Coraz trudniej odróżnić prawdziwe serwisy rezerwacyjne od podróbek
Zamiast prawdziwych platform rezerwacyjnych coraz częściej trafiasz na perfekcyjnie podrobione strony, które opróżniają twoje konto. Cyberprzestępcy kopiują wygląd serwisów takich jak Airbnb, Booking.com czy Expedia, przejmują ruch z wyszukiwarek i reklam, po czym znikają razem z twoimi danymi i pieniędzmi.
Skala tego zjawiska rośnie z sezonu na sezon. Wielu poszkodowanych dowiaduje się o oszustwie dopiero na lotnisku albo przy hotelowej recepcji. Eksperci ds. cyberbezpieczeństwa ostrzegają, że ataki stają się coraz bardziej wyrafinowane i trudniejsze do wykrycia.
Przestępcy wykorzystują przede wszystkim sezonowy wzrost liczby rezerwacji oraz zaufanie ludzi do znanych marek. Gdy planujesz urlop, myślisz o destynacji, programie i pakowaniu walizek — nie o tym, że strona, na której właśnie rezerwujesz, może być fałszywa. Dokładnie na tę nieuwagę liczą oszuści.
Fałszywa Expedia i lot do Indii, który nigdy nie istniał
Wymownym przykładem jest historia brytyjskiej pary opisana przez stację BBC. Para była przekonana, że rezerwuje podróż do Indii za pośrednictwem dobrze znanych serwisów Expedia. Strona wyglądała wiarygodnie — logo, kolory, układ graficzny, wszystko jak w oryginale. Zapłacili około 2 500 funtów, czyli niemal 2 900 euro.
Dopiero na lotnisku okazało się, że w systemie linii lotniczej nie ma żadnej rezerwacji. Ich bilety po prostu nie istniały. Pieniądze trafiły do oszustów, nie na prawdziwą platformę.
Jak do tego doszło? Ofiary zostały przekierowane na stronę łudząco podobną do oryginału. Po wyborze oferty ktoś nakłonił je do kontaktu przez WhatsApp z kontem o nazwie „Fly Expedia”. Kolejny krok to żądanie przelewu bankowego zamiast płatności przez zabezpieczony system serwisu. Całość wyglądała jak zwykła rezerwacja online — różnica polegała na tym, że transakcja ominęła oficjalny system płatności i trafiła bezpośrednio na konto przestępców.
Skala problemu: tysiące fałszywych stron i średnia strata 2 700 euro
Badanie przeprowadzone w sierpniu 2024 roku przez agencję OpinionWay na zlecenie Airbnb pokazuje, że problem nie jest marginalny. Aż 48% ankietowanych Francuzów przyznało, że samo padło ofiarą tego procederu lub zna kogoś, komu się to przydarzyło.
Średnia strata finansowa w takich przypadkach została oszacowana na około 2 700 euro. Dla wielu rodzin to cały budżet urlopowy, a niekiedy oszczędności zbierane przez kilka lat. Airbnb podaje, że między marcem 2023 a marcem 2024 roku udało się usunąć ponad 2 500 fałszywych stron podszywających się pod ten serwis. Co istotne, mowa wyłącznie o stronach, które ktoś zgłosił — rzeczywista liczba może być znacznie wyższa.
Badacze zajmujący się cyberprzestępczością zwracają uwagę, że ataki te wykorzystują zaawansowane techniki phishingu i domain spoofingu. Oszuści rejestrują domeny różniące się od oryginalnych adresów jedną literą, myślnikiem lub dziwną końcówką — zmiana, którą zwykły użytkownik przy szybkim spojrzeniu łatwo przeoczy.
Nie tylko Airbnb i Expedia. Booking.com i koleje też na celowniku
Oszustwa związane z rezerwacjami uderzają również w inne platformy. Francuska organizacja konsumencka UFC-Que Choisir informuje, że poważnie ucierpiał serwis Booking.com, szczególnie w okresie igrzysk olimpijskich w Paryżu.
Według tego stowarzyszenia liczba odnotowanych prób oszustwa związanych z tym serwisem wzrosła w ujęciu rocznym o około 900%. Pokazuje to, jak masowo przestępcy wykorzystują wielkie wydarzenia, gdy ludzie masowo rezerwują noclegi. Podczas olimpiady w Paryżu wielu gości stało się ofiarami fałszywych ofert hoteli i apartamentów w centrum miasta.
Cel nie ogranicza się wyłącznie do noclegów. Atakowane są też serwisy firm kolejowych, w tym francuskiego przewoźnika narodowego. W internecie pojawiają się strony podszywające się pod oficjalny portal, które wabią oferty kartami zniżkowymi w cenach znacznie niższych od oficjalnych stawek.
Im bardziej znana marka i im większy sezon rezerwacyjny, tym większa szansa, że ktoś właśnie teraz próbuje ją skopiować i na niej zarobić. Badacze zajmujący się bezpieczeństwem cyfrowym ostrzegają, że kampanie phishingowe wymierzone w branżę turystyczną należą do najbardziej dochodowych form cyberprzestępczości.
Jak działają te oszustwa krok po kroku
Schemat jest w większości przypadków podobny, choć szczegóły się różnią. Przestępcy grają na pośpiechu, zaufaniu do rozpoznawalnej marki i strachu przed utratą rezerwacji. Eksperci ds. cyberbezpieczeństwa z firm technologicznych ostrzegają, że taktyki te są nieustannie doskonalone.
Najczęstsze techniki stosowane przez oszustów:
- Tworzenie stron wizualnie niemal identycznych z prawdziwym serwisem, lecz pod innym adresem www
- Kupowanie reklam w wyszukiwarkach, dzięki czemu fałszywa strona wyświetla się wysoko ponad organicznymi wynikami
- Wysyłanie wiadomości e-mail lub SMS przypominających komunikację od znanych platform
- Kierowanie do podejrzanych płatności: przelewy, zewnętrzne linki, kontakt przez komunikatory
- Grożenie anulowaniem rezerwacji, jeśli „potwierdzenie płatności” nie nastąpi natychmiast
- Stosowanie pilnych sformułowań w stylu „ostatni wolny pokój” lub „oferta wygasa za godzinę”
- Podrabianie oficjalnie wyglądających e-maili potwierdzających z logo firmy
- Tworzenie fałszywych infolinii z numerami podobnymi do oryginalnych
Częstym trikiem jest wiadomość rzekomo od Booking.com z adresem nadawcy zbliżonym do oficjalnego. W treści pojawia się informacja, że musisz ponownie podać dane karty, bo „system odrzucił płatność”. W mailu znajduje się link prowadzący na stronę łudząco przypominającą prawdziwy panel logowania.
Po wpisaniu danych karty pieniądze zaczynają znikać z konta, a ofiara często orientuje się w tym dopiero po kilku godzinach lub dniach. W podobny sposób oferowane są „superpromotyjne” bilety lub karty zniżkowe na przejazdy kolejowe. Instytucje bankowe odnotowują setki takich przypadków miesięcznie.
Jak sprawdzić, czy rezerwujesz na prawdziwej stronie
Eksperci ds. bezpieczeństwa oraz same platformy podkreślają, że kilka prostych nawyków może uratować urlopowy budżet. Wymagają odrobiny uwagi, ale szybko stają się automatyczne.
W pierwszej kolejności warto spojrzeć na pasek adresu przeglądarki. Oszuści często używają adresów bardzo podobnych do oryginału — z jedną literą więcej, myślnikiem lub dziwną końcówką domeny. Dobrą zasadą jest samodzielne wpisywanie adresu w przeglądarce lub korzystanie wyłącznie z oficjalnej aplikacji danej platformy zamiast klikania w linki z reklam czy wiadomości.
Ważne jest też sprawdzenie, czy w adresie widnieje symbol kłódki oznaczający bezpieczne połączenie HTTPS. Fałszywe strony czasem nie posiadają ważnego certyfikatu bezpieczeństwa. Badacze z instytucji zajmujących się cyberbezpieczeństwem zalecają instalację rozszerzeń przeglądarki, które ostrzegają przed podejrzanymi domenami.
Gdy oferta wygląda zbyt dobrze, żeby była prawdziwa
Urlopowy budżet kusi do szukania okazji. Oszuści doskonale o tym wiedzą. Stąd podejrzanie niskie ceny biletów kolejowych, kart zniżkowych czy noclegów w popularnych kurortach w środku sezonu.
Jeśli cena jest znacznie niższa niż na innych stronach, warto zrobić dodatkowy krok: sprawdzić ten sam obiekt lub usługę na innym serwisie, przejrzeć opinie z różnych źródeł i przeszukać zdjęcia przez wyszukiwanie obrazów, na przykład przez Google Lens. Gdy te same fotografie pojawiają się przy kilku zupełnie różnych lokalizacjach, to bardzo silny sygnał ostrzegawczy.
Psycholodzy specjalizujący się w ekonomii behawioralnej zwracają uwagę, że ludzie w euforii planowania urlopu są bardziej podatni na pochopne decyzje. Weryfikacja zdjęć i adresu strony zajmuje kilka minut, ale może zadecydować o tym, czy spędzisz urlop w wymarzonym miejscu, czy przy telefonie na infolinii banku.
Co zrobić, gdy już zapłaciłeś oszustom
Jeśli przelew trafił na konto oszusta lub wpisałeś dane karty na fałszywej stronie, liczą się minuty. Im szybciej zareagujesz, tym większe masz szanse na ograniczenie strat.
Natychmiast skontaktuj się ze swoim bankiem i zgłoś podejrzaną transakcję. Poproś o zablokowanie karty płatniczej i sprawdź ostatnie operacje. Zbierz wszystkie dowody: e-maile, wiadomości SMS, zrzuty ekranu, potwierdzenia przelewów.
Zgłoś sprawę na policję i właściwemu organowi zajmującemu się cyberprzestępczością w twoim kraju. W Polsce jest to m.in. Centralne Biuro Zwalczania Cyberprzestępczości. Skontaktuj się też z prawdziwą platformą — na przykład Airbnb, Booking.com lub Expedia — i poinformuj ją o kradzieży tożsamości jej marki.
Banki nie zawsze zwracają pieniądze, ponieważ ofiara sama potwierdziła przelew lub płatność kartą. Mimo to zgłoszenie ma sens — część instytucji uruchamia procedury wyjaśniające, a zablokowana karta przestaje stanowić ryzyko na przyszłość. Eksperci z instytucji finansowych zalecają regularne sprawdzanie wyciągów i ustawienie powiadomień dla wszystkich transakcji.
Dlaczego ataki na rezerwacje tak łatwo przynoszą efekty
Rezerwowanie podróży to idealne środowisko dla działalności przestępców. Ludzie są podekscytowani wyjazdem, robią kilka rzeczy jednocześnie, pilnują budżetu, planują urlop. W takim stanie łatwiej kliknąć w pierwszą reklamę lub link z e-maila, który właśnie widzisz.
Serwisy rezerwacyjne same w sobie wysyłają mnóstwo powiadomień — o zmianach godzin lotu, potwierdzeniach noclegu, płatnościach. Przeciętnemu użytkownikowi trudno od razu odróżnić prawdziwą komunikację od sprytnie podrobionej wiadomości. I o to właśnie chodzi oszustom — wmieszać się w naturalny szum informacyjny towarzyszący podróżowaniu.
Warto też pamiętać, że znane marki nie są celem, lecz przynętą. Firmy takie jak Airbnb, Booking.com czy Expedia inwestują sporo w zabezpieczenia, ale przestępcy omijają ich systemy i atakują bezpośrednio użytkowników, podszywając się pod markę. To sprawia, że nawet najbardziej zaawansowana technologia po stronie platform nie zastąpi podstawowej czujności podczas rezerwacji. Czy nie lekceważysz jej przy planowaniu kolejnego urlopu?
