"משהו רע עובר על בוקינג", כך נפתח פוסט ברשת החברתית שתיאר ניסיון עוקץ דרך אתר הזמנת המלונות הגדול בעולם והביא לעשרות תגובות של גולשים עם מקרים דומים. אלה, לצד תלונות שהגיעו ל-ynet מצביעות על תופעה מדאיגה של ניסיונות להונאה דרך האתר, שבחלק מהמקרים הותירו לקוחות בלי מקום לינה או במקרים חמורים יותר בהפסד של אלפי שקלים.
הפוסט שפתח את הסכר פורסם בקבוצת הפייסבוק הפופולרית "חו"ל זה כאן", ובו דיווח גולש על ניסיון הונאה לאחר שהזמין דירה דרך בוקינג. לדבריו, זמן קצר לאחר ביצוע ההזמנה קיבל הודעה המבקשת ממנו להעביר פרטי אשראי מחוץ למערכת המאובטחת של האתר.
הפוסט גרר מאות תגובות של גולשים נוספים, שחלקם דיווחו על מקרים דומים כולל דרישות להעברת כספים, דיווחים על דירות שאינן קיימות, ואפילו פריצות לחשבונות המלונות עצמם, שמהם נשלחות הודעות פישינג מתוך הצ'אט של האתר.
סיגל בן מוחה-פחימה סיפרה: "הזמנתי דירה דרך בוקינג, ולאחר מכן שלחו לי הודעה וביקשו פרטי כרטיס אשראי. זה נראה לי חשוד, אז ביטלתי את ההזמנה. פניתי לבוקינג ולא קיבלתי מענה. אחרי חודש חיפשתי חוות דעת על אותה דירה, וגיליתי שבע תגובות שמדובר בהונאה – ועדיין הדירה הופיעה באתר. גם עכשיו, לאחר בדיקה, היא עדיין שם וניתן להזמין אותה".
"עשינו הזמנה בארץ לפני שנה, הגענו לדירה וגילינו שהיא סגורה כבר חצי שנה. עד היום לא קיבלנו מענה מבוקינג"
טל אידלמן שיתפה בחוויה דומה: "עשינו הזמנה בארץ לפני שנה, הגענו לדירה וגילינו שהיא סגורה כבר חצי שנה. עד היום לא קיבלנו מענה מבוקינג. הזמנו דירה אחרת שבמזל הייתה פנויה. חברת ויזה ביטלה את החיוב אחרי שגם לה בוקינג לא ענו. מאז אני לא מתקרבת לאתר הזה".
גם עודד שנהב, משתמש ותיק באתר, הזהיר מהידרדרות: "אני שנים מזמין בבוקינג, תמיד קיבלתי שירות טוב והם היו לרוב הזולים ביותר. אבל לאחרונה יש הרבה בעיות עם האקרים. עקצו אותי לפני חודש בשתי עסקאות, בארה"ב וביפן, באלפי שקלים. פניתי לחברת האשראי, הם בדקו מול בוקינג – ובוקינג אישרו שלא הכירו את העסקאות. למזלי קיבלתי חזרה את הכסף".
אחד המוקדים המרכזיים לתקיפות הוא ככל הנראה מערכת הצ'אט של האתר שאמורה ליצור קשר ישיר בין המזמינים לבעלי הדירות או המלונות. אך מתברר כי האקרים מצליחים לחדור גם לשם. גולש אחד הזהיר: "אסור ללחוץ בשום אופן על קישורים בהודעות בצ'אט או למסור כרטיס אשראי. זה עוקץ מוכר. כל הפרטים מוזנים רק באתר, בשלב ההזמנה. כנראה שהמערכת של בוקינג פרוצה לגמרי".
סיוט במדריד
אחת התלונות שהגיעה למערכת ynet של בני הזוג סלומון (השם שמור במערכת), שנסעו במאי עם שבעה בני משפחתם למדריד. הם שילמו מראש 4,000 אירו עבור שמונה לילות בדירה שהוזמנה דרך בוקינג. לאחר מכן קיבלו הודעה מבעל הדירה במייל דרך בוקינג, שבה נדרשו להעביר פיקדון של 2,000 אירו.
האישה מספרת: "פנינו לבוקינג במייל כדי לוודא אם זו דרישה מקובלת, וקיבלנו תשובה שזה בסדר - אז העברנו את הכסף. אבל עד הרגע שעלינו לטיסה לא קיבלנו כתובת מדויקת לדירה. כשהגענו למדריד בשעה 20:00 בערב לא היה לנו מושג לאן להגיע. אחרי המתנה של שעה לתשובה מנציג שירות של בוקינג, הם ניסו לבדוק מול העל הדירה ולא הצליחו ליצור קשר. נשארנו, זוג מבוגר בני קרוב ל-80 עם הילדים, בלי מקום לינה, ולמרות שציפינו שבבוקינג לפחות ייקחו אחריות וימצאו לנו מקום חלופי זה לא קרה. למזלנו מצאנו מלון שהיו בו מספיק חדרים ללילה ורק למחרת הצלחנו למצוא מקום אחר ונאלצנו לשלם שוב. הופתענו לרעה מהשירות הלקוי של בוקינג. קיימנו איתם מספר רב של שיחות בלילה ולמחרת מבלי שקיבלנו תשובות או עזרה כלשהי. רק כשחזרנו לארץ בוקינג הסכימו להחזיר את הפיקדון ועוד מחצית מהסכום המקורי – אבל לא נתנו הסבר למה שקרה, ולמי בעצם הלך הכסף".
להתמודד לבד
במקרים כאלה היה מצופה מבוקינג לנקוט יד קשה נגד הנוכלים, אבל לקוחות מדווחים כי גם לאחר פניות מרובות לבוקינג החברה לא תמיד מסירה נכסים מפוקפקים, ולא מספקת תמיכה בזמן אמת. לדבריהם, בוקינג מותירה את הגולשים להתמודד לבד מול המארחים או מול נציגי שירות שלא יודעים לספק מענה. גורמים המעורים בפעילות הפלטפורמה מספרים כי בוקינג מודעת היטב לבעיות, וכי צוותים פנימיים פועלים בתקופה האחרונה כדי להתמודד עם גל ההונאות, לרבות פרצות אבטחה, הודעות מתחזות ונכסים מזויפים. אך לפי עדויות רבות התגובה איטית, והנזקים נמשכים.
יואב קרן, מנכ"ל חברת ניטור ההונאות ברשות ברנדשילד (BrandShield), אמר ל-ynet: "אנחנו מזהים עלייה מדאיגה בהונאות שמתחוללות גם בתוך הפלטפורמות הרשמיות עצמן, כמו בוקינג ואייר בי אנד בי (Airbnb), לא רק באתרים שמתחזים להן. כשגולשים נכנסים לאתר הרשמי, הם בטוחים שהם בסביבה מאובטחת, מבוקרת ואמינה. בפועל, גם בתוך אתרים אלו קיימת אפשרות לבעלי נכסים לדרוש מקדמה – וזהו בדיוק הפתח שמאפשר להונאות להתבצע מתחת לרדאר".
לדבריו, "זו מגמה רחבה, שכוללת גם אתרי תעופה, רשתות מלונות וספקי תיירות אחרים. נדרש שינוי מערכתי: אימות כפול, ניטור פרואקטיבי, הסרה מיידית של תוכן מתחזה, ושימוש בטכנולוגיות מתקדמות לאיתור הונאות. האחריות לא יכולה להיות רק על הצרכנים – היא חייבת להתחיל אצל החברות עצמן".
קרן מוסיף: "חשוב לשים לב מאילו פלטפורמות רוכשים – ובידי מי מפקידים את הפרטים האישיים והנתונים, לרבות נתוני אשראי". לדבריו, הזינוק בהונאות אינו רק בעיה של הצרכנים – גם המותגים עצמם סובלים מהפגיעה באמון הלקוחות. "החברות חייבות להתחיל לשלב טכנולוגיות מתקדמות לניטור והסרה של איומים ברשת לפני שהם פוגעים בעסקים ובצרכנים".
מהנתונים שמספק קרן עולה כי בין פברואר 2024 לפברואר 2025 נרשמה עלייה חדה של 33.22% ברישום דומיינים מתחזים למותגים מובילים בעולם התיירות. כך לגבי חברת אמריקן איירליינס יש עלייה של 82% במספר האתרים המתחזים; חברת דלתא איירליינס – עלייה של 50% במספר הדומיינים המזויפים; אייר בי אנד בי – עלייה של 32% במקרי התחזות והונאה; רשת הילטון – עלייה חדה של 59% בהתחזות לאתרי הרשת; ורשת מריוט: עלייה של 10%.
"מודעים לפישינג"
מחברת בוקינג נמסר בתגובה: "לא הייתה פרצת אבטחה במערכות המידע של Booking.com. עם זאת, אנו מודעים לכך שחלק מהשותפים שלנו היו מטרה להודעות דיוג (פישינג), לאחר שלמרבה הצער פרצו למערכות שלהם. מספר השותפים שנפגעו מהונאה זו הוא חלק קטן מכלל השותפים בפלטפורמה שלנו, והצלחנו להגביל משמעותית את ההשפעה על לקוחותינו ושותפינו באמצעות אמצעים טכנולוגיים שונים. אנו ממשיכים להשקיע רבות בטכנולוגיה ובחידושים העדכניים ביותר כדי להילחם בהונאות, ואנו פועלים באופן יזום כדי לתמוך בשותפים ובלקוחות שלנו כדי שיישארו מוגנים".
ואולם, למרות התגובה, המקרים מעלים שאלות על מידת האבטחה והאחריות של בוקינג. ככל שמתרבות העדויות, כך מתחדדת התחושה שמדובר בבעיה מערכתית ולא בכשל נקודתי.
נורות אדומות: כך ניתן להימנע מהונאות
בעידן שבו כל אחד יכול לייצר תמונות של דירות, מלונות או כל מוצר שהוא ברמת אמינות ויזואלית כמעט מושלמת – הסיכון רק הולך וגדל. יש היום כלים פשוטים וזמינים שמאפשרים לייצר מצג שווא של נכסים שלא קיימים בכלל. אנחנו צפויים לראות עוד ועוד סוגים של הונאות מהסוג הזה. כאן נדרש שינוי של הפלטפורמות שצריכות להפעיל מנגנון של אימות, ניטור וחסימה. אבל יש לא מעט צעדי זהירות שכל אחד מאיתנו יכול לנקוט כדי להפחית את הסיכון ליפול בפח.
• בדקו את כתובת האתר: התחזויות רבות כוללות שינויים קלים בשם הדומיין (כגון תוספת אות או שינוי סיומת).
• היזהרו מהודעות חשודות: קישורים שנשלחים בווטסאפ, מייל או מדיה חברתית עשויים להוביל לאתרי זיוף.
• אל תסתמכו על אייקון המנעול בלבד: אתרים מזויפים רבים מציגים חיבור HTTPS, אך זה לא מבטיח אמינות.
• חשדו במבצעי "חלום": הצעות במחירים נמוכים באופן חריג הן לעיתים קרובות מלכודת.
• בצעו עסקאות רק בפלטפורמות מוכרות: אם האתר נראה שונה מהרגיל, עדיף לבדוק שוב ולא לקחת סיכון.
• זהירות עם האשראי: צריך לשים לב לפרטי ההזמנה וכמובן לא לספק מספר כרטיס אשראי בצ'אט או במייל או בטלפון.
• קיראו ביקורות: כשבאים להשכיר דירה או מקום לינה, חשוב לבדוק אילו ביקורות יש, מתי הן פורסמו ואם הנכס נמצא באתר כבר הרבה זמן. בדרך כלל, אם הדירה מופיעה שם כבר כמה שנים – זו אינדיקציה מסוימת לכך שהיא אמינה. אבל גם כאן אין מאה אחוז. אפשר לזייף ביקורות, אפשר לתחזק עמוד שנראה לגיטימי לאורך זמן – ולכן מדובר באמצעי מוגבל.
