Booking.com WhatsApp üzenet átverés -az alig egy napos domain már is bevitt nekik 150ezer forintot.
Sajnos egy újabb szintet lépett a digitális bűnözés, és ezúttal nem egy gyanútlan laikust, hanem egy dörzsölt szakembert találtak be a csalók. Az EUROASTRA szerkesztőségéhez eljuttatott dokumentumok alapján lépésről lépésre rekonstruáltuk, hogyan loptak el több mint 150 ezer forintot Tamástól egy prágai utazás ürügyén a booking.com WhatsApp üzenet átverés módszerével.
Ez az eset nem csupán egy egyedi balszerencse: rávilágít a globális turizmus legsúlyosabb biztonsági résére. Ki gondolná, hogy jön egy WhatsApp üzenet a szállodától ahol már korábban foglalásunkat regisztráltuk és sürgetni kezdenek, hogy fizessünk mert lecsúszunk az álom pihenésről. Fura, de a Booking az állítja, hogy Ők már a foglaláskor jelzik az ügyfeleknek, hogy a Booking. fizetési megerősítésre nem használ WhatsApp alkalmazást. Aki ezt nem látja, nem olvassa: így járhat mint acikkünkben Tamás. Lássuk, hogyan járt Tamás?
Ez az eset nem csupán egy egyedi balszerencse: rávilágít a globális turizmus legsúlyosabb biztonsági résére. Ki gondolná, hogy jön egy WhatsApp üzenet a szállodától, ahol már korábban foglalásunkat regisztráltuk, és sürgetni kezdenek, hogy fizessünk, mert lecsúszunk az álompihenésről? Fura, de a Booking.com azt állítja, hogy ők már a foglaláskor jelzik az ügyfeleknek: a Booking.com fizetési megerősítésre nem használ WhatsApp alkalmazást. Aki ezt nem látja vagy nem olvassa, így járhat, mint cikkünkben Tamás. Lássuk a részleteket!
A profi csapda felállítása: Amikor az adatok elárulnak
A történet úgy kezdődött, mint bármelyik normális utazás: Tamás szobát foglalt a prágai Grandium Hotelbe a Booking.com-on keresztül. Pár nappal később azonban egy WhatsApp üzenetet kapott egy „Gearvel” nevű, üzleti fiókként regisztrált profiltól, amely a szálloda logóját használta. Amiért ez a csalás rendkívül veszélyes, az a tökéletes hitelesség.
Az üzenetben minden stimmelt:
Az áldozat teljes neve.
A pontos foglalási szám: 569XXXXX.
Az érkezés napja: 2026. február 9.
A csalók azt állították, hogy a foglalás „függőben van”, és ha 24 órán belül nem igazolja a kártyaadatait egy megadott linken, a rendszer automatikusan törli a prágai szállását.
A BOOKING.COM, soha nem kér pénzt WhatsAppon!
A Booking állítja, hogy ügyfeleitfolyamatosan tájékoztatják, arról a kínos helyzetről amibe Tamás is bele került azaz a Booking.com whatsapp üzenet átverés lehetőségéról. A kérdés az, hogy ki kapott ilyen levelet és hogyan. Bár a Booking ezt állítja de Tamás esetében, ez „lemaradt”.
A technikai bizonyíték: Adatszivárgás a rendszer mélyén
Szerkesztőségünk kielemezte a folyamatnaplókat és a technikai adatokat. A bizonyítékok megdönthetetlenek: a csalók nem egy általános linket küldtek, hanem egy olyat, amibe már bele volt kódolva Tamás összes adata.
A parancssori elemzésünk szerint az indított URL így nézett ki: https://booking.appguestay.com/i/992XXXXXXX?firstname=lastname=XXXXXX+Tamás&email=X@X.hu&phone=209876XXX…
Booking.com WhatsApp üzenet átverés -az alig egy napos domain már is bevitt nekik 150ezer forintot.
Ez azt jelenti, hogy a bűnözők már a kapcsolatfelvétel előtt, teljes hozzáféréssel rendelkeztek a szálloda belső adataihoz. Nem találgatásról van szó, hanem egyértelmű adatvédelmi incidensről (GDPR), ahol a Grandium Hotel Prague vagy a Booking.com rendszeréből kerültek ki az érzékeny információk.
Ránézel elsőre és ha nem veszed észre, hogy a felső sorban nem Booking.com cím szerepel, vagy nem a fogadó szálloda webcíme: fogod és fizetsz. Mobilon szinte észrevétlen ez…
A pénz útja: Prága helyett India
A megtévesztés sajnos sikeres volt. A hamis oldalon, amely megszólalásig hasonlított a hivatalos felületre, Tamás megadta kártyaadatait. A K&H Bank bizonylataiból feketén-fehéren látszik a lopás: míg a cél Prága volt, a pénz egy „PYU*HOTEL PARK PALACE Ananthnag IN” nevű, indiai (IN) számlára érkezett meg 2026. január 9-én. Az összeg: 152 719 forint.
Miért nem állítja meg ezt a Booking.com rendszere?
A módszer 2023 elején tűnt fel először, és 2024-2025-re vált globális járvánnyá. A technika alapja a szállásadók adminfelületének (Extranet) feltörése. A bűnözők nem a Booking központi szervereit támadják, hanem a szállodák recepcióit fertőzik meg adathalász e-mailekkel.
A módszer 2023 elején tűnt fel először, és 2024-2025-re vált globális járvánnyá. A technika alapja a szállásadók adminfelületének (Extranet) feltörése. A bűnözők nem a Booking központi szervereit támadják, hanem a szállodák recepcióit fertőzik meg adathalász e-mailekkel.
A „leggyengébb láncszem” építészeti hibája: a Booking.com rendszere kicsit vak és kicsit süket is?
A Booking.com központi szerverei valóban biztonságosak, de a rendszer több százezer partneren (szállodán) keresztül lélegzik.
Decentralizált védelem: A Booking nem felügyelheti minden egyes prágai vagy vidéki hotel recepciósának számítógépét.
Az Extranet a bejárat: Ha a bűnözők adathalászattal (például egy „elveszett irat” vagy „allergiás gyerek” ürügyén küldött vírusos e-maillel) megszerzik egy szálloda belépési kódjait, a rendszer számára ők maguk lesznek a szálloda. Innentől minden adatot látnak: neveket, telefonszámokat és foglalási összegeket. Igen, a tiédet, az enyémet és mindenkiét aki oda foglal, abba a szállodába!
A 2FA (kétlépcsős azonosítás) kijátszása: Az „Infostealer” korszak
Sokan azt hiszik, az SMS-kód megvédi őket. A bűnözők azonban Infostealer malware-eket (pl. Vidar) használnak.
Munkamenet-lopás (Session Hijacking): Ez a technológia nem a jelszót lopja el, hanem a böngésző „sütijeit” (cookie), amik azt igazolják, hogy a recepciós már bejelentkezett.
A végeredmény: A bűnöző úgy lép be az Extranetbe, hogy a rendszer nem kér tőle újabb kódot, hiszen azt hiszi, ugyanaz a gép és ugyanaz a személy használja a fiókot, aki tíz perce még legitim módon dolgozott.
A platformelhagyási stratégia (A WhatsApp-trükk)
A Booking.com mesterséges intelligenciája szűri a belső chatet, és ha gyanús fizetési linket észlel, figyelmezteti a felhasználót. A bűnözők ezért kiterelik az ügyfelet a kontrollált zónából:
WhatsApp és e-mail: Itt a Booking algoritmusa „vak”. Tamás is WhatsAppon kapta a csalárd üzenetet.
Személyre szabott URL-ek: Ahogy a Tamás gépén futó folyamatokból láttuk, a linkek már tartalmazták a nevét és adatait (firstname=...&lastname=...), ami elnyomja a gyanakvást, mert az oldal „tudta, ki ő”. Ki gondolná, hogy átverik, ha minden adata, címe, emailja, de még a rendelési száma is stimmel? A szem amit nem lehet becsapni: ott felül az URL már elárulná, de azt valahogyan a tudat becsapásával az emberek java, ilyen esetben kikerüli és csapdába kerülve, rácseszik.
A hitelesítési rés és a tömegesség átka
Gyors partner-regisztráció: Szakértői vélemények szerint, kevesebb mint 15 perc alatt létrehozható egy (akár fiktív) szállásadó profil, szigorúbb ellenőrzés nélkül. (sajnos működött)
Statikus adatok: A foglalási adatok (név, dátum, összeg) statikusak és láthatóak az összes munkatársnak a hotelben. Ha egyetlen alkalmazottat vernek át, az összes jövőbeli vendég adata veszélybe kerül.
Miért nem állítják meg a Booking.com is IT munkatársai ezt a WhatsApp átverést? (A felelősségi vákuum)
A Booking.com technikai válasza gyakran az, hogy „mi nem lettünk feltörve, a szálloda volt a hibás”. Ezzel jogilag és technikailag is hárítják a közvetlen felelősséget. A kártérítés pedig azért nehéz, mert a tranzakciót az ügyfél (Tamás) önként indítja el a banki applikációjában, még ha megtévesztés hatására is.
A rendszer nem technikai hiba, hanem üzleti modell-hiba miatt tehetetlen: a platformnak szüksége van a százezernyi kis partnerre a növekedéshez, de nem tudja garantálni ezeknek a partnereknek a kiberbiztonsági érettségét.
Ki a felelős? A Booking.com védekezése és a szállodák lázadása
A felelősség hárítása folyamatos. A Booking szerint ők csak közvetítők, és a szállodák hanyag biztonsága (például a phishing e-mailek megnyitása a recepción) a bűnös.
Ezzel szemben több mint 10 000 európai szálloda fogott össze (Hotrec), és indított csoportos keresetet a Booking ellen, részben az ilyen incidensek kezelése és az „elszívó” üzleti gyakorlatuk miatt.
Hogyan védekezik a Booking.com?
-
MI-alapú szűrés: Próbálják blokkolni a gyanús linkeket a belső chaten.
-
Kétlépcsős azonosítás: Kötelezővé tették a szállodáknak a belépéshez.
-
Figyelmeztetések: Ma már minden foglalásnál ott a felirat: „Soha ne fizess WhatsAppon kapott linkre!”
Ennek ellenére a felelősség hárítása folyamatos. A Booking szerint ők csak a közvetítők, a szálloda felel az adatokért. A szálloda pedig azt mondja, ők is áldozatok.
Hogyan védekezi a piac a Booking.com -os csalási ügyekkel szemben?
Nemzetközi kitekintés és kártérítési gyakorlat a Booking.com – WhatsApp csalási ügyekben
Más országokban a hatóságok és a bíróságok egyre szigorúbbak.
Egyesült Királyság és Németország: Több precedens értékű döntés született, ahol a bankokat kötelezték a kártalanításra (Authorized Push Payment fraud szabályozás), ha bebizonyosodik, hogy a bűnözők professzionális módon tévesztették meg az ügyfelet. Az Action Fraud (a brit csalás elleni központ) több mint 500 jelentést kapott olyan esetekről, ahol a bűnözők feltört hotel-fiókokon keresztül küldtek WhatsApp és in-app üzeneteket az utasoknak.
Ausztrália: Itt a platformokat (mint a Booking) próbálják jogilag felelőssé tenni az adatszivárgásból eredő közvetett károkért. Az ACCC (fogyasztóvédelmi hatóság) adatai szerint 2023-ban 580%-kal nőtt a Booking-hoz köthető csalások száma, a kárérték pedig meghaladta a 337 000 ausztrál dollárt.
Magyarországon a Készenléti Rendőrség Nemzeti Nyomozó Iroda (KR NNI) Kiberbűnözés Elleni Főosztálya már több száz hasonló ügyet vizsgál. Tapasztalataik szerint az ilyen nemzetközi utalásoknál a pénz perceken belül kriptovalutává konvertálódik, így a visszaszerzése szinte lehetetlen, de az Adhoc Support CIC módszereivel, gyorsaságával, ez reménytelibb.
Nemzetközi hadszíntér: Tamás csak egy, a százezrek közül a Booking.com WhatsApp átverésekből
A Tamással történt eset egy globális bűnözési hullám része, amely már a legnagyobb nemzetközi hírügynökségek ingerküszöbét is átlépte.
A Which? fogyasztóvédelmi magazin 2024-ben az egyik legmeggyőzőbb csalásnak nevezte ezt a módszert, kiemelve, hogy az áldozatok gyakran több ezer fontot veszítenek (volt, aki közel 4400 fontot bukott el).
A legújabb Booking-csalások elleni védekezés
Ez a videó bemutatja, hogyan tévesztik meg az utazókat hamis hirdetésekkel és üzenetekkel a Booking platformján keresztül, megerősítve a cikkünkben leírt gyanús jeleket.
Médianyilvánosságot kapott botrányos Booking.com WhatsApp átverési ügyek
Nemcsak Tamás, hanem neves külföldi lapok olvasói is hasonló poklot jártak meg, ezekből szedtünk össze néhány kínos tapasztalatot.
-
A Jakarta-incidens: Egy utas a jakartai repülőtéri hotel foglalása után kapott kísértetiesen hasonló WhatsApp üzenetet. A csalók minden adatát tudták, a profilképen pedig a hotel „munkatársa” szerepelt.
-
Olaszországi és indonéz esetek: A Business & Human Rights Centre jelentése szerint 2023 februárjában egy Olaszországba tartó utast bombáztak adathalász WhatsApp üzenetekkel, amelyek tökéletes másolatai voltak a Booking felületének.
-
Holland adatvédelmi per: Egy károsult panaszt nyújtott be a Holland Adatvédelmi Hatóságnál, azt állítva, hogy a Booking.com rendszerszinten képtelen megvédeni az ügyfelek adatait, ami közvetlenül vezet a WhatsAppos csalásokhoz.
SOS folyamat: Mit tegyél, ha te is csapdába estél?
Ha már megkaptad a hamis Booking.com jelzésű WhatsApp üzenetet: ne ess pánikba, cselekedj azonnal!
Banki tiltás azonnal: Hívd a bankod! Jelentsd a phishing tényét. Kérj tranzakció-felfüggesztést vagy chargeback eljárást! ( a BANK ilyenkor, letiltja a kártyát automatikusan)
Írásos bizonyíték a szállodának: Küldj e-mailt a szállodának (ahogy Tamás is tette ), és írd le, hogy az ő rendszerükből szivárogtak ki az adataid. Ez a későbbi jogi fellépés alapja.
Hivatalos rendőrségi feljelentés: Online is megteheted az Ügyfélkapun (e-Papír). Csatold a bizonylatokat és a WhatsApp képernyőmentéseket!
NAIH bejelentés: Mivel itt adatvédelmi incidens történt, érdemes jelzést tenni a Nemzeti Adatvédelmi és Információszabadság Hatóságnak is.
Soha ne kattints a nélkül, hogy a böngésző sávot meg nem nézed!
Amint a képre ránézel, már is látni fogod, hogy ott bújik meg az a fránya csalás! Nézd csak meg jobban? Látod?
Hiába a sok logó, a Booking felirat: az a fránya webcím az nem Booking. Az mystay…..LÁTOD?
Bármennyire sürgős, bármennyire hiteles: a BOOKING.COM szálláshelyek soha nem kérnek WhatsAppon fizetést.
Ha kétség merül fel, hívd fel a szállodát a hivatalos weboldalukon található számon!
Az EUROASTRA tanácsa: A digitális tényfeltárás bebizonyította, hogy Tamás egy profi kiberbűnözői csoport áldozata lett, akik a szállodai infrastruktúra gyengeségét használták ki.
Ez nem az ő hibája, hanem a szolgáltatók biztonsági elégtelensége. Bár a pénz visszaszerzése sokak szerint igen rögös úton halad és a pénz visszaszerzése szinte lehetetlen: de az Adhoc Support CIC módszereivel, gyorsaságával, ez reménytelibb. Élj a lehetőséggel ha áldozatul estél a Booking.com WhatsApp csalásnak!
