Tanie podróże, drogie błędy – NordVPN i Saily przedstawiają raport o nowym typie oszustw podróżniczych

Czym jest oszustwo „na pośrednika”?

Turystyczne oszustwa „na pośrednika” (ang. B4U – buy-for-you) są oszukańczą praktyką, w ramach której przestępcy, często działający na ukrytych forach w dark webie i platformach na Telegramie, wykorzystują skradzione dane kart płatniczych do rezerwacji usług turystycznych. Następnie odsprzedają te usługi – takie jak loty, hotele i wynajem samochodów – po znacznie obniżonych cenach.

Mechanizm oszustw B4U polega na tym, że pośrednik – w tym przypadku oszust – dokonuje zakupu biletu, noclegu lub wynajmu auta za Ciebie (ang. buy-for-you [B4U], czyli dosłownie „zakup za ciebie”). Ty przekazujesz mu jedynie niezbędne informacje, takie jak dane pasażera, daty podróży i kontakt, a w zamian otrzymujesz gotowy bilet lub rezerwację. Gdzie haczyk? Płatność pochodzi z karty, która nie należy do Ciebie.

Jak wygląda proces działania tych agencji turystycznych w dark webie?

Sprzedawcy B4U korzystają z grup na Telegramie do prowadzenia codziennej działalności. Przetwarzają oni zamówienia, publikują oferty, korzystają z botów i zbierają fałszywe rekomendacje – publiczne, weryfikowalne opinie z poprzednich zamówień, które działają jak recenzje – aby budować reputację.

Grupy te działają jako centra ogłoszeniowe, gdzie sprzedawcy reklamują usługi B4U. Obiecywane zniżki wynoszą zazwyczaj 40-60% w stosunku do ceny rynkowej, co skutecznie przyciąga osoby szukające okazji. Oferty znacznie wykraczające poza ten przedział często okazują się przynętą – szczególnie gdy sprzedawca forsuje opcję „bez depozytu” lub „najpierw depozyt”.

W wielu transakcjach B4U kluczową rolę odgrywa usługa escrow (rachunek powierniczy), która buduje zaufanie na tym specyficznym rynku. Polega ona na tym, że strona trzecia przechowuje środki kupującego i uwalnia je dopiero po dostarczeniu rezerwacji. Zmniejsza to liczbę sporów między kupującym a sprzedawcą. Niektórzy oszuści próbują jednak ominąć ten mechanizm, aby dokonać tzw. exit scamu – zbierają pieniądze od wielu kupujących, a następnie znikają, nie dostarczając obiecanych usług.

Płatności najczęściej realizowane są przez kryptowaluty i aplikacje gotówkowe. Dlaczego? Bo są szybkie, trudne do wyśledzenia, a odzyskanie pieniędzy czy ochrona kupującego są w ich przypadku bardzo ograniczone. To wszystko sprawia, że gdy rezerwacja przejdzie, przestępcy mogą łatwo zatrzymać pieniądze dla siebie.

Co faktycznie kupują użytkownicy

Wśród analizowanych ogłoszeń najczęściej pojawiają się rezerwacje hotelowe, tuż za nimi bilety lotnicze, a także Airbnb i wynajem samochodów. Poza usługami podróżniczymi, dużą kategorię stanowią kupony na dostawy i zakupy, obejmujące m.in. marki takie jak Uber Eats, DoorDash czy Amazon.

Usługi podróżnicze i okołopodróżnicze często łączone są w jeden pakiet – wyglądają wtedy atrakcyjniej, a wartość zamówienia rośnie. Sprzedawcy najpierw obsługują małe, tanie zamówienia, żeby zbierać pozytywne opinie i budować reputację. Dopiero później próbują sprzedać droższe rezerwacje.

Dlaczego branża turystyczna przyciąga oszustów

Oszustwa w branży podróżniczej opłacają się, bo drogie bilety i rezerwacje wyglądają jak normalne wydatki. „Zakupy związane z podróżami są drogie i nie wyróżniają się na wyciągu z karty – nie wzbudzają od razu podejrzeń. To daje oszustom czas, zanim ktoś zauważy oszustwo i zablokuje kartę” – mówi Marijus Briedis, dyrektor ds. technologii w NordVPN. 

Po pandemii COVID-19 usługi B4U przeżyły prawdziwy boom. Później ich popularność na pozór falowała, ale wynikało to głównie z banowania na platformach, zmian nazw (rebrandingu) czy ucieczki na prywatne kanały. Te wahania nie oznaczały więc mniejszego zainteresowania, a jedynie przenoszenie się oszustów w inne miejsca.

Ryzyko dla kupujących i posiadaczy kart

Oszustwa B4U uderzają w obie strony transakcji. Kupujący ryzykują anulowanie rezerwacji, obciążenia zwrotne (chargebacki), które mogą skutkować blokadą konta, a także utratę kontaktu ze sprzedawcą po dokonaniu płatności – zwłaszcza gdy transakcja nie jest zabezpieczona przez escrow. Dodatkowo mogą zostać poddani weryfikacji tożsamości lub nawet przesłuchaniu przez policję, jeśli sprzedawca zgłosi podejrzaną rezerwację.

Właściciele kart mogą spotkać się z nieautoryzowanymi obciążeniami, drobnymi testowymi transakcjami, które szybko zamieniają się w drogie rezerwacje, blokadą konta na czas dochodzenia banku, a także wyciekiem danych – zwłaszcza jeśli karta została skradziona w ramach większego naruszenia bezpieczeństwa.

„Jeśli dane Twojej karty kredytowej zostały ujawnione w wyniku wycieku danych, mogą zostać wykorzystane do kupienia komuś innemu wakacji” – mówi Vykintas Maknickas, CEO firmy Saily. Wiele osób zauważa oszustwo dopiero wtedy, gdy na wyciągu pojawiają się nieznane opłaty, co opóźnia reakcję i zwiększa straty. 

Jak nie wpaść w pułapkę B4U: metody oszustów i sposoby obrony

Kupujący dzielą się na dwie grupy. Pierwsi są świadomi, że oferty są nielegalne, ale akceptują ryzyko w zamian za tańszą podróż. Drudzy nie zdają sobie sprawy, że rezerwacje opłacane są kradzionymi kartami, dopóki nie dojdzie do ich anulowania lub wszczęcia dochodzenia. Oszuści celują w obie te grupy.

Oszuści rozpowszechniają rzekomo „wewnętrzne” oferty w przestrzeni publicznej — w postach na mediach społecznościowych, na blogach, w serwisach z kuponami, na forach, w e-mailach i niechcianych wiadomościach prywatnych — aby wzbudzić zainteresowanie. Następnie kierują nowych klientów na Telegram lub inne ukryte kanały w celu sfinalizowania transakcji. Przestępcy wywierają presję czasową za pomocą ofert ograniczonych czasowo, co skłania kupujących do rezygnacji z należytej staranności i ignorowania sygnałów ostrzegawczych.

Oto co możesz zrobić, aby chronić siebie oraz innych przed turystycznymi oszustwami B4U:

• Dokonuj rezerwacji na zaufanych platformach. Skorzystaj z oferty linii lotniczych, hotelu lub renomowanej agencji turystycznej.

• Weryfikuj sprzedawcę. Sprawdź domenę, podmiot prawny, warunki zwrotu i niezależne recenzje.

• Zachowaj sceptycyzm wobec wysokich rabatów. Unikaj ofert z nierealistycznymi rabatami, niezależnie od depozytu zabezpieczającego czy innych zapewnień.

• Korzystaj z bezpiecznych metod płatności. Płać kartami kredytowymi z funkcją chargeback. Unikaj kryptowalut, kart podarunkowych i aplikacji do płatności gotówką przy zakupach w podróży.

• Nie daj się przenieść na inny komunikator. Sprzedawca chce dokończyć transakcję na Telegramie? To czerwona flaga. Zrezygnuj.

• Zgłoś i zablokuj. Zgłaszaj podejrzane posty i wiadomości na platformie i blokuj nadawcę.

Jak chronić dane swojej karty kredytowej

Wygoda zakupów online wiąże się z ryzykiem – przestępcy mogą ukraść dane Twojej karty płatniczej i wykorzystać je do opłacenia cudzych lotów lub pobytów w hotelach. Postępuj zgodnie z poniższymi wskazówkami, aby zmniejszyć to ryzyko i wcześnie wykryć problemy.

• Obserwuj swoje konto bankowe. Regularnie przeglądaj wyciągi bankowe i wyciągi z kart. Włącz alerty o transakcjach w czasie rzeczywistym w aplikacji bankowej, aby na bieżąco śledzić naliczane opłaty.

• Reaguj szybko na podejrzane opłaty. Niezwłocznie zgłoś nieznane opłaty. Nawet drobne zakupy testowe mogą być wczesnym sygnałem ostrzegawczym, że przestępca sprawdza, czy Twoja karta działa.

• Wzmocnij ochronę dostępu do konta. Używaj silnych, unikalnych haseł do kont bankowych, poczty e-mail i platform zakupowych. Włącz uwierzytelnianie dwuskładnikowe (MFA), aby dodać drugą warstwę zabezpieczeń.

• Ogranicz miejsca przechowywania danych karty. Unikaj zapisywania kart płatniczych na wielu stronach internetowych. Usuń zapisane karty, których już nie używasz.

• Sprawdź, czy Twoje dane nie zostały ujawnione. Jeśli firma, z którą współpracujesz, zgłosi naruszenie, zmień hasło i obserwuj, czy nie dochodzi do nietypowych wydatków na Twoich kartach.