na portalach rezerwacyjnych, aby przechwycenie hasła było nieskuteczne dla oszustów.

Metoda ta jest jednak mniej pomocna, jeśli komputery hotelowe są zainfekowane złośliwym oprogramowaniem – umożliwia to przestępcom przejęcie całego systemu, a w razie wątpliwości także konta na Booking.com.

Centrum porad konsumenckich zaleca hotelom przeszkolenie swoich pracowników tak, aby potrafili oni natychmiast rozpoznawać potencjalne próby phishingu i unikać klikania w fałszywe linki.