Booking скам, или как не потерять бдительность перед поездкой

 Публичный пост
10 октября 2023  4088
Держи долор

Введение

Цель поста — рассказать о своём опыте и лишний раз напомнить, как важно быть бдительным в условиях постоянно появляющихся новых схем мошенничества.

Все мы уже давно привыкли к массовому сливанию персональных данных (кстати, недавно был интересный пост про то, как это минимизировать) и, как следствие, низкосортному скаму вроде звонков от сотрудников службы безопасности банка/старшего лейтенанта восьмого отдела полиции/социальных опросов, сообещний с просьбами занять денег от друзей в ВК, СМСок мамам о попадании в аварию, письмах на почту о выигрыше в лотерею, якобы ошибшихся номером эффектных азиатках в мессенджерах с последующим вовлечением в баснословные инвестиционные проекты и т.п.

Но сегодня я бы хотел рассказать про довольно необычный тип мошенничества, с которым я ещё не сталкивался.

Ситуация

Как вы могли догадаться из названия, речь пойдёт про Booking.com.

Недавно я забронировал отель с возможностью бесплатной отмены. Обычно, в таких случаях просят добавить данные банковской карты, чтобы гарантировать оплату штрафа, если срок бесплатной отмены пройдёт, а до объекта размещения вы так и не доедете (в редких случаях её не просят вообще, а один раз у меня было даже такое, что снимали оплату сразу, но при отмене в бесплатный период возвращали деньги — но сейчас не об этом), что я и сделал. Бронь успешно подтвердилась, мне пришло письмо на почту — в общем, ничего необычного.

И тут сегодня я с удивлением получаю уведомление от Букинга о новом сообщении от моего отеля. Открываю и вижу:

На первый взгляд как будто бы ничего не предвещает беды: мне пишет реально мой отель в официальном приложении Букинга. Казалось бы, в чём подвох?

Маркеры

По мере прочтения сообщения начинаю что-то подозревать:

  1. Во-первых, странно, что оно приходит спустя несколько дней после брони, потому что если объекты размещения и присылают сообщения, то сразу после подтверждения.
  2. Во-вторых, довольно странный тон. Обычно как минимум во вступлении отели всё же куда более вежливы и пишут что-то вроде «спасибо, что выбрали нас» и бла-бла-бла, а не начинают сообщения с требований и угрозы безвозвратно отменить бронь при отсутствии подтверждения.
  3. В-третьих, зачем мне переходить по какой-то там ссылке, если все данные уже есть в моей брони, и при необходимости отель может произвести оплату с указанной карты? За многолетний опыт использования букинга я ни с чем подобным не сталкивался.
  4. Ну и наконец, что всегда бросается в глаза в подобных случаях и является самым верным маркером скама, — собственно, ссылка, явно не имеющая ничего общего с официальным сайтом.

Анализ

Уведомив службу поддержки Букинга о подозрительном сообщении, я решил немного полюбопытствовать.

Для начала анализирую домен на нескольких сервисах:

https://www.urlvoid.com/
https://www.urlvoid.com/

Надо признать, что практически никто из них не посчитал ссылку небезопасной (кроме что-то заподозривших seclookup, узнать подробности у которых не представилось возможным, потому что даже для бесплатного использования надо забукать звонок с ними). Позже выясняю возможную причину отсутствия домена в чёрных списках:

И наконец, вооружившись всякими ВПНами, торами и прочими инкогнито, я-таки решил открыть её с резервного компа:

Надо признать, визуально сделано очень похоже, есть даже заботливая поддержка:

Можно было бы пойти дальше и проверить, насколько эти горе-хакеры сами защищаются от различных уязвимостей, но не хотелось особо тратить на это время, да и задача больше была в том, чтоб предостеречь других от подобного рода разводов.

Кстати, спустя некоторое время я уже получил новое сообщение от отеля:

Заключение

Конечно, не нужно быть семи пядей во лбу, чтобы распознать скам в этой ситуации, но лично для меня обнаружить его на Букинге было довольно удивительным. Поэтому этой короткой историей лишний раз хотелось бы напомнить всем, что мошенничество не ограничивается привычными для нас примитивными схемами и распространяется на всё большие сервисы, приложения и сферы. Будьте бдительны!

P.S. Может быть кто-то сталкивался с чем-то подобным конкретно на Букинге или в других приложениях? Буду рад, если поделитесь в комментариях.

Связанные посты
41 комментарий 👇
Igor Kostrubin Двигаю и крашу кнопочки на сайтах автор 14 октября 2023

Вы будете смеяться, но это произошло снова, второй раз за неделю, теперь уже с другим отелем))
На этот раз ребята как будто бы прониклись моей предъявой про тон из второго пункта списка маркеров.

Написал самому отелю, регистратору и Букингу, жду реакции.

Первая реакция от Букинга:

  Развернуть 1 комментарий

@kostrubin, просто на потоке. Страшное дело.

  Развернуть 1 комментарий

Отель считает, что разбираться должен Букинг)

  Развернуть 1 комментарий

Регистратор написал мне спустя сутки, запросив дополнительные пруфы, хотя к этому моменту домен уже был заблокирован.

  Развернуть 1 комментарий

В подобных сервисах бизнес-пользователи не особо ответственно относятся к безопасности. Несложные пароли, расшаренные на кучу сотрудников(иногда лаже не меняют после увольнения кого-нибудь).
Booking конечно мог б разрешать переходы только на верифицированный им домены, что точно повысило б безопасность.

У авито подобная проблема была, там это частично решили блокировкой всех ссылкок в сообщениях, насколько я помню.

  Развернуть 1 комментарий

А что сам Букинг тебе ответил на это? Дыра-то конских масштабов вообще. По-хорошему надо в чате не разрешать вообще никаких ссылок.

  Развернуть 1 комментарий

@zahhar, было бы смешно, если бы от букинга пришло письмо вида:
"Мы знаем, что вы перешли по скам ссылке и нам очень жаль. Если вы отправили мошенникам деньги и хотите получить возмещение - перейдите на сайт booking-compensation.ucoz и введите данные своей карты для возмещения убытков"

  Развернуть 1 комментарий

@fillooow, да уж, тут открывается простор для многоходовочки, если подключить фантазию.

  Развернуть 1 комментарий

@zahhar, согласен)
Пока я получил только малоинформативную отписку:

UPD:
А вот ответ на вопрос по поводу предпринимаемых мер по борьбе с подобными ситуациями и планов по блокировке ссылок в сообщениях:

  Развернуть 1 комментарий

@zahhar, запрещать ссылки полностью - вредно, лучше добавлять предупреждения о мошенничестве (такое в чатах авито есть и много где ещё), в идеале - когда в сообщении детектится ссылка или номер телефона. Второе сложнее, но если автор сообщения пытается обойти ограничения на ввод не такими протыми кейсами как 0-О или 1-l, то это уже обычно заметно глазу и само должно вызывать подозрения.

  Развернуть 1 комментарий

@whoeverneedsnicknamein2020, почему вредно?

навскидку кажется, что букингу было бы даже полезно запретить ссылки: тогда больше оплаты шло бы через их систему, что позволило бы дополнительно зарабатывать на комиссии по приёму платежей.

Для тех же отелей, кто хочет принимать платежи через сторонний платежный шлюз, можно разрешать ссылки через «белый список», индивидуально настраиваемый для каждого отеля.

  Развернуть 1 комментарий

@zahhar, ссылки можно кидать не только для мошенничества. Точка или маршрут на гуглокартах отеля или ближайших магазинов, достопримечательностей, ссылка на путеводитель или правила отеля, на визовые правила... Да мало ли что турист спросит у отеля; консьержи всё ещё существуют.

  Развернуть 1 комментарий

@zahhar, Выше правильно написали - мне часто хосты скидывают ссылки на какие-то интересные места в округе.
Фишинг - это злонамеренное использование вполне себе полезных функций :)

  Развернуть 1 комментарий

@zahhar, на сколько я понимаю, букинг сам редко деньги держит в руках. Зато он часто пересылает данные карты в отель, где они могут валяться на стойке распечатанными. Так что не знаешь что лучше.

  Развернуть 1 комментарий
Evgenii Kochanov Анализирую данные 11 октября 2023

Я так понял, что злоуомышленники просто получили доступ к бизнес-аккаунту самого отеля? А потом сам отель уже вернул управление?

  Развернуть 1 комментарий

@kochanoff, судя по всему, да. Ну или кто-то из сотрудников отеля решил подзаработать)

  Развернуть 1 комментарий

Один в один была ситуация неделю назад, точно так же был удивлен, что прям с букинга сообщение пришло!

  Развернуть 1 комментарий

Я в таких кейсах еще смотрю у какого регистратора зареган домен и пишу на abuse почту с описанием кейса, в 9 случаях из 10 домен блочат в течение пары часов.
Мелочь вроде, но все уже отправленные ссылки становятся невалидными и надеюсь хоть немного настроение скамерам портит.

  Развернуть 1 комментарий

@captaincacao, спасибо за совет, надо будет взять на вооружение)

  Развернуть 1 комментарий
Hakim Troyanov Тревел-евангелист 11 октября 2023

Поделился с сообществом этим кейсом, спасибо за него.
Пишут, что такие же случаи уже пару месяцев фиксируют в разных частях света.

Очевидно, что отрисовывать клоны ради одного отеля никто бы не стал, так что из угнанных учеток с букинга сделали ферму, которая, судя по всему, пока неплохо кормит скамеров.
Интересно, что за пару месяцев ребята из букинга так и не удосужились, как мы понимаем, сделать что-то значительное, чтобы сберечь деньги своих кастомеров. Невероятно печально.

  Развернуть 1 комментарий

@hakim, о, даже так! Теперь я тоже удивлён, что компания такого масштаба не особо торопится решать явные дыры в безопасности.

  Развернуть 1 комментарий

@hakim, по крайней мере букинг возмещает потерянные деньги, возможно им так дешевле. У меня, правда, есть только один датапоинт от родственников: в поддержке извинились и заплатили компенсацию

  Развернуть 1 комментарий

В прошлом году останавливался в Барселоне и пришло вот такое сообщение на букинге от отеля
Мол, карта у вас только для подтверждения, а платить надо вот тут, и ссылка

Я оплатил, потому что в бронировании было указано, что оплата будет взята напрямую отелем
Все в итоге прошло хорошо

Возможно, какой-то локальный прикол испанских отелей?

  Развернуть 1 комментарий

@apvlasov, да там чего только не бывает. Самая экзотика, которая мне встречалась - отель на букинге не берет оплату картой, предоплата по банковским реквизитам, туда же и оплата за пару недель до заселения (в северной Италии, в горах).

Кайфанул дважды - сперва когда узнал, что нужно для этого заводить евровый счёт, второй раз - когда узнал, что комиссия за перевод 20 евро. Которую два раза платить, за предоплату и основную часть.

А сам отель приличный, но деньги на стойке не берёт ни в каком виде - ни кэш, ни карты. Так и не понял, почему так.

  Развернуть 1 комментарий
Светлана Аюпова Запускаю продукты и руковожу ими 12 октября 2023

О, был аналогичный случай месяц назад. Сейчас только поняла, что надо было написать пост, а не просто друзей по чатикам предупредить.
Написала отелю, отель написал, что их взломали, позже в переписке сказали, что очень много отелей в Стамбуле зацепило в сентябре. Букинг прислал отписку.

  Развернуть 1 комментарий

Полгода назад мы пытались забронировать квартиру в Ереване на букинге и насмотрелись на кучу видов скама.

  1. Классная большая квартира с отличным рейтингом, бронировали за несколько месяцев, бронь подтвердили, всё ок. За пару недель до поездки полезла что-то проверить и увидела, что квартира на сайте больше не выставляется, но бронь, тем не менее, активна. Пишу, а потом и звоню хозяевам - тишина. Пишу в поддержку букинга - мне радостно заявляют, что бронь активна, если при заселении будут проблемы, - приходите. Представив, как это будет выглядеть в незнакомом городе среди ночи в компании малых детей и их бабушек с дедушками, идеей мы не вдохновились и бронь отменили.
  2. Следующая попытка - уже 3 квартиры на нашу большую компанию, опять отличный рейтинг, цена 1.5х от предыдущей, бронь подтвердили и бойко вступили в переписку. А дальше рассказывают, что чтобы бронь не потерять, мы должны перевести им деньги "на карточку". Проверяю все полиси, там правда написано, что payment is handled by the property, что снятие с карточки не подключено и что бывает такой free cancellation, когда сначала переводишь, а потом возвращают. Ну ок, хотя не ок. Переписываюсь дальше, уточняю, как это выглядело бы. Мне присылают один единственный номер карты русского банка. Ну кек. Говорю, не могу я туда ничего из Германии перевести, давайте IBAN, BIC и даже тогда не сработает. Они помялись и слились. И удалились с букинга тоже. Ну и я бы тоже не перевела.
  3. Отель, уже 2х от изначальной цены, время поджимает, отчаяние нарастает. По счастью, не скам, бронь реальная, ждали нас с распростёртыми объятиями. Но бронь на букинге отменить таки попросили (за скидку), потому что комиссии у них конские.

По итогам я сначала подумала, что это местные особенности. Но потом мне объяснили, что с тех пор, как букинг стал брать комиссию в 20%, примерно все стали "оптимизировать" свою с ним работу. Ушла, в общем, эпоха, кажется.

  Развернуть 1 комментарий

Недавно бронировал дорогой отель через букинг. В самом букинге написано, что отель по полной предоплате и нужно привязать карту. После привязки карты и брони букинг деньги не снял, но от отеля пришло письмо в лс и на email со ссылкой на оф.сайт отеля с просьбой оплатить на сайте. Тоже боялся такого вида скама, вдруг действительно мошенники написали, долго все перепроверял, но в итоге оказалось, что все ок. Первый раз сталкивался с такой схемой, обычно сам букинг снимает деньги, но оказалось что и такое бывает. Так что сам способ скама может очень хорошо «зайти» тем кто часто бронирует и периодически сталкивался с вариантом оплаты на сайте отеля.

  Развернуть 1 комментарий
Mikhail Merkurev Продуктовый аналитик 16 октября 2023

В Армении у одного отеля видел такое же недавно

  Развернуть 1 комментарий

Аналогичное произошло со мной и моей девушкой на прошлой неделе. Они даже на нормальном немецком написали, так как бронили в Гамбурге:

Sehr geehrte {имя моей девушки}, leider kann Ihre Buchung aufgrund eines Fehlers bei der Verifizierung Ihrer Zahlungsmethode storniert werden.

Normalerweise bittet Booking in diesem Fall darum, Ihre Zahlungsmethode zu verifizieren und Ihre Identität als Inhaber zu bestätigen.
Sie können Ihre Zahlungsmethode über einen persönlichen Link verifizieren: https://booking.com.какой-то-айди.date/p/ещё-какой-то-айди

  • Bitte verwenden Sie Mastercard zur Verifizierung!

  • Bitte geben Sie Ihre Zahlungsdaten ein und warten Sie auf die Verifizierung!

  • Booking wird Ihre Zahlungsmethode mit dem Buchungsbetrag belasten und ihn in einer Minute wieder gutschreiben - das ist die Verifizierung Ihrer Zahlungsmethode!

  • Wenn Sie Ihre Reservierung speichern möchten, müssen Sie dies innerhalb von 24 Stunden tun, sonst wird die Reservierung automatisch storniert.

Mit freundlichen Grüßen,
Rezeption»

Подозрения вызвали странная ссылка и "Rezeption" в конце. Несмотря на то, что они запарились вставить настоящее имя заказчика, но почему-то не добавили имя отеля и тупо вставили Rezeption

  Развернуть 1 комментарий

А давайте пригласим в тред одноклубников, работающих в Booking.com?

Я вот нашел по запросу https://vas3k.club/people/?query=booking.com&country= несколько менеджеров, вдруг кто-то откликнется и что-то интересное скажут о ситуации?

@ukaoneseven, @timurnav, @deezy

  Развернуть 1 комментарий

@zahhar, привет!
Я не работаю в букинге года два уже. А когда работала, эту часть системы не видела и не трогала вообще никак. Так что я не ЦА :)

Как пользователю, мне тоже недавно такое пришло, из отеля в Австралии. Я проигнорировала. Спустя пару дней отель отписался что сорян, please ignore, и что они разбираются с букингом. Я ничего не делала и в поддержку не обращалась.

Мы осознанно держим этот тред публичным за пределы Клуба?

  Развернуть 1 комментарий

@Covectb_cobaka, конечно) Я считаю, что не только пользователи клуба должны быть предупреждены об этом, особенно учитывая масштабы, которые, как оказалось, это всё приняло)

  Развернуть 1 комментарий

С недавних пор завел привычку брать фотографии квартиры из листинга букинга и искать их в гугле поиском картинок.

Однажды спасло от крутой схемы в Париже, когда на картинках была сладкая квартира за хорошую цену, но на деле это были фотографии с какого-то то ли мебельного салона, то ли агентства по продаже квартир совсем в другом месте. Предполагаю, что на месте либо не было бы квартиры вообще, и пришлось бы искать размещение с букингом уже сидя на чемоданах посреди Парижа, либо была бы какая-нибудь дыра, вместо того, что видел на фото.

  Развернуть 1 комментарий

Я не понял, как это работает? Если отель типа не в курсе, то кто ещё мог пролезть в вашу личную переписку с отелем?

  Развернуть 1 комментарий

@Kiri11, учётка отеля на Букинге угоняется, и скамеры рассылают от его имени такие сообщения тем, у кого есть активные брони.

  Развернуть 1 комментарий

Тоже самое недавно было у подруги. Правда накануне я как раз видела про такой кейс, так что она была уже настороже и сразу разобралась, что к чему.

  Развернуть 1 комментарий

Прямо сейчас разбираюсь с похожим кейсом. Бронировал в Ереване. Вся переписка была внутри букинга. Перевёл деньги сам через СБП. Потом меня сам букинг с сожалением уведомил, что такого места размещения больше не существует.

Трагедия в трёх актах.

Акт 1. Вежливое приветствие.

Здравствуй мой дорогой гость.

Меня зовут Ани я владелец апартаментов "Просторные светлые апартаменты в Ереване"
❗️Высылаю Вам памятку о наших апартаментах ⬇️

Заселение происходит следующим образом:

  1. Если Вам потребуется трансфер из аэропорта - сообщите пожалуйста номер Вашего рейса

1.1 По приезду в апартаменты я встречу Вас и заселю в наши апартаменты, так же Вы получите информацию "куда можно сходить и где можно пообедать"

1.2 Оплата:
Наши апартаменты работают по предоплате с помощью банковского перевода:

✔️Для гостей из Европы - Европейский счёт iBAN

✔️Для гостей из России - Российские реквизиты

✔️Для гостей из Белоруссии - Белорусские реквизиты

✔️Местные реквизиты

Пожалуйста напишите какой вариант Вам лучше подходит, оплату необходимо внести после бронирования.

В случае изменений дат / отмены бронирования просим уведомить Вас.

✔️Отмена бронирования и возврат средств - вплоть до одного дня до заезда в апартаменты

Также за 2 дня до заезда я свяжусь с Вами в мессенджере для уточнения деталей

Если у вас остались вопросы я готова ответить Вам

С уважением владелец апартаментов Ани!

Акт 2. Перевод денег.

Обновляем реквизиты, оплату необходимо внести до 11.10

🔻 Номер бронирования:
4209463622

▪️ 2200-2905-8350-1425
▪️ 79023343509 СБП
▪️ Кутенин Данил Сергеевич
▪️ "ФК Открытие"

▪️ Итого: AMD 46 800 = 11 201 РУБ

🔺 После перевода обязательно пришлите скриншот или чек о переводе, с уважением Ани владелец апартаментов!

A few moments later.

Номер бронирования:
4209463622

Подтверждено

Акт 3. Сожаления.

  Развернуть 1 комментарий

Апдейт: Букинг деньги вернул букинг-рублями.

  Развернуть 1 комментарий

Так, мне тоже прилетело, правда, от агоды.
горе-хакер беспалевно оставил свои банковские реквизиты с именем и фамилией.
вопрос: куда их передать, чтобы наверняка?)

  Развернуть 1 комментарий

Недавно отель тупо не отвечал неделю на просьбы подтвердить бронь. А затем написал generic сообщение с просьбой перевести общение в вацап, кек.

  Развернуть 1 комментарий

😎

Автор поста открыл его для большого интернета, но комментирование и движухи доступны только участникам Клуба

Что вообще здесь происходит?


Войти  или  Вступить в Клуб