В начале этого года потребительская организация Which? опубликовала подробный отчет, раскрывший множество мошенничеств и проблем с безопасностью на Booking.com.
Во время недавней поездки я забронировал отель при аэропорте для пересадки в Джакарте. Я воспользовался Booking.com, выбрав опцию автоматического списания с карты за несколько дней до заезда.
За неделю до поездки мне пришло сообщение в WhatsApp якобы от джакартского аэропортового отеля. В профиле была фотография, похожая на сотрудника, а в тексте значились мои имя и фамилия, номер бронирования и даты проживания.
В сообщении говорилось, что чтобы сохранить бронь «защищенной», мне нужно подтвердить некоторые данные. Меня просили перейти по ссылке, где я должен был временно подтвердить способ оплаты, при этом денег списывать не будут.
Также предупреждали, что если я не выполню это в течение 24 часов, система может автоматически отменить мое бронирование.
В последнее время на сайте Booking.com стали появляться предупреждения с призывом быть начеку из-за фишинга и подмены электронных писем.
К счастью, я прислушался к этим предупреждениям и знал признаки: просьбы перейти по ссылке и ограничение по времени на выполнение процесса являются классикой жанра.
Я следовал рекомендациям Booking.com и сообщил о подозрительном сообщении; на следующий день мне позвонили, подтвердили, что его отправил не отель, и посоветовали удалить его.
Хотя меня заверили, что с моим предстоящим проживанием все в порядке, меня все же тревожило, сколько персональных данных мошеннику удалось узнать о моем бронировании.
В начале этого года потребительская организация Which? опубликовала обстоятельный отчет, в котором раскрыла множество мошеннических схем и проблем с безопасностью на Booking.com. Похоже, мое фишинговое сообщение было лишь вершиной очень неприятного айсберга.
Рост мошеннических объявлений на Booking.com
Booking.com является международным гигантом с более чем миллиардом бронирований в год и соперничает с Airbnb за лидерство среди сайтов бронирования жилья для отдыха.
Как показало расследование Which?, отчасти его популярность объясняется тем, насколько легко компаниям и частным владельцам разместить свои объекты.
Надзорная организация проверила процесс и смогла выставить дом для отдыха менее чем за 15 минут.
«Нам не пришлось подтверждать свою личность. И, в отличие от того, как это было, когда мы размещали дом на Vrbo от Expedia или на Airbnb в прошлый раз, никто не попросил водительские права или паспорт», пишет старший исследователь Тревор Бейкер.
Хотя это и способствует успеху Booking.com, одновременно это облегчает мошенничество на платформе.
Расследование Which? в 2024 году выявило, что за несколько месяцев сотни людей сообщили о потерях из-за мошеннических объявлений.
Booking.com удалил те объявления, на которые указал Which?, и заявил, что это просто владельцы «забыли выключить доступность, когда жилье было закрыто или временно не работало».
Однако когда расследователи проверили ситуацию через несколько месяцев, они обнаружили еще больше объектов с сотнями негативных отзывов, предупреждающих, что это жилье оказалось мошенничеством.
Путешественники рассказывали, что приезжали по адресу и обнаруживали, что такого объекта не существует, после чего вынуждены были в спешке искать альтернативу. Многие затем с трудом добивались возврата денег от Booking.com.
Мошеннические объявления держатся, скрывая плохие отзывы
Сайт бронирования сообщил Which?, что ограничивает возможности новых хозяев до того, как они смогут принимать предоплату, чтобы отсеивать фальшивые объявления.
«Правда, мы не смогли принимать предоплату по объявлению, которое разместили: сначала нужны были бы бронирования и отзывы. Но для мошенника это не преграда», пишет Бейкер.
Если мошенническое объявление все же проходит незамеченным, оно нередко продолжает вводить гостей в заблуждение из-за системы отзывов Booking.com.
«Нажмите на объявление апартаментов для отдыха в центре Подгорицы, Черногория, и вас успокоит оценка 6,4, которую Booking.com характеризует как «приятно», говорит Бейкер.
«Первые два отзыва, которые вам покажут, описывают его как «превосходно» (9/10) и «хорошо» (7/10). Однако нужно иметь очень зоркий глаз, чтобы заметить, что Booking.com показывает отзывы, которые по непонятной причине считает «наиболее релевантными».»
Если переключить сортировку на «самые новые», вы увидите, что для этого объекта 10 из 12 последних рецензентов называют его «обманом», «мошенничеством» и «кошмаром».
Под давлением Which? в прошлом году площадка жилья заявила, что изменит систему так, чтобы более свежие отзывы были заметнее. Но сейчас по умолчанию отзывы все еще сортируются как «наиболее релевантные».
Фишинговые сообщения с просьбой подтвердить бронирования
Теперь о том, что случилось со мной. Другие путешественники также сообщали, что получали письма, сообщения в WhatsApp или даже сообщения в собственной системе Booking.com с просьбой подтвердить бронирование.
В одних сообщениях просят перейти по ссылке, чтобы «подтвердить данные», в других прямо требуют оплату.
Чаще всего на это накладывают жесткие сроки, так что даже если вы обращаетесь в Booking.com по поводу такого сообщения, ответа можно не дождаться до истечения дедлайна и вы чувствуете себя обязанными заплатить.
Особенно тревожно, что злоумышленники смогли воспользоваться официальными каналами связи Booking.com.
«Когда мы расследовали мошенничества на Airbnb в 2017 году, мы с уверенностью говорили людям, что они в безопасности, если общаются только внутри системы сообщений Airbnb», пишет Бейкер.
«С Booking.com так не работает. Если аккаунты отелей и хозяев взломаны, понять, пришло ли сообщение действительно от отеля или от мошенника, может быть очень сложно».
Booking.com делает ставку на ИИ, чтобы противостоять мошенникам
Во время расследования Which? получил сообщения от пользователей, потерявших сотни евро. У некоторых были сорваны целые поездки. Многие получили возврат только после того, как Which? вступился за них.
Как же Booking.com пытается повысить безопасность пользователей? Компания обращается к ИИ.
«Мы продолжаем существенно инвестировать и использовать новейшие технологии ИИ и машинного обучения, чтобы как можно быстрее выявлять и блокировать подозрительную активность», сообщил Euronews Travel представитель компании.
«Эти технологии позволяют анализировать трафик, обнаруживать аномалии и блокировать подозрительные действия еще до того, как они дойдут до наших клиентов».
Некоторые владельцы также сообщили, что в прошлом году сайт ужесточил меры безопасности для отелей и хозяев.
Теперь для доступа к аккаунтам и сообщениям им нужно использовать двухэтапную процедуру, известную как двухфакторная аутентификация (2FA), так что взломать аккаунты мошенникам должно стать куда сложнее.
Гости тоже могут включить 2FA, но пользователи сообщают о проблемах с ее работой.
По мнению Which?, однако, предстоит сделать еще много.
«То, что Booking.com не блокировал вредоносные ссылки, не удалял «мошеннические» объявления и до недавнего времени не требовал от хозяев обязательного 2FA, говорит о недостаточном внимании к безопасности пользователей», говорится в отчете.
«А его решение показывать якобы «наиболее релевантные» отзывы вместо «самых новых» было странным. Мы признаем, что сейчас там безопаснее, чем год назад. Но, на наш взгляд, компания слишком медленно заметила, насколько легко ее инструменты адаптировали мошенники, чтобы красть деньги».