'Sou especialista em viagens, mas o golpe do anfitrião do Booking.com quase me pegou'

Enquanto meu polegar pairava sobre o link, o pesquisador da BBC Rogue Traders , que estava gentilmente sentado ao meu lado, disse: "Tenho quase certeza de que é um golpe . Bloqueie o número e não clique no link."

Fiz o que me recomendaram e senti um alívio por ter escapado de uma bala, seguido por uma ponta de constrangimento por quase ter caído em um golpe de viagem. Isso seria uma má impressão, considerando meu cargo e o fato de eu estar em um evento de viagens cercado por colegas quando a mensagem chegou.

Em minha defesa, foi bastante convincente. A mensagem do WhatsApp chegou com um nome e uma foto anexados logo após uma breve conversa com o anfitrião no site do Booking.com. O "gerente de relações com hóspedes" mencionou onde e quando eu iria, e quando fiz a reserva. Tudo daria certo com a reserva, garantiram-me, desde que eu pudesse confirmar que os dados do meu cartão não foram roubados — algo que o sistema do Booking.com havia sinalizado como uma possibilidade.

Você foi afetado por um golpe de viagem? Gostaríamos muito de saber sua opinião. Envie um e-mail para [email protected]

Um clique rápido no link para confirmar meus dados e eu estaria de férias conforme planejado, sem problemas, eles prometeram.

Fiz uma captura de tela das mensagens e bloqueei a conta, repetindo o processo para a "administradora chefe dos apartamentos", que depois entrou em contato em nome da colega.

Neste caso, um golpe foi evitado, mas muitas perguntas permaneceram. Como eles conseguiram meus dados? Quanto teriam roubado se eu tivesse clicado no link? Quantas outras pessoas estão sendo alvos dessa forma?

A resposta à primeira pergunta veio vários dias depois de eu ter explicado o que havia acontecido ao Booking.com. Um representante do atendimento ao cliente se desculpou antes de culpar o anfitrião pela falha de segurança, dizendo que o próprio site deles devia ter sido infectado com malware, dando aos hackers acesso às minhas informações.

Este é um problema para sites como o Booking.com, que direcionam clientes para sites de terceiros. Estes geralmente são administrados por proprietários de pousadas ou locadores de férias com apenas uma propriedade, que dificilmente terão os mesmos recursos de segurança de uma grande agência de viagens.

O que pode aumentar os problemas de segurança é o fato de que leva menos de 15 minutos para configurar uma página de anfitrião do Booking.com, sem necessidade de mostrar passaporte ou documento de identidade oficial.

Em relação à segunda e terceira perguntas, os valores roubados e o número de vítimas são significativos. O golpe já existe há anos, com a Action Fraud do Reino Unido tendo recebido 532 denúncias de indivíduos, com um total de £ 370.000 perdidos entre junho de 2023 e setembro de 2024.

Juntos, eles perderam mais de £ 370.000. Eles também podem ter sido vítimas de uma violação de seus direitos de dados. Há alguns anos, a Booking.com foi multada em € 475 mil por não tomar medidas após uma violação do GDPR.

Na verdade, o problema parece estar piorando. Em junho passado, a Booking.com admitiu que houve um aumento entre 500% e 900% nos golpes aplicados na plataforma nos 18 meses anteriores.

Em 2023, a Dra. Leigh Jones, acadêmica da Universidade de Oxford , contou ao Mirror como perdeu mais de £ 1.000 nas mãos de golpistas depois de reservar vários quartos de hotel para sua família antes do dia de seu casamento no Vietnã.

"Foi um golpe de phishing realmente impressionante. Depois disso, não vou mais usar o Booking.com. Por que não há nenhum aviso no site deles? Eu aconselharia as pessoas a mudarem para outra forma de reservar férias", disse ela ao Mirror na época.

No início deste ano, a Which? descobriu que alguns clientes do Booking.com foram contatados por golpistas por meio do aplicativo oficial da empresa, o que torna muito mais difícil distinguir a mensagem de uma mensagem genuína de um anfitrião.

Os clientes não estão apenas perdendo dinheiro, os golpistas também estão causando grandes dores de cabeça aos operadores de acomodações.

Balaram Thapa administra um hotel em Katmandu, Nepal. Recentemente, um de seus clientes foi vítima de um golpe de phishing.

"Um dos nossos hóspedes reservou um quarto no nosso hotel pelo Booking.com, recebeu uma confirmação e, posteriormente, recebeu uma mensagem que parecia ter sido nossa, solicitando que reconfirmasse o pagamento por meio de um link de terceiros. Parecia totalmente legítimo, com o nome do nosso hotel e os detalhes da reserva incluídos", explicou o hoteleiro.

O hóspede pagou através do link falso e só percebeu que era um golpe quando chegou.

Foi uma situação frustrante tanto para o hóspede quanto para a nossa equipe. Eles não só perderam dinheiro, como também a confiança no processo de reserva — e em nós, mesmo sem termos participado do golpe. Ficou claro para mim que os viajantes precisam ser especialmente cautelosos com as mensagens que recebem, mesmo que pareçam ser de plataformas oficiais de reservas.

Balaram entrou em contato com o Booking.com e foi informado de que a conta do hotel poderia ter sido comprometida. A recomendação foi alterar a senha. "Eles não ofereceram nenhuma assistência ou compensação adicional", acrescentou o gerente de hospitalidade. Para ajudar o cliente aflito, Balaram ofereceu um desconto de 50% na estadia. "Foi uma perda para ambos os lados, mas fizemos o possível para consertar", disse ele.

Sean Malloy é um advogado americano que representou vítimas de golpes de phishing no tribunal e ofereceu alguns conselhos para aqueles que têm medo de serem pegos.

"Já lidei com inúmeros casos de golpes de phishing que resultaram em perdas financeiras ou emocionais. Quando plataformas como a Booking.com são falsificadas, os consumidores costumam ser pegos de surpresa, especialmente porque a comunicação pode parecer tão legítima", disse ele ao Mirror.

Para se protegerem, os viajantes NUNCA devem CLICAR em links de pagamento enviados por e-mail ou mensagem de texto e sempre verificar reservas e solicitações usando o aplicativo ou o próprio site. Ative a autenticação de dois fatores sempre que possível e verifique suas contas periodicamente em busca de evidências de invasão.

Um porta-voz da Booking.com disse ao Mirror: "Embora possamos confirmar que os sistemas da Booking.com não foram violados, estamos cientes de que alguns de nossos parceiros de acomodação e clientes foram afetados por ataques de phishing enviados por criminosos profissionais. Infelizmente, a fraude online é uma batalha que muitos setores enfrentam, e na Booking.com estamos comprometidos em enfrentar esse problema de frente."

Implementamos uma série de medidas de segurança robustas e investimos continuamente em tecnologias avançadas, incluindo IA e aprendizado de máquina, para detectar e bloquear a grande maioria das ameaças antes que elas causem impacto. Assim que uma preocupação for levantada, nossas equipes de segurança investigarão imediatamente e trabalharão com parceiros para proteger suas contas o mais rápido possível.

O porta-voz aconselhou que os clientes preocupados com mensagens de pagamento devem "verificar cuidadosamente os detalhes da política de pagamento na confirmação da reserva para garantir que a mensagem seja legítima". Em caso de dúvida, é sempre melhor entrar em contato com nossa equipe de atendimento ao cliente ou clicar em "relatar um problema", que está incluído na função de chat. É importante ressaltar que nunca pediremos a um cliente que compartilhe informações de pagamento por e-mail, mensagens de chat, mensagens de texto ou telefone. Caso o cliente tenha alguma dúvida relacionada a pagamentos com cartão de crédito, deve entrar em contato com seu banco para obter mais assistência.

Assim como muitas empresas que atuam no setor de e-commerce, nós e nossos parceiros podemos ser alvos atraentes para cibercriminosos. No entanto, graças às nossas medidas robustas, considerando nosso escopo global e os milhões de reservas que facilitamos semanalmente, incidentes reais são raros. Investimos continuamente em tecnologias avançadas, incluindo IA e aprendizado de máquina, para detectar e bloquear a grande maioria das ameaças antes que elas possam causar qualquer impacto. Em caso de confirmação de invasão de conta de parceiro, informamos os hóspedes por e-mail, avisando sobre a possibilidade de recebimento de mensagens de phishing.

Levamos o processo de verificação de anúncios de acomodações a sério. Embora os parceiros possam se registrar em menos de 15 minutos, eles são submetidos a diversos controles e verificações durante o cadastro, após o envio e antes que seus anúncios se tornem disponíveis para reserva.