Sezon wakacyjny to czas planowania wyjazdów, rezerwowania noclegów i szukania okazji w internecie. To również okres większej aktywności cyberprzestępców, którzy próbują wykorzystać pośpiech, emocje i nieuwagę turystów.
Oszuści często stosują presję czasu
NASK oraz CERT Polska ostrzegają przed oszustwami „na Booking”, czyli próbami podszywania się pod popularną platformę rezerwacyjną, gospodarzy obiektów lub obsługę serwisu.
Celem przestępców jest najczęściej wyłudzenie danych logowania, danych karty płatniczej albo nakłonienie ofiary do wykonania przelewu poza oficjalną platformą. Oszuści często stosują presję czasu, informując np., że rezerwacja zostanie anulowana, jeśli użytkownik natychmiast nie potwierdzi płatności lub nie dopłaci wskazanej kwoty.
Fałszywe strony i wiadomości od „obiektu”
Jednym z najczęstszych schematów jest wysyłanie linków do stron łudząco podobnych do Booking.com. Mogą one mieć podobną kolorystykę, układ graficzny, panel logowania czy okno płatności. Różnica tkwi w adresie strony – czasem jest to drobna literówka, dodatkowy znak, nietypowa końcówka domeny albo całkowicie inny adres.
Użytkownik, przekonany, że znajduje się na prawdziwej stronie, może podać dane karty lub login i hasło. To wystarczy, żeby oszuści przejęli konto albo wyłudzili pieniądze.
CERT Polska zwraca też uwagę na przypadki, w których przestępcy przejmują konto prawdziwego gospodarza. Wtedy wiadomość może wyglądać wyjątkowo wiarygodnie, bo dotyczy istniejącej rezerwacji i zawiera prawdziwe dane obiektu czy termin pobytu. Oszuści proszą jednak o dodatkową wpłatę, ponowną weryfikację płatności albo przelew na prywatne konto.
Oferta może być prawdziwa, ale wystawca nieuczciwy
Innym wariantem są fałszywe lub nieuczciwe oferty zamieszczane na prawdziwych platformach rezerwacyjnych. W takim przypadku problem nie polega na podrobionej stronie, lecz na wprowadzeniu klienta w błąd co do samej oferty, warunków pobytu lub tożsamości wynajmującego.
Takie przypadki należy zgłaszać bezpośrednio administracji platformy rezerwacyjnej. Jeśli doszło już do wyłudzenia pieniędzy, sprawę warto zgłosić również organom ścigania.
Jak nie dać się oszukać?
Eksperci radzą, żeby przede wszystkim nie działać pod presją czasu. Komunikaty typu „natychmiastowa płatność”, „ostatnia szansa” czy „anulujemy rezerwację” powinny wzbudzić czujność.
Przed podaniem jakichkolwiek danych należy dokładnie sprawdzić adres strony. Nie powinno się logować ani wpisywać danych karty po kliknięciu w link otrzymany w wiadomości. Bezpieczniej samodzielnie wpisać adres platformy w przeglądarce i sprawdzić rezerwację bezpośrednio w swoim panelu.
NASK przypomina też, by płatności i rozmowy prowadzić wyłącznie w ramach oficjalnej platformy. Podejrzane powinny być prośby o przelew na prywatne konto, dopłatę poza systemem albo skorzystanie z zewnętrznej bramki płatności. Dodatkowym zabezpieczeniem jest włączenie uwierzytelniania dwuskładnikowego.
Gdzie zgłaszać takie oszustwa?
Próby phishingu można zgłaszać do CERT Polska przez formularz na stronie incydent.cert.pl lub w aplikacji mObywatel, w usłudze „Bezpiecznie w sieci”. Dzięki takim zgłoszeniom możliwe jest szybsze blokowanie fałszywych domen i ostrzeganie kolejnych użytkowników.
