Zarezerwowaliście hotel na Booking.com? Ten jeden błąd może kosztować was wszystkie pieniądze

Schemat działania jest wyjątkowo trudny do wykrycia. Po dokonaniu rezerwacji turysta otrzymuje wiadomość w oficjalnej aplikacji Booking.com, wyglądającą jak standardowy komunikat z obiektu noclegowego. Pojawiają się w nim informacje o godzinie zameldowania, dopłatach, zasadach odbioru kluczy czy kodzie do drzwi.

W rzeczywistości kontakt pochodzi od cyberprzestępców, którzy wcześniej przejęli dane logowania do paneli administracyjnych hoteli. Podszywając się pod personel, żądają natychmiastowej płatności i straszą anulowaniem rezerwacji. Ofiara, przekonana, że rozmawia z legalnym obiektem w bezpiecznym kanale, często wykonuje przelew bez wahania.

AI i wycieki haseł napędzają nową falę oszustw

Jak wyjaśnia „etyczny haker” Sijmen Ruwhof w rozmowie z dziennikiem „De Telegraaf”, źródłem problemu są masowe wycieki haseł krążące w dark webie oraz złośliwe oprogramowanie typu infostealer. Umożliwiają one przejęcie kont hotelowych powiązanych z Booking.com i dostęp do pełnych danych rezerwacyjnych.

Dodatkowo przestępcy wykorzystują sztuczną inteligencję do generowania wiadomości w języku ojczystym ofiar, co eliminuje błędy stylistyczne i gramatyczne. Phishing staje się więc niemal nieodróżnialny od prawdziwej korespondencji.

Booking.com: odpowiedzialność po stronie partnerów

Platforma podkreśla, że jej infrastruktura nie została zhakowana, a winę za incydenty ponoszą obiekty noclegowe, które niewystarczająco zabezpieczają swoje systemy. W praktyce oznacza to, że wielu poszkodowanych klientów ma poważne trudności z odzyskaniem pieniędzy.

Rekordowe straty i rosnąca skala zagrożenia

Dane holenderskiego Fraudehelpdesk pokazują gwałtowną eskalację problemu. W 2024 r. odnotowano 89 zgłoszeń i straty na poziomie około 25 tys. euro. W 2025 r. liczba ofiar wzrosła do blisko 200, a suma wyłudzeń przekroczyła 65 tys. euro. Już w pierwszych tygodniach 2026 r. fala ataków ponownie przybrała na sile, co może zwiastować kolejny rekord.

Czym jest phishing?

Phishing to jedna z najczęściej stosowanych metod cyberoszustwa, polegająca na wyłudzaniu poufnych danych lub pieniędzy poprzez podszywanie się pod zaufaną instytucję, firmę albo osobę. Przestępcy tworzą fałszywe wiadomości e-mail, SMS-y, komunikaty w aplikacjach lub na portalach społecznościowych, które do złudzenia przypominają oficjalną korespondencję banku, urzędu, sklepu internetowego czy, jak w przypadku Booking.com, hotelu.

Mechanizm jest zawsze podobny. Ofiara otrzymuje pilny komunikat: o rzekomej konieczności dopłaty, potwierdzenia danych, problemie z rezerwacją, zablokowanym koncie lub podejrzanej aktywności. Wiadomości często zawierają link prowadzący do strony łudząco podobnej do oryginalnej lub prośbę o wykonanie przelewu. Działają na emocjach – strachu, presji czasu i zaufaniu do znanej marki.

W bardziej zaawansowanych atakach, tzw. phishingu spersonalizowanym (spear phishing), oszuści wykorzystują prawdziwe dane ofiary: imię, nazwisko, numer rezerwacji, nazwę hotelu czy termin pobytu. Dzięki temu komunikat wygląda w pełni wiarygodnie. Coraz częściej do jego tworzenia wykorzystywana jest sztuczna inteligencja, która generuje poprawne językowo, naturalnie brzmiące treści w języku ofiary.

Celem phishingu może być:

• kradzież danych logowania do kont (bankowych, mailowych, serwisów rezerwacyjnych),

• wyłudzenie numerów kart płatniczych i kodów CVV,

• nakłonienie do wykonania przelewu na konto przestępców,

• zainfekowanie urządzenia złośliwym oprogramowaniem.

W przypadku oszustw na Booking.com mamy do czynienia z wyjątkowo groźną formą phishingu, ponieważ komunikacja odbywa się w oficjalnym, zaufanym kanale, czyli czacie aplikacji, co niemal całkowicie usypia czujność użytkowników.