To jeden z najgroźniejszych modeli oszustwa turystycznego ostatnich lat – i co najgorsze, wygląda całkowicie legalnie. Cyberprzestępcy nauczyli się wykorzystywać Booking.com nie łamiąc zabezpieczeń samej platformy, lecz przejmując konta hoteli i pensjonatów. Efekt? Turyści tracą pieniądze, a oszuści znikają bez śladu.

Skala problemu rośnie lawinowo. Tylko w Holandii liczba ofiar liczona jest już w setkach, a straty finansowe w 2025 roku wzrosły o ponad 160 procent rok do roku – alarmuje holenderski dziennik De Telegraaf.

Jak działa oszustwo „na Booking.com”?

Schemat jest perfekcyjnie przygotowany. Turysta dokonuje rezerwacji noclegu. Po kilku dniach – lub tuż przed przyjazdem – otrzymuje wiadomość w oficjalnym czacie aplikacji Booking.com. Nadawca wygląda jak hotel. Styl, logo, kontekst – wszystko się zgadza.

W treści pojawia się prośba o pilną płatność: dopłata, potwierdzenie karty, kaucja, opłata klimatyczna albo „weryfikacja rezerwacji”. Towarzyszy temu presja czasu i groźba anulowania noclegu, jeśli pieniądze nie zostaną przelane natychmiast.

To moment krytyczny. Ofiara ufa komunikatowi, bo:

  • pochodzi z oficjalnej aplikacji,
  • zawiera prawdziwe dane rezerwacji,
  • jest napisany bez błędów, w jej języku.

I właśnie wtedy pieniądze trafiają prosto do oszustów.

Skąd przestępcy mają dostęp do czatu?

Problem nie leży – jak twierdzi platforma – po stronie samego Booking.com, lecz w systemach partnerów. Cyberprzestępcy wykorzystują wycieki haseł krążące w darknecie, złośliwe oprogramowanie typu infostealer i słabe zabezpieczenia komputerów w hotelach.

Po przejęciu loginów do panelu obiektu oszuści widzą wszystkie aktywne rezerwacje: imiona, daty pobytu, kwoty. Następnie kontaktują się z gośćmi z poziomu legalnego konta hotelu. To nie jest zwykły phishing – to precyzyjne wyłudzenie oparte na autentycznych danych.

Coraz częściej wykorzystywana jest też sztuczna inteligencja, która generuje wiadomości w języku ofiary. Eliminuje przy tym literówki i błędy, które dawniej zdradzały oszustów.

Ile tracą turyści?

Straty rosną w tempie alarmującym. W 2024 roku w Holandii zgłoszono 89 przypadków, a łączna kwota strat wyniosła ok. 25 tys. euro. Rok później liczba ofiar wzrosła do około 200, a straty przekroczyły 65 tys. euro. Organizacje zajmujące się walką z oszustwami ostrzegają, że początek 2026 roku przyniósł kolejną falę zgłoszeń.

Booking.com umywa ręce

Platforma w oficjalnych stanowiskach podkreśla, że jej systemy nie zostały zhakowane, a odpowiedzialność spoczywa na hotelarzach, którzy nie zabezpieczyli odpowiednio swoich kont. Dla poszkodowanych oznacza to jedno: odzyskanie pieniędzy bywa niemal niemożliwe. W praktyce turyści zostają sami – między oszustem, hotelem a globalną platformą, która dystansuje się od odpowiedzialności.

Wniosek jest brutalny

Jeśli ktokolwiek żąda dodatkowej płatności przez czat, link lub zewnętrzną stronę – to sygnał alarmowy. Nawet jeśli wiadomość wygląda na „oficjalną”. Ten model oszustwa pokazuje jedno: cyberprzestępcy są dziś o krok przed użytkownikami. A rachunek za ten wyścig coraz częściej płacą turyści…

Jak się chronić przed oszustwem „na Booking.com”?

Ten model wyłudzeń jest skuteczny, bo udaje legalną komunikację. Dlatego zasady bezpieczeństwa muszą być bezwzględne:

Booking.com nigdy nie prosi o płatności przez czat

Jeśli ktoś żąda dopłaty, kaucji lub „weryfikacji rezerwacji” poza standardowym procesem płatności na platformie – to niemal na pewno oszustwo.

Nie klikaj linków z wiadomości

Nawet jeśli pochodzą z oficjalnego czatu w aplikacji. Prawdziwe płatności realizuje się wyłącznie po zalogowaniu na konto użytkownika w Booking.com, a nie przez zewnętrzne strony.

Presja czasu to czerwone światło

Groźby anulowania rezerwacji „za godzinę”, „do końca dnia” lub „natychmiast” to klasyczna technika psychologiczna oszustów.

Sprawdzaj płatności tylko w panelu rezerwacji

Jeśli hotel rzeczywiście wymaga dopłaty (np. podatku lokalnego), informacja powinna być widoczna w szczegółach rezerwacji, a nie wyłącznie w wiadomości.

Zgłaszaj podejrzane wiadomości

Każdą taką próbę należy natychmiast zgłosić do Booking.com oraz – jeśli doszło do przelewu – do banku. Czas reakcji bywa kluczowy.

Zasada numer jeden

Jeśli coś wygląda oficjalnie, ale wymaga szybkiej płatności poza standardową ścieżką – to nie przypadek. Zapamiętajcie to!

Czytaj również: