Falešné Airbnb a Booking útočí na turisty. Jak nepřijít o úspory

Podvodné rezervační weby jsou čím dál rafinovanější

Místo skutečných rezervačních portálů na vás dnes číhají dokonale napodobené stránky, jejichž jediným cílem je vyprázdnit váš účet. Kyberzločinci kopírují design platforem jako Airbnb, Booking.com nebo Expedia, přebírají návštěvnost z vyhledávačů i placených reklam a pak zmizí i s vašimi penězi i osobními údaji.

Rozsah tohoto problému roste každou sezónou. Mnoho poškozených se o podvodu dozví až na letišti nebo přímo v hotelové recepci. Specialisté na kybernetickou bezpečnost varují, že tyto útoky jsou stále sofistikovanější a pro běžného uživatele prakticky nerozeznatelné.

Podvodníci záměrně cílí na období sezónního nárůstu rezervací a spoléhají na důvěru lidí ve známé značky. Když plánujete dovolenou, myslíte na destinaci, výlety a balení — ne na to, zda je stránka, přes kterou právě platíte, vůbec skutečná. A přesně s tím zločinci počítají.

Falešná Expedia a let do Indie, který nikdy neexistoval

Jeden názorný příklad pochází od britského páru, jehož příběh popsala stanice BBC. Mysleli si, že rezervují cestu do Indie přes dobře známou Expedii. Stránka vypadala naprosto věrohodně — správné logo, barvy, rozložení prvků, vše odpovídalo originálu. Zaplatili přibližně 2 500 liber, tedy téměř 2 900 eur.

Teprve na letišti vyšlo najevo, že v systému letecké společnosti neexistuje žádná rezervace. Letenky prostě nebyly. Peníze skončily v kapsách podvodníků, nikoliv na účtu skutečné platformy.

Jak je něco takového možné? Oběti byly přesměrovány na stránku klamně podobnou originálu. Po výběru nabídky je někdo vyzval ke komunikaci přes WhatsApp pod názvem „Fly Expedia“. Následovala žádost o bankovní převod místo platby přes zabezpečený systém platformy. Celá transakce tak zcela obešla oficiální platební infrastrukturu a peníze putovaly přímo na účet zločinců.

Tisíce falešných stránek a průměrná ztráta přes 2 700 eur

Průzkum provedený v srpnu 2024 agenturou OpinionWay pro Airbnb ukazuje, že nejde o ojedinělé případy. Plných 48 % dotázaných Francouzů přiznalo, že se sami stali obětí podobného podvodu nebo takovou zkušenost mají z blízkého okolí.

Průměrná finanční ztráta v těchto případech byla odhadnuta na zhruba 2 700 eur. Pro mnoho rodin to představuje celý dovolenkový rozpočet, někdy dokonce úspory z několika let. Airbnb uvádí, že mezi březnem 2023 a březnem 2024 se podařilo odstranit přes 2 500 falešných webů vydávajících se za tuto platformu. A to mluvíme pouze o nahlášených případech — skutečný počet podvodných stránek může být výrazně vyšší.

Odborníci zabývající se kybernetickou kriminalitou upozorňují, že tyto útoky využívají pokročilé techniky phishingu a doménového spoofingu. Podvodníci registrují domény s minimálními odchylkami od originálních adres, které běžný uživatel při rychlém pohledu snadno přehlédne.

Nejde jen o Airbnb a Expedii — Booking.com i železnice jsou také na mušce

Rezervační podvody postihují i další velké hráče. Francouzská spotřebitelská organizace UFC-Que Choisir informuje, že výrazně utrpěla platforma Booking.com, zejména v období olympijských her v Paříži.

Počet zaznamenaných pokusů o podvod spojených s touto platformou vzrostl přibližně o 900 % meziročně. To ukazuje, jak masivně zločinci zneužívají velké události, kdy lidé hromadně shánějí ubytování. Mnoho návštěvníků olympiády v Paříži naletělo falešným nabídkám hotelů a apartmánů v centru města.

Cílem přitom není jen ubytování. Terčem se stávají i weby železničních společností, včetně francouzského národního dopravce. Na internetu se objevují stránky vydávající se za oficiální portál, které lákají například slevovými kartami za ceny hluboko pod standardními sazbami.

Platí jednoduchá rovnice: čím známější značka a čím větší rezervační sezóna, tím pravděpodobněji ji někdo právě teď zkouší napodobit a vydělat na ní. Phishingové kampaně cílené na cestovní ruch patří podle bezpečnostních výzkumníků mezi nejziskovější formy kybernetické kriminality vůbec.

Jak tyto podvody fungují krok za krokem

Schéma bývá ve většině případů podobné, i když se detaily liší případ od případu. Zločinci hrají na spěch, důvěru v rozpoznatelnou značku a strach ze ztráty rezervace. Odborníci upozorňují, že tyto taktiky se neustále zdokonalují a vyvíjejí.

Nejčastější techniky, které podvodníci používají:

• Vytváření stránek vizuálně téměř identických s originálem, ale s podvodnou webovou adresou
• Nakupování reklam ve vyhledávačích, aby se falešná stránka zobrazovala nad organickými výsledky
• Rozesílání e-mailů nebo SMS zpráv napodobujících komunikaci známých platforem
• Přesměrování na nestandardní platby: bankovní převody, externí odkazy nebo komunikace přes messengery
• Vyhrožování okamžitým zrušením rezervace, pokud „potvrzení platby“ nepřijde hned
• Používání urgentních formulací jako „poslední volný pokoj“ nebo „nabídka vyprší za hodinu“
• Zasílání falešných potvrzovacích e-mailů s logem a grafikou skutečné společnosti
• Zřizování falešných zákaznických linek s čísly podobnými těm oficiálním

Typickým trikem je zpráva údajně od Booking.com s adresou odesílatele téměř totožnou s oficiální. V textu stojí, že musíte znovu zadat údaje karty, protože „systém odmítl platbu“. Součástí mailu je odkaz vedoucí na přihlašovací stránku k nerozeznání podobnou té skutečné.

Po zadání údajů začínají peníze z účtu mizet a oběť si toho všimne často až po několika hodinách nebo dnech. Stejným způsobem jsou nabízeny „superpromační“ jízdenky nebo slevové karty na vlak. Bankovní instituce evidují stovky takových případů každý měsíc.

Jak ověřit, že rezervujete skutečně na pravé stránce

Bezpečnostní odborníci i samotné platformy se shodují, že několik jednoduchých návyků dokáže zachránit celý dovolenkový rozpočet. Chvíli trvá, než si je osvojíte, ale rychle se stanou automatickými.

Jako první věc se vždy podívejte na adresní řádek prohlížeče. Podvodníci používají adresy velmi podobné originálu — s přidaným písmenem, pomlčkou nebo neobvyklou doménovou koncovkou. Nejbezpečnějším zvykem je zadávat adresu do prohlížeče ručně nebo používat výhradně oficiální aplikaci dané platformy, nikoliv klikat na odkazy z reklam či e-mailů.

Zkontrolujte také přítomnost symbolu zámku v adresním řádku, který označuje zabezpečené HTTPS připojení. Podvodné stránky někdy nemají platný bezpečnostní certifikát. Specialisté na kybernetickou bezpečnost doporučují nainstalovat rozšíření prohlížeče, která před podezřelými doménami automaticky varují.

Když nabídka vypadá příliš výhodně, aby byla pravdivá

Touha ušetřit na dovolené vás přirozeně táhne k výhodným nabídkám. Podvodníci to velmi dobře vědí. Proto lákají podezřele nízkými cenami vlakových jízdenek, slevových karet nebo ubytování v oblíbených letoviscích uprostřed sezóny.

Pokud je cena výrazně nižší než na ostatních stránkách, vyplatí se udělat jeden navíc krok: ověřit stejný objekt nebo službu na jiném portálu, prostudovat recenze z různých zdrojů a prohledat fotografie přes vyhledávání obrázků, například pomocí Google Lens. Když se stejné snímky objevují u několika zcela různých nemovitostí nebo lokalit, je to velmi silný varovný signál.

Psychologové specializující se na behaviorální ekonomii upozorňují, že lidé v euforii z plánování dovolené jsou náchylnější k unáhleným rozhodnutím. Ověření fotografií a adresy stránky zabere jen pár minut — a může rozhodnout, zda strávíte dovolenou na vysněném místě, nebo na telefonní lince banky.

Co dělat, pokud jste podvodníkům už zaplatili

Pokud jste odeslali převod na podvodný účet nebo zadali údaje karty na falešné stránce, rozhodují minuty. Čím rychleji zareagujete, tím větší šanci máte na omezení ztrát.

Okamžitě kontaktujte svou banku a nahlaste podezřelou transakci. Požádejte o zablokování platební karty a zkontrolujte všechny poslední pohyby na účtu. Shromážděte veškeré dostupné důkazy: e-maily, SMS zprávy, screenshoty a potvrzení o převodech.

Případ nahlaste na policii a příslušnému orgánu zabývajícímu se kybernetickou kriminalitou ve vaší zemi. V České republice se můžete obrátit na Národní centrálu proti organizovanému zločinu. Zároveň kontaktujte skutečnou platformu — Airbnb, Booking.com nebo Expedii — a informujte ji o zneužití její identity.

Banky peníze nevracejí vždy, protože oběť sama potvrdila platbu nebo převod. Přesto má nahlášení smysl — část institucí spouští vyšetřovací procedury a zablokovaná karta přestane představovat riziko do budoucna. Finanční experti doporučují pravidelně kontrolovat výpisy z účtu a nastavit si notifikace pro každou transakci.

Proč podvody s rezervacemi fungují tak spolehlivě

Plánování cesty je pro zločince ideální prostředí. Lidé jsou nadšení z výletu, dělají několik věcí najednou, hlídají rozpočet a řeší spoustu detailů najednou. V takovém rozpoložení je mnohem snazší kliknout na první reklamu nebo odkaz z e-mailu, aniž byste se na vteřinu zastavili.

Rezervační platformy navíc samy ze své podstaty posílají velké množství notifikací: o změnách letu, potvrzeních ubytování, platbách, upomínkách. Pro běžného uživatele je pak velmi obtížné okamžitě rozlišit skutečnou zprávu od chytře padělané. A přesně o to podvodníkům jde — vmísit se do přirozeného informačního šumu, který cestování přirozeně provází.

Stojí za to si uvědomit jednu věc: známé značky nejsou cílem útoku, ale nástrojem pro manipulaci s vámi. Firmy jako Airbnb, Booking.com nebo Expedia investují enormní prostředky do zabezpečení, ale zločinci jejich systémy obcházejí a útočí přímo na uživatele tím, že se za tyto značky vydávají. Ani ta nejpokročilejší technologie na straně platforem proto nenahradí základní ostražitost ve chvíli, kdy sami rezervujete. Nepodceňujte ji při plánování příští dovolené.