Букинг мошенники что делать
Подводные камни «Букинга»
Кто в отеле знает реквизиты вашей карты
Полгода назад я путешествовала по США и последний отель бронировала с американской карты друга.
Отелю показалось подозрительным, что номер бронирует один человек, а оплачивает другой. Чтобы подтвердить, что все в порядке, мы должны были указать в специальной форме все данные карты, вплоть до CVV-кода.
Я была уверена, что CVV просят только мошенники, поэтому позвонила в отель. Разговор с оператором отеля затянулся, она устала объяснять и в сердцах сказала: «Ну короче, в этом поле укажите цифры 578». Это был CVV банковской карты, который час назад мы ввели на «Букинге».
Так я узнала, что «Букинг» передает в отели все данные банковской карты. Расскажу, что еще я выяснила о бронировании отелей и как теперь защищаю свои деньги.
Лучшая защита для денег — дополнительная карта
В любой непонятной ситуации расплачивайтесь и указывайте реквизиты дополнительной карты. Оформите ее к основному счету, поставьте лимит и расслабьтесь.
Если мошенники получат данные вашей карты и попытаются обналичить деньги, они не смогут ничего снять, а вы получите смс.
Дополнительная карта бесплатная. Оформляется в интернет-банке.
Принцип работы «Букинга»
«Букинг» — это биржа. Отели выставляют на ней свои предложения, туристы выбирают и бронируют. «Букинг» получает комиссию с отеля, в который он привлек клиента.
Большая часть действий клиента по бронированию происходит на сайте «Букинга». Поэтому клиенты иногда полагают, что «заказали отель у „Букинга“», «заплатили „Букингу“». Это не так. На «Букинге» встречаются два самостоятельных субъекта — отель и клиент.
Отель устанавливает стоимость и другие условия проживания, отвечает за правильность и актуальность этих данных и получает от «Букинга» информацию о бронировании. Именно отель, а не «Букинг» подтверждает бронь, переписывается с клиентом об условиях, переносит или отменяет проживание и принимает оплату. «Букинг» лишь предоставляет площадку и инструменты для взаимодействия отеля и клиента.
Зачем отелю ваша карта
Если при бронировании вы выбрали предоплату, то реквизиты карты нужны, чтобы отель списал деньги за проживание.
Как хакеры крадут информацию у постояльцев гостиниц
Если вы не хотите платить сразу, в действие вступает понятие «гарантия бронирования». Отель обещает предоставить вам комнату в обмен на ваше обещание оплатить эту комнату.
Гарантию отеля подкрепляют его деловая репутация и система бронирования «Букинга». Честного слова клиента, к сожалению, недостаточно для гарантии.
Если клиент передумает и забудет сообщить об отмене брони, номер останется пустым, а отель недополучит прибыль. Поэтому отельеры хотят получить финансовую гарантию: если клиент отменит бронирование позже указанной даты, то должен будет заплатить штраф.
Чтобы иметь возможность взять штраф, отелю нужны данные вашей банковской карты. Эти данные «Букинг» предоставляет отельеру сразу в момент брони.
Кто знает ваши данные
Когда вы вводите данные карты на сайте, «Букинг» передает их по зашифрованному протоколу — если их перехватит злоумышленник, он не сможет их прочитать. Уязвимость возникает, когда ваши данные получает отель.
У «Букинга» предусмотрена двухфакторная аутентификация для доступа в личный кабинет отеля: увидеть данные клиента может только уполномоченный сотрудник отеля. Теоретически он должен только снять или заморозить положенную по условиям бронирования сумму и не может использовать данные карты в других целях. В итоге судьба денег на вашей карте зависит только от порядочности и ответственности этого сотрудника.
В договоре между отелем и «Букингом» отель обязуется обрабатывать данные карт в соответствии со стандартом безопасности данных индустрии платежных карт. Однако в договоре не прописаны ни способы проверки, ни санкции за нарушение стандарта безопасности.
Если отель небрежно хранит распечатанные бронирования, например оставляет их на стойке регистрации, то данные карты могут стать достоянием не только сотрудников отеля, но и других постояльцев. Если через пару месяцев после путешествия кто-то в Китае купит велосипед с вашей карты, вы даже не сразу поймете, откуда злоумышленник получил ваши данные.
В момент, когда отельер сохраняет ваши данные себе на компьютер или распечатывает их, «Букинг» снимает с себя ответственность.
Как безопасно забронировать отель
Если вы не хотите передавать данные карты в отель, можно обойтись без нее. Расскажу о нескольких способах, которые я пробовала.
Самостоятельная предоплата отелю. На «Букинге» есть объявления с пометкой «Вы можете оформить бронирование без кредитной карты». Чтобы найти их, выберите в меню слева фильтр «Бронирование без кредитной карты».
Чтобы гарантировать вашу бронь, отель предложит сделать банковский перевод, перевод через «Пэйпэл» или на банковскую карту. Бронирование будет подтверждено только после получения такой предоплаты.
Плюс такого способа в том, что отель не узнает данные вашей карты.
Личная договоренность. В некоторых случаях в переписке с отелем удается сохранить бронирование без финансовых гарантий. Два гостевых дома на Сейшелах после моего письма согласились держать за мной комнату без предварительных переводов и заморозки денег.
Такая уступка — право, а не обязанность отеля. Если отельер уже столкнулся с непорядочными или необязательными постояльцами, он может отказаться бронировать номер другому туристу без предоплаты.
Отдельная карта для бронирования. Я выбрала этот способ, потому что так мне не приходится каждый раз совершать лишние действия и вступать в переписку с отелями. При этом я полностью уверена в безопасности денег на основной карте.
Перед тем как забронировать номер, я перевожу на отдельную банковскую карту необходимую сумму и слежу, чтобы после путешествия на ней не оставалось денег. Даже если мои данные получит злоумышленник, сбережения останутся в безопасности. Эту карту я использую только для бронирования отелей.
Главное за 30 секунд
Это происходит независимо от условий оплаты и отмены бронирования. Даже если отель не снимает и не блокирует ваши деньги, в его распоряжении сразу появляются все данные вашей карты.
Доступ к данным карты имеют уполномоченные сотрудники отеля. Если они пренебрегают правилами безопасности, реквизиты карты может узнать злоумышленник.
Можно забронировать отель без карты, но это работает не с каждым отелем и потребует больше движений, чем оплата картой.
Рациональный способ защитить свои деньги — использовать для бронирования отдельную карту.
Апарт-момент: россиян стали обманывать через сервисы бронирования
В майские праздники зафиксирована новая схема обмана россиян через сервис бронирований Booking.com. Желающие арендовать жилье или снять номер в отеле получают фейковую ссылку для оплаты бронирования, по которой мошенники переводят деньги на собственный счет и получают в распоряжение платежную информацию, узнали «Известия». В самом агрегаторе объектов размещения уверили, что круглосуточно мониторят подозрительную активность на портале. В Центробанке изданию сообщили, что это может быть частным случаем фишинга: для доступа к чужому банковскому счету мошенники создают сайт, который выглядит как интернет-магазин, платежный сервис или другой ресурс. По мере снятия ограничений на передвижение схема обмана с фейковыми реквизитами для трансакции мигрировала от сервисов объявлений к сайтам для бронирования отелей и апартаментов, констатировали опрошенные «Известиями» эксперты.
Бронирование без брони
На Booking.com 4 мая появились объявления о сдаче в аренду сразу нескольких квартир в центре Москвы по сниженной цене, рассказала «Известиям» жительница столицы Вероника. Она оперативно связалась с представителем объекта размещения через сайт сервиса и по WhatsApp. Для завершения бронирования от пользователя потребовали предоплату, которую можно провести после перехода по платежной ссылке. Ее направили девушке и в форме связи на сайте Booking.com, и в мессенджере, и в SMS от имени сервиса.
Страница оплаты копировала официальный сайт ресурса, а адрес ссылки начинался с https, что обычно означает защищtнное соединение, сообщила Вероника. Однако после введения всех данных карты, в том числе CVC, а также кода из SMS, 34 тыс. рублей были списаны в адрес физлица в другом банке. Кроме того, за операцию пришлось заплатить комиссию — 1,8 тыс. рублей.
— Через пару часов после «оплаты» мошенники говорят, что произошел какой-то глюк на Booking.com, у них уведомление о возврате. Поэтому нужно заполнить форму на «возврат средств» с данными карты и SMS-кодом, тогда деньги вернутся. Хотя, конечно, если проделать всю эту операцию, средства просто спишутся еще раз, — полагает Вероника.
Представитель Booking.com уверил «Известия», что сервис проводит серию процедур, предусмотренных для проверки объектов размещения до того, как они получат разрешение быть представленными на платформе. Помимо этого, специальная команда круглосуточно мониторит и блокирует подозрительные активности на сайте. Осуществление бронирования на стороннем сайте, проведение оплаты за пределами платформы, а также внесение платежей, которые не совпадают с тем, что указано в подтверждении от объекта, — всё это не соответствует политике конфиденциальности сервиса, заявили в Booking.com, добавив, что в таких случаях лучше связаться со службой поддержки ресурса.
Злоумышленники всегда оперативно отрабатывали новостную повестку и неожиданные длинные майские праздники при существенном ограничении на отдых за границей породили подобную схему мошенничества, пояснил руководитель службы информационной безопасности «Элекснет» (входит в группу МКБ) Иван Шубин. Он напомнил, что это вариация старой атаки с поддельными сайтами театров и концертных залов, когда клиент думает, что покупает билеты через традиционный интернет-эквайринг, но по факту проводятся переводы с карты одного физлица на карту другого.
— При возросшем интересе граждан к поездкам на длинные майские подобные атаки могли быть весьма результативными. Чтобы уберечься от них, рекомендуем проявлять бдительность, проверять информацию о выбранных гостиницах на независимых ресурсах и никогда не вводить реквизиты карты на сайтах, в легитимности которых вы не уверены, — рекомендовал Иван Шубин.
Номер с обманом
Эксперты банка «Ренессанс Кредит», занимающиеся кибербезопасностью, подтвердили Известиям», что в мае зафиксированы случаи мошенничества с оплатой бронирования по фишинговой ссылке, однако клиенты кредитной организации с ней непосредственно не сталкивались. В Ак Барс Банке подобных случаев обмана не фиксировали. В других крупнейших финансовых организациях оперативно не ответили на запросы.
Схема с фейковыми сайтами для оплаты чего-либо в интернете остается актуальной: преступники создают поддельный портал, внешне очень похожий на настоящий, при этом стоимость услуг или товаров может быть существенно ниже рыночной, отметил директор по коммуникации Infosecurity a Softline company Александр Дворянский. Он отметил, что зачастую мошенники призывают к мгновенным действиям: «в выбранном вами отеле осталось всего два номера», «через 1,5 часа акция завершится» и т.д.
— Цель злоумышленников в этом случае — вынудить пользователя принять быстрое, импульсивное решение, не давая времени перепроверить информацию. Если пользователь произвел оплату на подобном сайте, денежные средства уходят на счета мошенников, а данные платежной карты становятся доступны для преступников и могут быть использованы ими далее. Например, для платежей с чужой карты на тех сайтах, где не требуется дополнительное подтверждение кодом из SMS, — разъяснил Александр Дворянский.
По его словам, обычно в адресе поддельного сайта присутствуют дополнительные значения, а оригинальные символы могут заменяться на похожие: например, буква О может указываться как 0 (ноль), в какой-то части ссылки может быть добавлена цифра 1 или различные приставки, такие как info, org, me.
Обычно мошенники вынуждают клиентов продолжить коммуникацию на сторонних ресурсах, например в мессенджерах, где и направляется фишинговая ссылка на оплату — таким образом обходится система безопасности сервиса, подчеркнула контент-аналитик «Лаборатории Касперского» Ольга Свистунова. Она добавила, что по такой схеме нередко обманывают на сайтах с досками объявлений.
Новый вид мошенничества под видом Booking
Меньше месяца до старта летнего сезона. Спрос на съёмное жильё растёт с каждым днём, серверы сайтов онлайн-бронирования начинают нагреваться, путешественники пытаются ухватить самые выгодные варианты, а мошенники проявляют завидную изобретательность.
Игорь Хворостянов
В мае появилась новая угроза потерять деньги по старой фишинговой схеме: подставной сайт маскируется под реальный, и невнимательный пользователь переводит деньги мошенникам. На такую удочку попадаются и опытные путешественники: эксперт по дайвинг-туризму Вероника Бирман бронировала квартиру в Москве на Booking.com, вовремя не почувствовала угрозу для кошелька, и тот похудел на 34 000 рублей.
В этом материале на примере Вероники расскажем, как отличить настоящий сайт от фишингового и не обогатить обманщиков.
Одно из мошеннических объявлений с несуществующими апартаментами
Как работает схема
В преддверии длинных выходных и праздников свободных вариантов на Booking по популярным направлениям немного. Иногда появляются новые объявления — такое попалось и Веронике. Аренда за 17 ночей стоила 34 000 рублей, и, по условиям, предоплата не требовалась, но объект размещения мог зарезервировать депозит на эту сумму.
Вероника Бирман, эксперт по дайвинг-туризму, генеральный директор туристической компании:
«Новый объект, цена чуть ниже рынка, что вполне оправдывается бронированием в последний момент и промопредложением при отсутствии отзывов. Заказ мгновенно подтверждается через сайт Booking.com. Телефон, указанный в брони, недоступен, но представители быстро и вежливо отвечают и по форме обратной связи на Booking.com, и через WhatsApp».
Автор объявления обсудил с девушкой детали и предложил внести депозит через Booking.com. Сервис пользуется большим доверием среди путешественников, поэтому Вероника согласилась, перешла по присланной ссылке и перевела деньги. Её не смутило, что адрес страницы начинается не с booking.com, а с booklng.me.
Фишинговая страница, замаскированная под страницу оплаты Booking
Вероника Бирман, эксперт по дайвинг-туризму, генеральный директор туристической компании:
Новый развод при бронировании жилья через booking.com
Достаточно часто пользуюсь известным сайтом booking.com для бронирования жилья при поездках на отдых и в командировках. Удобно посмотреть и забронировать, плюс цены интереснее, чем напрямую в отелях.
В этот раз при поездке в Сочи также решил забронировать апартаменты через booking.com, тем более, что банк Тинькоф, карту которого я имею, предлагает при бронировании через их приложение дополнительных кеш-бэк.
Выбрал квартиру, центр, красивые фото, предоплата не требуется, оплата на месте и недорого. Красота!
На почту пришло подтверждение, что бронирование подтверждено.
Минут через 10 от владельца объекта размещения (через почту booking.com) приходит письмо, что мне необходимо подтвердить свое бронирование переводом 100% стоимости проживания на указанный номер карты владельца объекта размещения.
Это несколько насторожило, тем более, что отзывов об этом объекте размещения еще не было ни одного.
Также в письме от владельца объекта размещения было написано, что если меня не устраивают условия оплаты, то я могу отказаться от бронирования перейдя по ссылке (при этом, повторюсь, за отмену бронирования с меня взимается штраф в размере 100% стоимости проживания)
Посмотрев внимательно увидел, что квартира по данному адресу у владельца не одна, а 4, причем все одинаковые, как номера в гостинице, с одинаковой мебелью.
По телефону ответили сразу, пояснили, что дом новый, в нем куплено 4 одинаковых квартиры под сдачу и мебелеровались они одновременно именно под сдачу, а оплату берут сразу чтобы гарантировать мой заезд, так как квартира не будет сдаваться никому, кроме меня. В принципе все логично.
Но, тем не менее, следующий звонок в поддержку booking.com
При соединении с русскоязычным оператором пришлось ждать очень долго, но номер российский, так что не критично.
Излагаю ситуацию, и получаю уверения, что перевод денег на карту владельца объекта размещения практикуется достаточно часто и что переживать на этот счет не стоит, это нормальная практика. Также оператор уверил, что в случае каких-либо непредвиденных обстоятельств booking.com гарантирует бесплатное размещение в аналогичном по расположению и стоимости объекте размещения.
Успокоился. Оплатил. Перезвонил в объект размещения. Они подтвердили, что деньги поступили, еще раз подтвердили бронирование.
Ну и, конечно, когда приехал в Сочи, то по телефону никто не отвечал, по указанному адресу квартиры такой не нашлось, ну и, нужно ли уточнять, больше владелец объекта на связь не выходил.
Естественно звонок в booking.com
Пришлось ждать 14:00, опять звонить в booking.com
Мне на почту начали отправлять возможные варианты размещения (конечно же уже другие районы да и квартиры попроще, хотя за такие же деньги).
Но деваться уже некуда, выбираю квартиру другую, и тут выясняется, что бесплатного то размещения не будет, а я должен заново заплатить за проживание, а booking.com мне вернет деньги за первое бронирование.
Это хорошо, что у меня были с собой деньги для оплаты проживания, а если бы нет?
Booking.com деньги все-таки вернул, правда затребовал еще дополнительные бумажки из банка, так что на все ушло еще дней 10.
Как результат: я свои деньги получил, мошенники тоже, «попал» только booking.com
И вроде бы я доволен, деньги то вернулись, но я принципиально пошел в полицию и написал заявление. Сомневаюсь, конечно, что кто-либо будет что-либо делать, но, тем не менее.
Мошенничество — Airbnb Vs Букинг
Сегодня поговорим об обмане при бронировании квартиры или отеля в онлайне. Тема неприятная, но жизненная. Мошенничество на airbnb и букинге существует. Увы! И эта проблема касается каждого гостя, каждого владельца и каждой системы бронирования.
Airbnb Vs букинг
На прошлой неделе я опубликовала статью как пользоваться Airbnb, чтобы не было мучительно больно. 🙂 Когда скринила отзывы, заметила закономерность — если airbnb плохой, то букинг обязательно хороший. И наоборот.
До подобных битв титанов у меня и в мыслях не возникало сравнить отельный агрегатор с ресурсом по сдаче квартир.
Разница между букингом и airbnb
| Airbnb | Букинг |
| Что арендуем | Квартиру, апартаменты, виллу, домик у озера, лодку, комнату. |
Купон 31 доллар на первую бронь от нас
Фишинг — письмо с сюрпризом
Начну самого изощренного способа мошенничества – фишинга или фишинговой атаки.
Рыбка — это вы. А наживка — все, что угодно: от суперскидок до изменения политики конфиденциальности.
Суть мошеннической схемы: на электронную почту приходит письмо с якобы официального сайта с просьбой совершить некое действие. Например, подтвердить логин или пароль, принять изменения правил, забронировать квартиру или отель всего за 1 доллар и так далее.
Памятка о фишинговых атаках в правилах Airbnb
Любая система бронирования периодически вносит изменения в правила. Это естественно. И все используют рассылку. Важно обращать внимание на адрес, с которого приходят письма и на URL сайта, куда просят перейти.
Официальная рассылка airbnb приходит со следующих адресов
Любое левое включение в домен должно насторожить и заставить зайти из браузера на официальный сайт.
Домен букинга — booking.com, английскими буквами и четким шрифтом.
Электронные адреса букинга
Чаще подобные письма идут в спам. Но есть огромное число людей, которые умудряются доставать шедевры хакерского искусства даже отсюда.
Запомните! Airbnb, booking, roomguru, hotellook никогда не требуют подтверждение платежных данных в рассылке или для идентификации вашей личности.
Мошенничество на Airbnb
Туристический налог
Начну с самого популярного и безобидного обмана. Иногда владелец «забывает» указать обязательные сборы.
Вы добросовестно читаете правила дома, условия хоста, принимаете их и оплачиваете бронь. А на входе в апарты узнаете о необходимости уплатить туристический налог.
К сожалению, по правилам эирбнб всего лишь рекомендуется указывать информацию о туристическом налоге или обязательном курортном сборе. Так, например, в Барселоне он составляет 2,25 евро в сутки с человека, которому исполнилось 17 лет. Но риэлтор молчит, как партизан на допросе.
Пример вопросов хосту на airbnb
Барселону оккупировали агенты. Владельцев очень мало. Без какой-то специальной лицензии им запрещено принимать у себя гостей.
О, как! Интересно, а если бы я не задала вопрос о налоге, в какой момент на меня бы обрушили 2,25 € с человека в сутки и с каких человеков, взрослых, детей…
Не говоря уже о том что в условиях бронирования не было ни слова о туристическом налоге.
Вымогательство залога за сохранность имущества
Эирбнб не Авито, не Из рук в руки и не отельный агрегатор. У ресурса есть собственная система платежей, регламент и правила блокировки залога.
Из правил по удержанию залога за сохранность имущества
Сайт запрещает взимать с гостей депозит или залог. Ничего, повторяю НИ-ЧЕ-ГО, за пределами сайта. Ни единого еврика на личный счет.
Если гость что-либо ломает, владелец выставляет претензию и прилагает доказательства (фото и экспертизу). Служба поддержки изучает всю предоставленную информацию, и если гость действительно накосячил, с него взыскивают сумму ущерба. Если гость сливается, то в ход идет страховка.
Составление договора и личные данные
Мошенничество на Airbnb 80-ого уровня. Чтобы придумать такую схему нужно родиться Сонькой, не меньше.
Суть: По приезде вас просят составить договор и предоставить личные данные. Аргументы могут быть самыми разными: от наличия рецепции до законодательных норм.
Агент хочет договор? Прекрасно! Пусть хочет дальше.
Договор не оформляется на коленке в момент въезда в квартиру. Во-первых, оплату агент получит не от вас, а от сайта. То есть, плательщиком вы быть не можете. Во-вторых, в договор могут вписать непомерные штрафы, залог, депозит и пеню. В-третьих, личные данные предоставляем только в том случае, если это апартотель с рецепцией или нужно зарегистрироваться в полиции.
Платежи в обход системы
Классика жанра — в ас просят внести аванс не через сайт, а переводом Western Union, Money Gram или на банковский счет на Майорке/Кипре.
Даже не раздумывайте, обращайтесь в техподдержку.
Что делать, если кто-то просит вас оплатить вне сайта
Я надеюсь не нужно рассказывать, что оплата в электронном письме в формате PDF файла не имеет ничего общего с сайтом.
Не лишним будет напомнить, если вам приходит инструкция от хоста в формате PDF, в которой расписан маршрут до апартаментов, адрес, а также сторонние ссылки – вы либо имеете дело с мошенником, либо с владельцем не понимающим функцию сайта, что равно одно и то же.
Адрес, инструкция как доехать, какие-то пожелания, путеводители, дополнительные ресурсы — всё должно отображаться только в вашем личном кабинете. Никаких PDF файлов.
Мошенники на букинге
Платформы вроде букинга — это рекламные площадки, несущие информационную функцию. Все то, что под запретом у эирбнб, букинга не касается.
И хотя большинство противников букинга считают, что платёжные данные передаются по открытым каналам, по факсу, чуть ли не по электронной почте, это не так. Транзакция всё-таки зашифрована. Беда агрегаторов — после передачи платежных данных, ими могут воспользоваться все, кому не лень.
Пожалуй, самая известная история путешествия с букингом на трипадвизоре
Букинг, на самом деле не виноват. Его политика предельно прозрачна. В статье об airbnb я оставила ссылку на политику передачи данных третьим лицам.
Но ответьте честно. Вы читаете политику конфиденциальности перед бронированием? Нет? Вы не одиноки…
Как это происходит
Представим, что хотеллук — уголок покупателя в гипермаркете. Вы приходите и спрашиваете, в каком отделе и на какой полке лежит чайный сервиз. Работник уголка в красках объясняет, как и куда идти.
Система бронирования (букинг, островок, хотелс.ком и т.д) – полка в этом же гипермаркете, где лежит товар (отель). Полке все равно, что на ней — итальянский фарфор или китайский пластик.
Вы щупаете китайский пластик, ставите на место. Щупаете итальянский фарфор — бинго. Идете на кассу. И тут несется охрана, которая пытается впарить вам кражу китайского пластика.
Бронируя что-либо на букинге, вы передаете платёжные данные отелю со всеми кодами и секретными паролями. Отели бывают разные. Менеджеры в отелях тоже бывают разные. Один законопослушный, а другой с радостью сольет кредитку перекупщикам. Это те товарищи, которые за ваш счет отправят отдохнуть кого-нибудь другого.
Как избежать подобных последствий
Оформить бронирование без участия кредитной карты или напрямую на счёт отеля. В данной ситуации ни один менеджер не увидит данных кредитки.
Многие советуют договариваться с представителями отеля о бесплатной брони. Правда, в таком случае у вас не будет никаких гарантий, что бронь закреплена за вами.
Мошенничество может принимать любые формы, но в каждой системе бронирования, будь то airbnb или букинг, есть техподдержка. При малейшем подозрении — звоните, пишите, стучите. Молчание только усугубит ситуацию и развяжет мошеннику руки.