À febre pelos bilhetes do Bad Bunny em Madrid juntou-se um novo problema: que a tua viagem de sonho acabe por ser uma burla por causa do último ciberataque à Booking. Nos últimos dias, muitos utilizadores nas redes sociais revelaram publicamente que reservaram um hotel ou apartamento e agora temem descobrir, ao chegarem à capital, que aquele quarto já estava ocupado ou nunca existiu.
Em abril, a Booking reconheceu ter sofrido um ciberataque que permitiu que terceiros não autorizados acedessem a dados relacionados com reservas de alguns clientes. A própria plataforma admitiu que os atacantes puderam ver nomes, e-mails, números de telefone e detalhes das reservas (datas, alojamentos, mensagens trocadas), embora insista que não foram divulgados dados financeiros, como números de cartão.
Com essa informação em mãos, os cibercriminosos começaram a lançar ataques de phishing muito bem elaborados: e-mails, mensagens e WhatsApps que incluem dados reais da reserva e que se fazem passar pelo hotel ou pela Booking para pedir pagamentos extra, confirmar supostas alterações ou redirecionar o utilizador para sites falsos. O Instituto Nacional de Cibersegurança (INCIBE) e a própria empresa alertam que estas tentativas de fraude podem intensificar-se em períodos de grande procura.
Por que é que isto afeta especialmente quem vem ver o Bad Bunny
Os dez concertos do porto-riquenho no Riyadh Air Metropolitano vão mobilizar cerca de meio milhão de pessoas entre 30 de maio e 15 de junho, muitas delas vindas de fora de Madrid e que precisam de um hotel ou apartamento para uma ou várias noites. Esse contexto é perfeito para os burlões: alta saturação de alojamentos, reservas feitas com muita antecedência, preços disparados nas datas-chave e fãs dispostos a procurar «pechinchas» de última hora ou a aceitar alterações sem fazer muitas perguntas, desde que não percam a viagem.
A isto junta-se um problema de fundo que os especialistas em cibersegurança vêm apontando há anos: a Booking permite a afiliação de alojamentos com controlos que nem sempre detetam a tempo anúncios falsos ou contas de estabelecimentos pirateadas, o que abre a porta à publicação de apartamentos e hotéis que, na realidade, não existem ou que já estão reservados por outros hóspedes. O resultado é o cenário que muitos temem e alguns já relatam: chegar a Madrid, mostrar a tua confirmação… e descobrir que esse alojamento está ocupado, não reconhece a tua reserva ou nem sequer aparece no portal porque a conta foi desativada após a fraude.
Como estão a ocorrer os esquemas fraudulentos
Os padrões descritos pelas entidades de cibersegurança e pelos próprios afetados repetem-se.
Alguns exemplos:
- Mensagens que chegam por e-mail, WhatsApp ou SMS, mencionando o teu nome, datas exatas e o hotel reservado, a avisar de um problema urgente: «erro no pagamento», «overbooking», «necessidade de verificar o teu cartão devido ao evento do Bad Bunny», etc.
- Links que parecem ser da Booking ou do alojamento, mas que, na realidade, levam a formulários falsos onde são solicitados novamente os dados do cartão ou é pedido um transferência «para garantir a reserva em dias de alta procura».
- Supostas «mudanças de última hora» oferecidas pelo próprio alojamento, que te pedem para cancelar e pagar novamente fora da plataforma, algo que abre a porta a cobranças duplicadas ou a ficares sem quarto e sem dinheiro.
O problema é que, como os atacantes têm dados reais da reserva, as suas mensagens parecem muito mais credíveis do que um phishing genérico. É por isso que tanto a Booking como os especialistas insistem numa ideia fundamental: a plataforma nunca te pedirá os dados do teu cartão nem te solicitará pagamentos adicionais por canais externos (e-mail, WhatsApp, chamadas) que não sejam a sua aplicação ou o site oficial.
O que recomenda o INCIBE
Tanto a plataforma como organismos como o INCIBE e as forças de segurança divulgaram uma série de orientações claras.
Entre elas:
- Nunca partilhes dados do cartão por e-mail, telefone, WhatsApp ou redes sociais, mesmo que a mensagem inclua detalhes reais da tua reserva.
- Aceda sempre à tua reserva digitando o endereço da Booking no navegadorou a partir da aplicação, e não através de links que te cheguem em mensagens.
- Verifica qualquer alteração diretamente com o alojamento usando os dados de contacto oficiais (o site deles, o número de telefone verificado, etc.), e não aceites pressões para pagar «agora mesmo».
- Se suspeitas que introduziste dados num site falso, contacta imediatamente o teu banco para bloquear o cartão e apresenta queixa à Polícia.
A Booking, por sua vez, obrigou à redefinição dos PIN das reservas afetadas e garante estar a reforçar os seus sistemas, embora não tenha especificado quantos utilizadores espanhóis estão envolvidos.