Svou zkušenost s podvodníky na platformě Booking.com, která zprostředkovává ubytování v hotelech, penzionech nebo apartmánech, deníku Aktuálně.cz popsal čtenář Jan H. "Na Bookingu jsem normálně zaplatil ubytování, všechno v pořádku. A po několika týdnech mi přišel rádoby od Bookingu e-mail i zpráva do chatu v profilu, že karta nebyla akceptována, a pokud ji ve formuláři nezadám ručně znovu, pobyt mi zruší," vysvětluje.
Podotýká, že e-mail i následná stránka, kde se měly vyplnit všechny údaje o kartě, působily naprosto důvěryhodně a jejich podoba odpovídala vzhledu Bookingu.
Podobnou situaci zažil čtenář Marek D. Redakce celá jména obou čtenářů zná a jejich výpověď ověřila na základě zaslaných snímků obrazovky i reakcí dalších obětí tohoto podvodu. "Přišel mi e-mail od Bookingu, otevřel jsem přímo i aplikaci Booking a tam byla taktéž stejná zpráva s odkazem přímo od daného hotelu," popisuje.
Po rozkliknutí odkazu se i Marek dostal na "velmi přesvědčivou webovou stránku". Několik minut dokonce strávil komunikací na chatu s údajným zaměstnancem Bookingu. "I tak mi to ovšem přišlo zvláštní, protože jsem tu rezervaci rovnou zaplatil. Zároveň jsem si ale říkal, že třeba je to nějaká změna podmínek nebo že je hlavní sezona," podotýká dále Marek.
I když jde o mladého člověka, který běžné metody podvodníků podle vlastních slov snadno odhalí, tomuto triku uvěřil. Do formuláře zadal údaje o své platební kartě, byť k té, kde má jen malý obnos peněz. Měl ale nakonec štěstí v neštěstí - při psaní čísel udělal překlep a rozhodl se kontaktovat přímo hotel.
"Tam mi slečna řekla, že jde o podvod a že jí celý den volají lidi se stejným problémem a ať nic nedělám, že na tom pracují přímo s Bookingem," doplnil Marek D. s tím, že další komunikace kolem podvodu se už ovšem od hotelu ani ubytovací platformy nedočkal. Nakonec pro jistotu platební kartu zablokoval.
"Je pro mě naprosto nepochopitelné, že i když Booking ví, že podvodníci využili slabé místo v jejich zabezpečení, ani nepošle klientům zprávu, aby si dali pozor," stěžuje si podvedený Marek D. a jednání platformy hodnotí jako "neprofesionální".
Hotel varuje hosty před podvody
Redakce Aktuálně.cz požádala o vyjádření centrálu Booking.com. "Scamy (tedy podvody, které cílí primárně na získání finančních prostředků oběti, pozn. red.) ze strany zákeřných třetích stran jsou bohužel skutečnou hrozbou pro každý online byznys a my chápeme dopad, který mohou mít na naše zákazníky a partnery, již mohou padnout těmto profesionálním podvodníkům za oběť," reagovalo tiskové oddělení s tím, že na vylepšení bezpečnosti portálu se průběžně pracuje.
Doplnilo, že klienty zároveň varuje před sdílením citlivých údajů přes e-mail či telefon. "Nikdy také nebudeme požadovat platbu v rozporu s našimi původními rezervačními podmínkami, které lze nalézt u potvrzení platby," dodalo.
O něco sdílnější byl brněnský hotel Grandezza, kde si ubytování rezervoval Jan H. Ten po opakovaných útocích a několika týdnech rozeslal v polovině srpna svým klientům varování. "S největší pravděpodobností byl dnes plošně hackery napaden rezervační portál Booking.com a na mnoho rezervací, včetně těch do hotelu Grandezza, jsou ze strany podvodníků mířeny útoky s cílem vylákat od klientů údaje k platebním kartám," napsal v chatu na platformě Booking.com s tím, že hotel údaje k platebním kartám nepožaduje a nikdy je není třeba zadávat pro potvrzení rezervace touto cestou.
Jak zneužít dovolenkáře
Před podvodníky na tomto portálu v úterý varovala také Česká bankovní asociace. "Rezervujete si ubytování přes Booking.com? Tak bacha," vyzývá na sociální síti Twitter s konkrétní ukázkou toho, jak podvodná zpráva vypadá. Mluvčí asociace Radek Šalša pro Aktuálně.cz potvrzuje, že podvodníci se takto snaží zneužívat letní sezonu, kdy je o pobyty největší zájem.
Rezervujete si ubytování přes https://t.co/NYNStBMj6h 📷? Tak bacha! E-šmejdi totiž našli způsob, jak obrat o peníze právě jejich klienty.📷 Pár dní poté, co provedete rezervaci vám přijde email 📷, že platba neproběhla a je třeba aktualizovat platební údaje... Asi už je jasné,… pic.twitter.com/IZjc2AmYm8
— Česká bankovní asociace (@cba_cz) August 21, 2023
Plánování útoků do konkrétního období, jako jsou právě letní dovolené nebo vánoční svátky, je přitom jednou z hlavních podvodných taktik takzvaného phishingu. Při něm se útočník snaží profilovat jako důvěryhodná autorita s cílem získat citlivá data obětí. Ondřej Šafář ze softwarové společnosti Eset připomíná, že online zloději se dlouhodobě chovají velmi pragmaticky. "A když zjistí, že nějaká taktika funguje, snaží se jí využít co nejvíce a jen ji postupně vylepšují," dodává.
Kromě Bookingu mají s phishingem zkušenosti například i uživatelé Facebook Marketu, LinkedInu, Bazoše, bazaru Vinted či dopravních služeb jako Zásilkovna a DHL. Časté jsou útoky také na účty Microsoftu, Netflixu a víceméně veškeré e-mailové adresy. Útočníci pro komunikaci také často používají aplikaci WhatsApp.
Při rezervaci ubytování odborníci doporučují pozorně prohlédnout profil ubytovatele a věnovat pozornost podmínkám ubytování, které obsahují informace o platbě, zálohách nebo dalších dodatečných poplatcích. "Všechny platby provádějte pouze přes ubytovací platformu. Ubytovateli ani platformě neposkytujte další osobní údaje ani dodatečnou platbu jinými kanály, například přes odkaz v SMS, chatovací aplikaci, e-mail nebo po telefonu," upozorňuje specialistka kybernetické bezpečnosti Esetu Vladimíra Žáčková.
Metody internetových útočníků jsou podle expertů navíc čím dál propracovanější, na podvodný e-mail nebo odkaz ale může upozornit například netypická adresa odesílatele v e-mailu či URL adresa v prohlížeči.
K platbám na internetu je doporučeno používat separátní platební kartu s minimem hotovosti. "Pokud již k podvodu dojde a pošlete podvodníkům své osobní údaje nebo přímo údaje o platební kartě, je třeba nejprve kontaktovat vydavatele karty a kartu zablokovat, aby nedošlo k jejímu dalšímu zneužití. Dále podvod nahlaste své bance, Policii ČR a ubytovací platformě," uvádí dále Žáčková.
U online ubytovacích platforem se vyplatí používat dvoufázové ověření. "Toto opatření v případě úniku vašich přihlašovacích údajů zajistí bezpečnost vašeho účtu a zabrání jeho zneužití," uzavírá bezpečnostní expertka z Esetu.
