Lažni hoteli, prijevare s avionskim kartama i AI turističke zamke sve su veći rizik za putnike
Digitalne prijevare povezane s putovanjima više nisu ograničene na sumnjive oglase, nepostojeće apartmane i loše prevedene poruke e-pošte. Uoči nove ljetne sezone putovanja, putnici diljem svijeta suočavaju se s mnogo uvjerljivijim oblicima prijevara: lažnim hotelskim stranicama koje izgledaju gotovo identično službenima, oglasima za smještaj s fotografijama koje je moguće izraditi umjetnom inteligencijom, phishing porukama koje sadrže stvarne podatke o rezervaciji te ponudama avionskih karata koje nestaju čim se uplata izvrši.
Prema upozorenjima američke Savezne trgovinske komisije, poznate pod kraticom FTC, putničke prijevare često počinju oglasom, telefonskim pozivom, porukom ili e-poštom u kojoj se nude besplatna, iznimno povoljna ili vremenski ograničena putovanja. Komisija upozorava da se iza takvih ponuda mogu nalaziti nepoštene tvrtke ili kriminalne skupine, a posljedica za potrošača može biti plaćanje skrivenih naknada, gubitak novca ili otkrivanje osobnih i financijskih podataka. Posebno se ističu zahtjevi za plaćanje bankovnim transferom, darovnim karticama, kriptovalutama ili aplikacijama za prijenos novca, jer takvi načini plaćanja žrtvama često ostavljaju malo ili nimalo mogućnosti povrata sredstava.
Razmjeri problema vidljivi su i iz šire statistike prijevara. FTC je objavio da su potrošači u 2024. prijavili više od 12,5 milijardi dolara gubitaka zbog prijevara, 25 posto više nego godinu ranije. AARP, pozivajući se na podatke FTC-a, navodi da je u 2025. zabilježeno više od 64.000 prijava prijevara povezanih s putovanjima, odmorima i timeshare aranžmanima.
Lažne hotelske stranice izgledaju sve profesionalnije
Jedan od najraširenijih oblika prijevare odnosi se na lažne ili zavaravajuće hotelske stranice. Better Business Bureau, američka organizacija za zaštitu potrošača i praćenje poslovne vjerodostojnosti, upozorava da se putnici često nađu na stranici koja izgleda kao službena stranica hotela ili poznate agencije za rezervacije. Do takvih stranica nerijetko se dolazi putem tražilica, oglasa ili poveznica koje se pojavljuju pri vrhu rezultata pretraživanja. Fotografije mogu biti profesionalne, cijene uvjerljive, a postupak rezervacije dovoljno poznat da korisnik ne posumnja kako se nalazi na pogrešnom mjestu.
Prema primjerima koje navodi Better Business Bureau, žrtve nakon unosa podataka kartice mogu otkriti da im je naplaćen viši iznos od prikazanog, da su dodane naknade koje nisu bile jasno istaknute ili da hotel uopće nema evidenciju njihove rezervacije. U nekim slučajevima korisnik misli da izravno rezervira sobu kod hotela, dok se u stvarnosti radi o trećoj strani koja nije jasno predstavljena ili o potpuno lažnoj stranici. Takav model posebno je opasan jer ne počiva uvijek na očitoj prijevari: korisnik može dobiti potvrdu, ali ona ne mora vrijediti kod stvarnog hotela ili može sadržavati uvjete koji su bitno nepovoljniji od očekivanih.
Umjetna inteligencija dodatno komplicira prepoznavanje lažnih oglasa. AARP upozorava da AI alati kriminalcima pomažu u kloniranju legitimnih putničkih stranica, stvaranju uvjerljivih adresa i dizajna te proizvodnji sadržaja koji više ne odaje tipične znakove prijevare. Fotografije smještaja mogu biti računalno generirane, opisi profesionalni, a lažne recenzije napisane stilom koji nalikuje stvarnim iskustvima putnika.
Najsigurniji pristup, prema preporukama FTC-a i Better Business Bureaua, jest provjeriti adresu stranice, usporediti naziv domene sa službenim kanalima hotela, ne žuriti s uplatom i po mogućnosti izravno kontaktirati hotel prije plaćanja. Ako se smještaj nalazi u resortu ili kompleksu, FTC preporučuje da se nazove recepcija i potvrdi lokacija, uvjeti rezervacije i postojanje objekta. Poseban oprez potreban je kada stranica traži neuobičajen način plaćanja, kada se uvjeti otkazivanja ne mogu dobiti u pisanom obliku ili kada se korisnika pritišće porukama da ponuda vrijedi samo još nekoliko minuta.
Krađa rezervacije koristi stvarne podatke putnika
Noviji oblik prijevare koji se sve češće spominje u sigurnosnim upozorenjima jest takozvano “preotimanje rezervacije”. U tom scenariju prevarant ne šalje općenitu poruku tisućama ljudi, nego se obraća osobi koja doista ima rezervaciju hotela, apartmana, najma automobila ili leta. Poruka može sadržavati ime, datume putovanja, lokaciju, broj rezervacije ili druge podatke koji stvaraju dojam da dolazi od stvarnog pružatelja usluge. Upravo ta kombinacija točnih informacija i hitnog zahtjeva za uplatom čini prijevaru uvjerljivom.
WIRED je u svibnju 2026. opisao kako takve prijevare funkcioniraju: kriminalci koriste podatke o rezervacijama do kojih mogu doći putem kompromitiranih računa, sigurnosnih incidenata, društvenih mreža ili drugih izvora, a zatim kontaktiraju putnika tvrdeći da postoji problem s plaćanjem, potvrdom kartice ili zadržavanjem rezervacije. Cilj je navesti osobu da uplati novac na račun prevaranta ili da unese podatke kartice na lažnoj stranici. Poruke često uvode element hitnosti, primjerice tvrdnju da će rezervacija biti otkazana ako se uplata ne izvrši odmah.
Dodatnu zabrinutost izazvao je sigurnosni incident koji je Booking.com potvrdio u travnju 2026. Prema izvještaju Guardiana, platforma je obavijestila dio korisnika da su neovlaštene strane pristupile određenim podacima o rezervacijama. Tvrtka je navela da financijski podaci nisu bili dostupni, ali da su među potencijalno izloženim informacijama mogli biti detalji rezervacije, imena, adrese e-pošte, fizičke adrese, telefonski brojevi i poruke razmijenjene sa smještajem. Booking.com je, prema istom izvještaju, promijenio PIN-ove zahvaćenih rezervacija i obavijestio goste.
Takvi podaci sami po sebi ne moraju omogućiti izravnu krađu novca, ali znatno povećavaju vjerodostojnost naknadnih pokušaja prijevare. Ako poruka sadrži točan datum dolaska i naziv objekta, korisnik može lakše povjerovati da je riječ o stvarnom problemu s rezervacijom. Booking.com je, prema navodima WIRED-a, istaknuo da od korisnika ne traži podatke o kreditnoj kartici telefonom, e-poštom ili SMS-om te da ne traži plaćanje bankovnim transferom drukčijim od uvjeta navedenih u rezervaciji. Zato je ključno da se svaka sumnjiva poruka provjeri isključivo kroz službenu aplikaciju, korisnički račun ili kontakt podatke objavljene na službenim stranicama.
Napadi na hotele otvaraju put prijevarama prema gostima
Putničke prijevare ne ciljaju samo krajnje korisnike. Microsoft Threat Intelligence objavio je da je od prosinca 2024. pratio phishing kampanju koja se lažno predstavljala kao Booking.com i ciljala zaposlenike u ugostiteljstvu i hotelijerstvu. Prema Microsoftu, kampanja je bila usmjerena na osobe u organizacijama koje vjerojatno rade s rezervacijskom platformom, a zabilježena je u više regija, uključujući Europu, Sjevernu Ameriku, Oceaniju te dijelove Azije. Napad je koristio tehniku društvenog inženjeringa poznatu kao ClickFix, pri čemu se korisniku prikazuje lažna pogreška ili uputa za “popravak” problema.
Ova vrsta napada važna je za putnike jer kompromitirani račun hotela ili iznajmljivača može poslužiti kao odskočna daska za uvjerljivije poruke gostima. Kada prevarant pristupi stvarnom komunikacijskom kanalu ili podacima o rezervacijama, poruka više ne izgleda kao tipičan spam. Gost je može primiti u kontekstu postojeće rezervacije, s detaljima koje nepoznata osoba inače ne bi trebala znati. Zato sigurnost putničkih platformi ne ovisi samo o oprezu korisnika nego i o zaštiti računa hotela, apartmana, agencija i drugih partnera.
Za putnike to znači da ni poruka koja se pojavi u poznatom komunikacijskom kontekstu ne mora automatski biti sigurna ako traži neuobičajeno plaćanje, dodatnu autorizaciju ili prelazak na vanjski kanal. Ako navodni hotel šalje poveznicu izvan platforme, traži uplatu na privatni račun ili tvrdi da se kartica mora “ponovno potvrditi” na novoj stranici, riječ je o jasnom signalu za dodatnu provjeru. Korisnik bi trebao samostalno otvoriti službenu aplikaciju ili stranicu, bez klikanja na poveznicu iz poruke, i ondje provjeriti postoji li upozorenje.
Prijevare s avionskim kartama iskorištavaju želju za nižom cijenom
Prijevare s avionskim kartama često se oslanjaju na istu psihologiju kao i lažni hotelski oglasi: ograničena ponuda, vrlo niska cijena i pritisak da se odluka donese odmah. FTC upozorava da se putničke ponude mogu pojaviti kroz oglase, pozive, poruke ili e-poštu, a prevaranti pritom mogu obećavati besplatne ili znatno snižene usluge. U kontekstu letova to može značiti lažne agencije, nepostojeće karte, sumnjive vaučere, “posebne popuste” ili zahtjeve da se uplata pošalje načinom koji nije uobičajen za legalnu prodaju karata.
Posebno rizične mogu biti ponude čarter letova i aranžmana kod kojih korisnik ne zna jasno tko je organizator, tko izdaje kartu i koja pravila vrijede u slučaju otkazivanja. FTC savjetuje da se prije plaćanja provjere uvjeti, politike otkazivanja i povrata novca te da se za javne čarter letove provjeri jesu li navedeni kod nadležnog američkog Ministarstva prometa. Iako se ta preporuka odnosi na američki regulatorni okvir, opće pravilo vrijedi globalno: putnik prije plaćanja mora znati s kim sklapa ugovor, tko odgovara za uslugu i postoji li službeni kanal za reklamaciju.
Kriminalci često ciljaju trenutke kada su cijene letova visoke, a potražnja velika. U takvim okolnostima korisnici lakše reagiraju na obećanje “posljednjih mjesta” ili “ekskluzivne cijene” koja vrijedi kratko. Ako se od korisnika traži da kartu plati kriptovalutom, darovnom karticom, bankovnim transferom na privatni račun ili aplikacijom za instant prijenos novca, rizik je znatno veći. FTC izričito upozorava da su takvi zahtjevi tipičan znak prijevare jer novac nakon uplate često nije moguće pratiti ni vratiti.
Za dodatnu provjeru korisno je usporediti cijenu s više poznatih izvora, provjeriti je li agencija registrirana i potražiti naziv tvrtke uz pojmove poput “scam”, “review” ili “complaint”. Ako se radi o stranici koja tvrdi da prodaje karte za poznatu aviokompaniju, treba provjeriti može li se rezervacija pronaći izravno na stranicama prijevoznika pomoću službenog broja rezervacije. Lažna potvrda e-poštom nije dovoljna; stvarna karta mora biti vidljiva u sustavu prijevoznika ili kod provjerenog posrednika.
AI mijenja izgled prijevara, ali ne i osnovne znakove upozorenja
Umjetna inteligencija prevarantima omogućuje da brzo stvaraju tekstove, slike, oglase i stranice koje izgledaju profesionalnije nego prije. To ne znači da je svaku prijevaru nemoguće prepoznati, ali znači da stari signali, poput gramatičkih pogrešaka i lošeg dizajna, više nisu dovoljni. AARP navodi da AI alati pomažu kriminalcima u kloniranju legitimnih putničkih stranica, dok Microsoftov izvještaj pokazuje kako se sofisticirane phishing kampanje mogu prilagoditi poslovnom kontekstu i ciljanim zaposlenicima. Prevaranti danas mogu kombinirati automatizaciju, ukradene podatke i uvjerljiv sadržaj u napad koji izgleda personalizirano.
Ipak, osnovni znakovi upozorenja ostaju isti. Prvi je pritisak na hitnu odluku. Ako poruka tvrdi da će rezervacija biti otkazana za nekoliko minuta, da je potrebno odmah potvrditi karticu ili da se uplata mora izvršiti prije isteka kratkog roka, treba zastati. Drugi znak je zahtjev za plaćanjem izvan službene platforme. Treći je promjena uobičajenog komunikacijskog kanala, primjerice prelazak s aplikacije za rezervacije na privatni WhatsApp broj, nepoznatu e-adresu ili poveznicu koja ne pripada službenoj domeni.
Četvrti znak je nejasna ili nedostupna dokumentacija. FTC savjetuje da se ne potpisuje i ne plaća ništa dok korisnik ne dobije uvjete ponude, pravila otkazivanja i povrata novca. Ako prodavatelj izbjegava pisani trag, odbija poslati ugovor ili ne može objasniti dodatne naknade, bolje je odustati. Peti znak je neuobičajeno niska cijena. Popusti u turizmu postoje, ali ponuda koja je bitno jeftinija od svih usporedivih opcija mora se promatrati kao signal za dodatnu provjeru, osobito ako se pojavljuje samo na nepoznatoj stranici.
Kako se zaštititi prije plaćanja rezervacije
Zaštita od putničkih prijevara počinje prije unosa podataka kartice. Korisnik bi trebao sam upisati adresu poznate stranice u preglednik ili otvoriti službenu aplikaciju, umjesto da klikne na oglas ili poveznicu iz poruke. Kod hotelskih rezervacija korisno je provjeriti domenu, naziv tvrtke koja obrađuje plaćanje, uvjete otkazivanja i konačnu cijenu prije potvrde. Kod privatnog smještaja potrebno je provjeriti postoji li adresa, podudaraju li se fotografije s drugim izvorima i može li se objekt potvrditi kroz službeni kanal platforme.
Kod avionskih karata treba provjeriti tko izdaje kartu, može li se rezervacija vidjeti u sustavu aviokompanije i jesu li uvjeti prtljage, promjene leta i povrata novca jasno navedeni. Ako posrednik tvrdi da karta postoji, ali ne može dati valjan broj rezervacije koji se može provjeriti kod prijevoznika, uplatu treba zaustaviti. Poseban oprez potreban je kod oglasa na društvenim mrežama i stranica koje nemaju jasne podatke o tvrtki, adresu, korisničku podršku i pravila povrata.
Nakon rezervacije, najvažnije je ne reagirati impulzivno na naknadne poruke o problemima s plaćanjem. Ako se pojavi tvrdnja da je rezervacija ugrožena, korisnik bi trebao samostalno otvoriti službeni račun i provjeriti status rezervacije. Za račune na platformama za rezervacije preporučuje se jaka i jedinstvena lozinka te uključivanje dvofaktorske autentifikacije kad je dostupna.
U slučaju sumnje da je prijevara već počinjena, treba odmah kontaktirati banku ili izdavatelja kartice, pokušati zaustaviti transakciju i promijeniti lozinke ako su podaci uneseni na sumnjivoj stranici. Prijevaru je korisno prijaviti platformi, lokalnim potrošačkim tijelima i nadležnim službama za kibernetički kriminal. Iako povrat novca nije uvijek moguć, brza reakcija može ograničiti štetu, spriječiti dodatne transakcije i pomoći u uklanjanju lažnih stranica ili oglasa prije nego što prevare druge korisnike.
Izvori:
- Federal Trade Commission – savjeti za prepoznavanje i izbjegavanje putničkih prijevara (link)
- Federal Trade Commission – podaci o prijavljenim gubicima od prijevara u 2024. godini (link)
- Better Business Bureau – upozorenje o lažnim hotelskim stranicama i rezervacijskim prijevarama (link)
- Microsoft Security Blog – analiza phishing kampanje koja se lažno predstavljala kao Booking.com (link)
- The Guardian – izvještaj o sigurnosnom incidentu i izloženim podacima korisnika Booking.coma u travnju 2026. (link)
- WIRED – objašnjenje prijevara s preotimanjem rezervacija i preporuke za sigurniju komunikaciju (link)
- AARP – pregled najčešćih znakova upozorenja kod putničkih prijevara i uloga AI alata (link)