Az év elején a Which? fogyasztóvédelmi szervezet átfogó jelentést tett közzé, amely a Booking.com felületén számos csalást és biztonsági hibát tárt fel.
Egy közelmúltbeli utamon egy repülőtéri szállodát foglaltam Jakartában egy átszálláshoz. A Booking.com-ot használtam, és azt az opciót választottam, hogy a tartózkodás előtt néhány nappal automatikusan levonják a kártyáról az összeget.
Az utazás előtt egy héttel WhatsApp-üzenetet kaptam, amely állítólag a jakartai repülőtéri szállodától érkezett. Egy, feltehetően egy alkalmazottat ábrázoló profilkép is szerepelt rajta, és az üzenet tartalmazta a teljes nevemet, a foglalási azonosítómat és a tartózkodásom dátumait.
Az üzenet szerint a foglalásom „biztonságban” tartásához néhány adatot ellenőriznem kell. Azt kérte, hogy kattintsak egy linkre, ahol ideiglenesen igazolnom kell a fizetési módomat, de nem terhelnek meg.
Az üzenet arra is figyelmeztetett, hogy ha 24 órán belül nem fejezem be a folyamatot, a rendszer automatikusan törölheti a foglalásomat.
Nemrégiben a Booking.com oldalán figyelmeztetések jelentek meg, amelyek arra intik a felhasználókat, hogy legyenek résen az adathalászat és az e-mail-hamisítás miatt.
Szerencsére odafigyeltem ezekre a figyelmeztetésekre, és tudtam, mire kell figyelni: a linkre kattintás kérésével kombinált időkorlátos nyomásgyakorlás klasszikus ismertetőjegy.
A Booking.com útmutatását követve bejelentettem a gyanús üzenetet; másnap telefonon felhívtak, megerősítették, hogy nem a szálloda küldte, és azt javasolták, töröljem.
Bár megnyugtattak a közelgő tartózkodásom felől, mégis nyugtalanított, mennyi személyes információt sikerült a csalónak kiderítenie a foglalásomról.
Az év elején a Which? fogyasztóvédelmi szervezet átfogó jelentést tett közzé, amely számtalan csalást és biztonsági problémát tárt fel a Booking.com-on. Úgy tűnt, az engem elérő adathalász üzenet csak egy nagyon csúnya jéghegy csúcsa.
A csaló hirdetések térnyerése a Booking.com-on
A Booking.com nemzetközi óriás, évente több mint egymilliárd foglalással; az Airbnb-vel verseng, hogy a nyaralószállás-foglaló oldalak piacvezetője legyen.
A Which? vizsgálata szerint vonzerejének egyik oka, hogy a cégek és a tulajdonosok rendkívül könnyen felvihetik a kínálatukat.
A szervezet kipróbálta a folyamatot, és kevesebb mint 15 perc alatt fel tudott tenni egy nyaralót.
Trevor Baker vezető kutató így ír: „Nem kellett igazolnunk, kik vagyunk. És ellentétben azzal, amikor az Expedia Vrbo-platformjára tesszük fel a házunkat (vagy az Airbnb-re, amikor legutóbb próbáltuk), nem kértek jogosítványt vagy útlevelet.”
Ez ugyan hozzájárulhat a Booking.com sikeréhez, de egyben megkönnyíti a csalások elkövetését az oldalon.
A Which? 2024-es vizsgálata szerint néhány hónap leforgása alatt több százan jelentették, hogy pénzt vesztettek csaló hirdetések miatt.
A Booking.com eltávolította a Which? által megjelölt hirdetéseket, és azt állította, hogy ezek csupán olyan tulajdonosok voltak, akik „elmulasztották kikapcsolni az elérhetőséget, amikor a szálláshely bezárt vagy ideiglenesen szünetelt”.
Amikor azonban a vizsgálók néhány hónappal később újra ellenőriztek, még több ingatlant találtak, ahol százszámra gyűltek a negatív értékelések, arra figyelmeztetve, hogy a szállás átverés.
Utazók beszámoltak arról, hogy megérkeztek a helyszínre, és kiderült: a szállás nem létezik, majd kapkodva kellett másik lehetőséget találniuk. Sokan ezután a visszatérítést is nehezen tudták kiharcolni a Booking.com-tól.
A csaló hirdetések úgy maradnak fenn, hogy elrejtik a rossz értékeléseket
A szállásfoglaló oldal a Which?-nek azt mondta, hogy korlátozza az új házigazdákat, mielőtt előrefizetéses foglalásokat fogadhatnának, hogy kiszűrje a csaló hirdetéseket.
„Való igaz, hogy az általunk létrehozott hirdetésnél nem tudtunk előrefizetést elfogadni; előbb néhány foglalásra és értékelésre lett volna szükség. De ez egy csalónak nem leküzdhetetlen akadály.” írja Baker.
Ha egy csaló hirdetés észrevétlenül átcsúszik, gyakran azért tudja továbbra is becsapni a vendégeket, mert a Booking.com értékelési rendszere ezt lehetővé teszi.
Baker szerint ha rákattint egy Podgorica, Montenegró belvárosában lévő nyaralóra, megnyugtathatja a 6,4-es értékelés, amelyet a Booking.com „kellemesnek” foglal össze.
Az első két megjelenő értékelés „kiválónak” (9/10) és „jónak” (7/10) nevezi. Ehhez azonban éles szem kell, hogy észrevegye: a Booking.com olyan véleményeket mutat, amelyeket megmagyarázhatatlan módon a „leginkább relevánsnak” ítélt.
Ha viszont a beállításokban a „legújabb” szerinti rendezésre vált, látható, hogy annál az ingatlannál az utolsó 12 értékelőből 10 „átverésnek”, „csalásnak” és „rémálomnak” nevezi.
A Which? tavalyi nyomására a szállásfoglaló oldal azt közölte, hogy megváltoztatja a rendszerét, és nagyobb hangsúlyt kapnak a friss értékelések. Jelenleg azonban az alapbeállítás még mindig a „leginkább releváns”.
Adathalász üzenetek, amelyek foglalás megerősítését kérik
És ott van az, ami velem történt. Más utazók is beszámoltak arról, hogy e-maileket, WhatsApp-üzeneteket vagy akár a Booking.com saját üzenetküldő szolgáltatásában érkező üzeneteket kaptak, amelyek a foglalás megerősítését kérték.
Ezek közül egyesek arra kérnek, hogy kattintson egy linkre az „adatok ellenőrzéséhez”, mások pedig egyenesen fizetést kérnek.
A legtöbb időnyomással érkezik, így még ha jelenti is a Booking.com-nak az üzenetet, lehet, hogy a határidő előtt nem érkezik válasz, ezért úgy érzi, kénytelen fizetni.
Különösen aggasztó, hogy a csalók a Booking.com hivatalos kommunikációs csatornáit is használni tudták.
„Amikor 2017-ben az Airbnb-csalásokat vizsgáltuk, magabiztosan mondhattuk az embereknek, hogy biztonságban lesznek, amíg kizárólag az Airbnb üzenetküldő rendszerén belül kommunikálnak.” írja Baker.
Ez azonban nem igaz a Booking.com-ra. Ha a szállodáit vagy a házigazdáit feltörik, nagyon nehéz megállapítani, hogy az érkező üzenet valóban a szállodától származik, vagy egy csalótól.
A Booking.com mesterséges intelligenciát vet be a csalók ellen
A vizsgálat során a Which? olyan felhasználóktól kapott bejelentéseket, akik több száz eurót veszítettek. Néhányuknak egész utazása is meghiúsult. Sokan csak a Which? közbenjárása után kaptak visszatérítést.
Mit tesz tehát a Booking.com a felhasználók biztonságának javításáért? A választ a MI-ben látja.
„Továbbra is jelentős beruházásokat hajtunk végre, és a legújabb MI- és gépi tanulási technikákat vetjük be, hogy a lehető leggyorsabban azonosítsuk és blokkoljuk a gyanús tevékenységet.” Ezt a vállalat szóvivője mondta az Euronews Travelnek.
„Ezek a technológiák lehetővé teszik számunkra a forgalmi mintázatok elemzését, az anomáliák észlelését, és a gyanús tevékenység blokkolását még azelőtt, hogy az elérné ügyfeleinket.”
Néhány tulajdonos arról is beszámolt, hogy az oldal tavaly szigorította a szállodákra és a házigazdákra vonatkozó biztonsági előírásokat.
Mostantól kétlépcsős azonosítási folyamatot, azaz 2FA-t kell használniuk a fiókjaikhoz és üzeneteikhez való hozzáféréshez, ami azt jelenti, hogy a csalóknak sokkal nehezebb a fiókok feltörése.
A vendégek is beállíthatnak 2FA-t, ám a felhasználók problémákról számoltak be a működésével kapcsolatban.
A Which? szerint azonban még hosszú az út.
A jelentés szerint „az, hogy a Booking.com nem blokkolja a rosszindulatú linkeket, nem távolítja el a „csaló” hirdetéseket, és (egészen a közelmúltig) nem tette kötelezővé a 2FA-t a házigazdáknak, a felhasználók biztonságával szembeni nemtörődömségre utal”.
„És az is különös döntés volt, hogy a vélt „leginkább releváns” értékeléseket mutassák a „legújabbak” helyett. Elismerjük, hogy most biztonságosabb, mint tavaly volt. De szerintünk túl lassan ismerték fel, milyen könnyen igazították a csalók a saját céljaikra az eszközeiket, hogy pénzt csikarjanak ki.”