Fałszywe hotele, kradzież tożsamości linii lotniczych i oszustwa AI są coraz większym ryzykiem dla podróżnych
Internetowe oszustwa związane z podróżami stały się znacznie bardziej przekonujące niż kilka lat temu. Fałszywe strony hotelowe, profile podszywające się pod oficjalną obsługę klienta linii lotniczych, nieistniejące apartamenty i ogłoszenia stworzone za pomocą sztucznej inteligencji coraz częściej celują w osoby rezerwujące zakwaterowanie, loty lub pakiety turystyczne. Według ostrzeżeń amerykańskiej Federal Trade Commission oszuści tworzą strony reklamujące rzekomo darmowe lub niezwykle tanie podróże, wysyłają wiadomości wyglądające tak, jakby pochodziły od znanych hoteli i przewoźników, oraz proszą o dane osobowe lub płatność poza bezpiecznymi kanałami. Takie wiadomości często opierają się na pilności: rezerwację rzekomo trzeba natychmiast potwierdzić, kartę trzeba ponownie wprowadzić albo zakwaterowanie zostanie anulowane. Właśnie ta kombinacja znanej marki, presji czasu i profesjonalnie przygotowanego projektu sprawia, że nowe oszustwa turystyczne są szczególnie niebezpieczne.
Oszustwa nie opierają się już tylko na oczywistych błędach
Do niedawna wiele internetowych oszustw można było rozpoznać po słabym języku, mało wiarygodnych fotografiach lub nietypowych adresach stron. Dziś ten próg jest znacznie wyższy. Według analizy Help Net Security oszuści używają narzędzi generatywnych do tworzenia fotorealistycznych obrazów zakwaterowania, które nie istnieje, opisów brzmiących profesjonalnie i recenzji napisanych tak, aby naśladować rzeczywiste wrażenia gości. Takie ogłoszenia mogą pojawiać się w sieciach społecznościowych, na fałszywych kopiach znanych platform lub, w niektórych przypadkach, jako złośliwa treść próbująca wtopić się w legalne środowisko internetowe. Dlatego nie wystarczy już polegać tylko na wrażeniu, że strona wygląda schludnie albo że tekst nie zawiera błędów ortograficznych. Sprawdzenie oficjalnej domeny, danych obiektu i sposobu płatności stało się konieczną częścią każdej poważnej rezerwacji online.
Fałszywe strony hotelowe naśladują znane marki
Jednym z najczęstszych schematów jest tworzenie stron wyglądających jak oficjalny system potwierdzania rezerwacji hotelowej. Według raportu Cyber Security News duża kampania phishingowa wykryta w 2025 roku wykorzystywała ponad 4300 fałszywych domen skierowanych do podróżnych planujących urlop lub przygotowujących się do przyjazdu do hotelu. W takich wiadomościach ofiara często otrzymuje ostrzeżenie, że rezerwację trzeba potwierdzić w ciągu 24 godzin, aby uniknąć anulowania. Po kliknięciu użytkownik jest przekierowywany przez kilka stron, a strona końcowa prosi o numer karty, datę ważności, CVV i inne dane potrzebne do obciążenia rachunku. Badacze podali, że fałszywe strony naśladowały duże marki turystyczne i systemy hotelowe, z logo, formularzami i projektem celowo przygotowanymi tak, aby wyglądały wiarygodnie.
Szczególnie niebezpieczne jest, gdy oszuści dysponują częścią prawdziwych danych o rezerwacji. Wtedy wiadomość może zawierać dokładną datę przyjazdu, nazwę hotelu lub imię gościa, co zmniejsza czujność odbiorcy. Taka forma oszustwa często jest opisywana jako przejęcie lub nadużycie rezerwacji, ponieważ przestępcy nie zawsze muszą wymyślać całą podróż; wystarczy, że wykorzystają istniejące dane, aby zażądać dodatkowej płatności, ponownego wprowadzenia karty lub komunikacji przez nieoficjalny kanał. Jeśli hotel lub platforma rzeczywiście potrzebują aktualizacji danych, bezpieczne postępowanie polega na samodzielnym otwarciu oficjalnej strony lub aplikacji, bez klikania linku z wiadomości. Każde żądanie przelewu bankowego, kryptowaluty, karty podarunkowej lub wysłania danych karty przez czat należy traktować jako poważny sygnał ostrzegawczy.
Linie lotnicze i obsługa klienta stały się częstym celem podszywania się
Oszustwa nie dotyczą tylko hoteli i apartamentów. Fałszywe profile obsługi klienta linii lotniczych w sieciach społecznościowych wykorzystują sytuacje, w których pasażerowie są zestresowani z powodu opóźnień, zmiany lotu, zagubionego bagażu lub potrzeby szybkiej odpowiedzi. Według ostrzeżeń publikowanych w ostatnich miesiącach przez linie lotnicze i źródła bezpieczeństwa oszuści często odpowiadają na publiczne wpisy pasażerów, używają logo prawdziwej firmy, a następnie próbują przenieść rozmowę do wiadomości prywatnych. Tam proszą o numer rezerwacji, dane osobowe, kopię dokumentu lub płatność rzekomej opłaty za zmianę lotu. Pasażer, który już ma problem, może z pośpiechu przeoczyć, że profil nie ma oficjalnego oznaczenia, że nazwa użytkownika jest nietypowa albo że kieruje się go na numer telefonu i stronę, których nie ma na oficjalnej stronie internetowej firmy.
Federal Trade Commission ostrzega, że w wiadomościach wyglądających jak oferta linii lotniczej lub hotelu nie powinno się klikać bez sprawdzenia prawdziwego adresu. Zalecenie polega na otwarciu oficjalnej strony przez ręczne wpisanie adresu albo przez już zainstalowaną aplikację, a nie przez link z niespodziewanego e-maila, SMS-a lub wpisu w sieci społecznościowej. To samo dotyczy połączeń, które rzekomo pochodzą od agenta lub działu wsparcia, zwłaszcza jeśli towarzyszy im żądanie, aby kontynuować komunikację przez nieznaną aplikację. Wiarygodne firmy z reguły nie proszą o wrażliwe dane karty w nieszyfrowanych wiadomościach i nie uzależniają utrzymania rezerwacji od płatności przez kanał, którego nie da się śledzić. Jeśli wiadomość wydaje się przekonująca, ale nietypowa, bezpieczniej jest przerwać komunikację i samodzielnie skontaktować się z oficjalnym centrum kontaktowym.
Sztuczna inteligencja ułatwiła tworzenie fałszywych apartamentów i recenzji
Generatywna sztuczna inteligencja zmieniła wygląd oszustw turystycznych, ponieważ umożliwia szybkie tworzenie fotografii, opisów i recenzji użytkowników, które nie wyglądają już amatorsko. Według Help Net Security oszuści mogą w krótkim czasie stworzyć serię obrazów luksusowego zakwaterowania, które w rzeczywistości nie istnieje, a następnie dodać szczegółowy opis lokalizacji, rzekome udogodnienia i serię pochlebnych komentarzy. Na pierwszy rzut oka takie ogłoszenie może wyglądać bardziej przekonująco niż prawdziwe, zwłaszcza jeśli fotografie są perfekcyjnie oświetlone, wnętrza harmonijne, a cena wystarczająco korzystna, aby skłonić do szybkiej decyzji. To problem dla podróżnych, ale także dla legalnych platform, ponieważ zaufanie do rezerwacji cyfrowych jest naruszane, gdy użytkownik nie może łatwo odróżnić rzeczywistego obiektu od wygenerowanego obrazu. Dodatkowe ryzyko powstaje, gdy fałszywe ogłoszenie jest promowane płatną reklamą lub przez profile, które już mają część odbiorców.
Sygnały ostrożności jednak istnieją. Jeśli zakwaterowanie ma tylko kilka recenzji, jeśli wszystkie są napisane podobnym stylem, jeśli brakuje konkretnych szczegółów o okolicy albo jeśli tych samych fotografii nie da się powiązać z realnym adresem, rezerwację trzeba dodatkowo sprawdzić. Warto wyszukać obiekt na mapach, sprawdzić, czy istnieją fotografie widoku ulicy, porównać opis z innymi platformami i zadzwonić na oficjalny kontakt, jeśli istnieje. Jeśli wynajmujący nalega, aby płatność odbyła się poza platformą, na przykład przelewem bankowym lub aplikacją do bezpośredniego wysyłania pieniędzy, ryzyko znacznie rośnie. Według FTC żądania płatności przelewami bankowymi, kartami podarunkowymi lub kryptowalutami przy ofertach turystycznych stanowią typowy znak oszustwa.
Szkody dla podróżnych i branży turystycznej
Szkody finansowe wynikające z internetowych oszustw są szersze niż pojedyncze przypadki utraconych zaliczek. Według danych FTC za 2024 rok amerykańscy konsumenci zgłosili ponad 12,5 miliarda dolarów strat związanych z oszustwami, co było wynikiem o 25 procent wyższym niż rok wcześniej. W osobnych ostrzeżeniach i analizach dotyczących oszustw turystycznych wskazuje się, że podróże, wakacje i modele timeshare należą do kategorii powodujących znaczne straty dla konsumentów. Internet Crime Complaint Center FBI ogłosiło, że w 2024 roku otrzymało 859.532 zgłoszenia podejrzanych przestępstw internetowych oraz że zgłoszone straty przekroczyły 16,6 miliarda dolarów. Chociaż te dane odnoszą się do szerszego spektrum przestępczości internetowej, pokazują skalę środowiska, w którym działają także oszuści turystyczni.
Dla sektora turystycznego konsekwencje nie są tylko bezpośrednimi stratami użytkowników. Fałszywe strony i kradzież tożsamości marek podważają zaufanie do hoteli, linii lotniczych, agencji i platform rezerwacyjnych. Jeśli z karty gościa pobrane zostaną pieniądze przez fałszywą stronę wyglądającą jak strona znanego hotelu, problem reputacyjny może dotknąć także prawdziwy hotel, choć nie uczestniczył on w oszustwie. Eksperci ds. bezpieczeństwa turystyki, wśród nich dr Peter E. Tarlow, od lat ostrzegają, że bezpieczeństwo jest jednym z fundamentów zrównoważonej turystyki, a jego książka i prace eksperckie łączą obszar bezpieczeństwa turystycznego z zarządzaniem ryzykiem, hotelarstwem, transportem i sytuacjami kryzysowymi. W środowisku cyfrowym bezpieczeństwo to nie dotyczy już tylko fizycznej ochrony gości, ale także ochrony danych, kanałów komunikacji i procesów rezerwacji.
Jak podróżni mogą zmniejszyć ryzyko przed rezerwacją
Najważniejszą zasadą jest sprawdzenie oferty przed płatnością, zwłaszcza gdy cena znacząco odbiega od rynkowej. FTC zaleca, aby wyszukać nazwę strony lub agencji razem z pojęciami takimi jak oszustwo, recenzja lub skarga, ponieważ w ten sposób można znaleźć wcześniejsze ostrzeżenia innych użytkowników. Adres strony internetowej trzeba sprawdzać znak po znaku, ponieważ oszuści często używają domen różniących się od oficjalnych tylko dodaną literą, myślnikiem, liczbą lub nietypową końcówką. Przy rezerwacjach hotelowych warto porównać dane z kilku źródeł: oficjalnej strony hotelu, znanej platformy rezerwacyjnej i serwisów kartograficznych. Przy prywatnym zakwaterowaniu należy uważać na ogłoszenia, które nie mają historii recenzji, oferują luksus za nierealnie niską cenę lub wymagają komunikacji poza systemem, na którym ogłoszenie zostało opublikowane.
Sposób płatności często jest najjaśniejszym wskaźnikiem ryzyka. Płatność kartą przez znaną i chronioną platformę z reguły daje więcej możliwości zakwestionowania transakcji niż przekazanie pieniędzy nieznanej osobie. FTC wyraźnie ostrzega, że oferty turystyczne wymagające przelewów bankowych, kart podarunkowych lub kryptowalut należy uznawać za podejrzane. FBI również w szerszych ostrzeżeniach o cyberoszustwach doradza unikanie wysyłania pieniędzy lub aktywów cyfrowych nieznanym osobom i zgłaszanie podejrzanych przypadków. W praktyce oznacza to, że rezerwacja nie powinna zostać dokończona, jeśli sprzedawca odmawia standardowych sposobów płatności, wywiera presję pilnymi terminami albo twierdzi, że specjalną cenę można uzyskać tylko poza oficjalną platformą. Rozsądne opóźnienie o kilka minut często wystarcza, aby sprawdzić źródło wiadomości i uniknąć większej straty.
Co zrobić, jeśli rezerwacja jest podejrzana
Jeśli wiadomość już dotarła i wydaje się, że pochodzi od hotelu, agencji lub linii lotniczej, nie należy odpowiadać tym samym kanałem przed sprawdzeniem. Bezpieczniejsze postępowanie polega na otwarciu oficjalnej aplikacji lub strony internetowej i sprawdzeniu statusu rezerwacji bezpośrednio na koncie użytkownika. Jeśli na koncie nie widać żadnego problemu, wiadomość należy traktować jako potencjalny phishing. Jeśli płatność została już wykonana, trzeba jak najszybciej skontaktować się z bankiem lub wydawcą karty, poprosić o blokadę karty, jeśli dane zostały wpisane na podejrzanej stronie, i rozpocząć procedurę zakwestionowania transakcji. Należy zachować wiadomości, potwierdzenia, adresy stron, numery rachunków i całą komunikację, ponieważ te dane mogą pomóc platformie, bankowi lub policji w dalszym postępowaniu.
Oszustwo należy zgłosić również platformie, na której znajdowało się ogłoszenie, prawdziwemu hotelowi lub linii lotniczej, których tożsamość została nadużyta, oraz właściwym organom do zgłaszania cyberprzestępczości lub ochrony konsumentów. FTC kieruje konsumentów w USA na ReportFraud.ftc.gov, podczas gdy FBI do oszustw internetowych używa IC3.gov. W innych państwach zgłoszenie składa się właściwej policji, krajowemu centrum cyberbezpieczeństwa lub instytucji ochrony konsumentów. Szybkie zgłoszenie jest ważne, ponieważ fałszywe domeny i profile często są zamykane i pojawiają się ponownie pod innymi nazwami. Im więcej danych jest dostępnych, tym większa możliwość ostrzeżenia innych użytkowników i ograniczenia szkód.
Bezpieczeństwo turystyczne staje się także kwestią kompetencji cyfrowych
Wzrost liczby oszustw nie oznacza, że rezerwacje online same w sobie są niebezpieczne, lecz że trzeba z nich korzystać z większą weryfikacją niż wcześniej. Prawdziwe hotele, linie lotnicze i platformy inwestują w systemy bezpieczeństwa, ale atakujący wykorzystują chwile, w których podróżny znajduje się poza zwykłą rutyną: spieszy się na lot, szuka ostatniego wolnego pokoju albo boi się, że straci już opłacony urlop. Dlatego najniebezpieczniejsze żądania to te, które łączą pilność, znaną markę i działanie finansowe. Według dostępnych ostrzeżeń bezpieczeństwa oszuści będą coraz częściej używać sztucznej inteligencji, aby usuwać wcześniejsze, łatwo zauważalne znaki oszustwa, od słabej gramatyki po niewiarygodne obrazy. Obrona sprowadza się więc coraz bardziej do prostej, ale konsekwentnej zasady: nie ufać wiadomości tylko dlatego, że wygląda profesjonalnie, lecz sprawdzić źródło, kanał i sposób płatności przed wpisaniem danych lub wysłaniem pieniędzy.
Źródła:
- Federal Trade Commission – porady dotyczące rozpoznawania fałszywych stron turystycznych, wiadomości phishingowych i podejrzanych metod płatności (link)
- Federal Trade Commission – ogólny przewodnik dotyczący unikania oszustw przy podróżach i rezerwacjach (link)
- Federal Trade Commission – dane Consumer Sentinel Network o zgłoszonych stratach z powodu oszustw w 2024 roku (link)
- FBI Internet Crime Complaint Center – raport o przestępczości internetowej za 2024 rok i zgłoszonych stratach (link)
- Cyber Security News – analiza kampanii phishingowej z ponad 4300 fałszywymi domenami naśladującymi marki turystyczne (link)
- Help Net Security – przegląd zdjęć generowanych przez AI, fałszywych ogłoszeń i recenzji w oszustwach turystycznych (link)
- ScienceDirect / Elsevier – opis książki Tourism Security Petera E. Tarlowa i obszaru bezpieczeństwa turystycznego (link)