Fałszywe Airbnb i Booking atakują turystów. Jak nie stracić oszczędności?

Rezerwujesz wakacje przez internet?

Coraz częściej trafiasz nie na znane serwisy, ale perfekcyjnie podrobione fałszywki wyciągające pieniądze.

Cyberprzestępcy kopiują wygląd stron takich jak Airbnb, Booking.com czy Expedia, przejmują ruch z wyszukiwarek i reklam, a następnie znikają z twoimi danymi i przelewem. Skala zjawiska rośnie z sezonu na sezon, a wielu poszkodowanych dowiaduje się o oszustwie dopiero na lotnisku lub w recepcji hotelu.

Fałszywa Expedia i „lot do Indii”, który nigdy nie istniał

Dobrym przykładem jest historia brytyjskiej pary opisana przez BBC. Myśleli, że rezerwują podróż do Indii przez dobrze znaną Expedię. Strona wyglądała wiarygodnie: logo, kolory, układ – wszystko jak w oryginale. Zapłacili około 2 500 funtów, czyli blisko 2 900 euro.

Przeczytaj również: Były pracownik działu IT dużej polskiej firmy opisuje jak hakerzy włamują się na konta bankowe Polaków przez publiczne wifi i jakie dwa ustawienia w telefonie zamykają tę lukę bezpieczeństwa natychmiast

Dopiero na lotnisku okazało się, że w systemie linii lotniczej nie ma żadnej rezerwacji. Ich bilety po prostu nie istniały. Pieniądze trafiły do oszustów, a nie do prawdziwej platformy.

Jak to możliwe? Ofiary zostały przekierowane na stronę łudząco podobną do oryginalnej. Po wybraniu oferty poproszono ich o kontakt przez WhatsApp z kontem o nazwie „Fly Expedia”. Kolejny krok: prośba o przelew bankowy, zamiast płatności przez normalny, zabezpieczony system serwisu.

Przeczytaj również: Nowa ulubiona sztuczka oszustów w 2026: groźniejsza niż kradzież karty

Oszustwo wyglądało jak klasyczna rezerwacja online – różnica polegała na tym, że cała transakcja omijała oficjalny system płatności i trafiała wprost na konto przestępców.

Skala problemu: tysiące fałszywych stron i średnia strata 2 700 euro

Badanie przeprowadzone w sierpniu 2024 roku przez OpinionWay dla Airbnb pokazuje, że problem nie jest jednostkowy. Aż 48% ankietowanych Francuzów przyznało, że padło ofiarą takiej praktyki lub zna kogoś, komu się to przydarzyło.

Średnia strata finansowa w tych przypadkach oszacowana została na około 2 700 euro. Dla wielu rodzin to cały budżet wakacyjny, czasem nawet oszczędności z kilku lat.

Przeczytaj również: Dlaczego zły sposób zapisywania haseł do kont który stosuje większość ludzi jest niebezpieczny

Airbnb twierdzi, że między marcem 2023 a marcem 2024 udało się usunąć ponad 2 500 fałszywych witryn podszywających się pod serwis. Co ważne, mówimy tylko o stronach, które ktoś zgłosił – rzeczywista liczba może być wyższa.

Nie tylko Airbnb i Expedia. Booking.com i kolej też na celowniku

Oszustwa związane z rezerwacjami uderzają także w innych graczy. Francuska organizacja konsumencka UFC-Que Choisir informuje, że mocno ucierpiała platforma Booking.com, zwłaszcza w okresie igrzysk olimpijskich w Paryżu.

Według stowarzyszenia liczba odnotowanych prób wyłudzeń związanych z tym serwisem wzrosła w tym czasie o około 900% rok do roku. To pokazuje, jak bardzo przestępcy wykorzystują duże wydarzenia, gdy ludzie masowo rezerwują noclegi.

Cel nie ogranicza się do noclegów. Atakowane są też serwisy kolejowe, w tym francuski przewoźnik krajowy. W sieci pojawiają się strony udające oficjalny portal, które kuszą na przykład kartami zniżkowymi w cenach zdecydowanie niższych od oficjalnych stawek.

Im bardziej znana marka i im większy sezon na rezerwacje, tym większa szansa, że ktoś właśnie w tym momencie próbuje ją skopiować i na niej zarobić.

Jak działają te oszustwa krok po kroku

Schemat jest zazwyczaj podobny, choć szczegóły się różnią. Przestępcy grają na pośpiechu, zaufaniu do rozpoznawalnej marki i strachu przed utratą rezerwacji.

Najczęstsze techniki stosowane przez oszustów

• Tworzenie stron wizualnie niemal identycznych z prawdziwym serwisem, ale z innym adresem www.
• Kupowanie reklam w wyszukiwarkach, aby fałszywa strona pojawiała się wysoko nad wynikami organicznymi.
• Wysyłanie wiadomości e-mail lub SMS, które przypominają komunikaty od znanych platform.
• Kierowanie na podejrzane płatności: przelewy, linki zewnętrzne, komunikacja przez komunikatory.
• Straszenie anulowaniem rezerwacji, jeśli „potwierdzenie płatności” nie nastąpi natychmiast.

Częstym zabiegiem jest wiadomość niby od Booking.com, z adresem nadawcy podobnym do oficjalnego. W treści pojawia się informacja, że trzeba ponownie wprowadzić dane karty, bo „system odrzucił płatność”. W mailu widnieje link wiodący na stronę, która do złudzenia przypomina prawdziwy panel logowania.

Po wpisaniu danych karty, pieniądze zaczynają znikać z konta, a ofiara często orientuje się dopiero po kilku godzinach lub dniach. W podobny sposób oferowane są „superpromocyjne” bilety czy karty zniżkowe na przejazdy pociągami.

Jak sprawdzić, czy rezerwujesz na prawdziwej stronie

Eksperci ds. bezpieczeństwa i same platformy podkreślają, że kilka prostych nawyków potrafi uratować wakacyjny budżet. Wymagają odrobiny uważności, ale szybko wchodzą w krew.

Kontrola adresu strony i źródła linku

Najpierw warto spojrzeć na pasek adresu przeglądarki. Oszuści często używają adresów bardzo podobnych do oryginału, z jedną literą więcej, myślnikiem albo dziwną końcówką domeny.

Dobrą zasadą jest samodzielne wpisywanie adresu w przeglądarce albo korzystanie wyłącznie z oficjalnej aplikacji danej platformy, zamiast klikania w linki z reklam czy wiadomości.

Kiedy oferta jest „zbyt dobra”, żeby była prawdziwa

Wakacyjny budżet kusi, żeby szukać okazji. Oszuści doskonale o tym wiedzą. Stąd zaniżone ceny biletów kolejowych, kart rabatowych czy noclegów w popularnych kurortach w środku sezonu.

Jeśli cena jest wyraźnie niższa niż na innych stronach, warto wykonać dodatkowy krok: sprawdzić ten sam obiekt albo usługę w innym serwisie, przejrzeć opinie z różnych źródeł i przepuścić zdjęcia przez wyszukiwanie obrazem, np. w Google Lens. Gdy te same fotografie pojawiają się przy kilku zupełnie innych lokalizacjach, to bardzo mocny sygnał ostrzegawczy.

Weryfikacja zdjęć i adresu strony zajmuje kilka minut, a może zdecydować, czy spędzisz urlop w wymarzonym miejscu, czy na infolinii banku.

Co robić, jeśli już zapłaciłeś oszustom

Jeśli przelew poszedł na konto oszusta albo podałeś dane karty na fałszywej stronie, liczy się czas. Im szybciej zareagujesz, tym większa szansa na ograniczenie strat.

• Natychmiast skontaktuj się ze swoim bankiem i zgłoś podejrzaną transakcję.
• Poproś o zastrzeżenie karty płatniczej i sprawdź ostatnie operacje.
• Zbierz wszystkie dowody: maile, SMS-y, zrzuty ekranu, potwierdzenia przelewów.
• Zgłoś sprawę na policji oraz w odpowiednim organie zajmującym się cyberprzestępczością w twoim kraju.
• Skontaktuj się z prawdziwą platformą (np. Airbnb, Booking.com, Expedia) i poinformuj o kradzieży tożsamości ich marki.

Banki nie zawsze zwracają pieniądze, ponieważ ofiara sama zatwierdza przelew czy płatność kartą. Mimo to zgłoszenie ma sens – część instytucji uruchamia wtedy procedury wyjaśniające, a zablokowana karta przestaje stanowić zagrożenie na przyszłość.

Dlaczego ataki na rezerwacje tak łatwo się udają

Rezerwowanie podróży to idealne pole do działania dla przestępców. Ludzie są podekscytowani wyjazdem, robią kilka rzeczy naraz, zamykają budżet, pilnują urlopów. W takim stanie łatwiej kliknąć w pierwszą z brzegu reklamę czy link z maila.

Dodatkowo serwisy rezerwacyjne same w sobie wysyłają sporo powiadomień: o zmianie godzin lotu, potwierdzeniach noclegów, płatnościach. Zwykłemu użytkownikowi trudno od razu odróżnić prawdziwy komunikat od sprytnej podróbki. A o to dokładnie chodzi oszustom – wtopić się w naturalny szum informacyjny wokół podróży.

Warto też pamiętać, że znane marki nie są celem, tylko przynętą. Firmy takie jak Airbnb, Booking.com czy Expedia inwestują dużo w zabezpieczenia, ale przestępcy omijają ich systemy i uderzają bezpośrednio w użytkownika, podszywając się pod markę. To sprawia, że nawet najbardziej zaawansowana technologia po stronie platform nie zastąpi podstawowej czujności podczas rezerwacji.