اوایل امسال، انجمن حمایت از مصرفکنندگان گزارشی مفصل منتشر کرد که از وجود کلاهبرداریهای گسترده و مشکلات امنیتی در وبسایت Booking.com پرده برمیداشت.
در یکی از سفرهای اخیرم برای توقف کوتاه در جاکارتا یک هتل فرودگاهی رزرو کردم. از بوکینگداتکام استفاده کردم و گزینه برداشت خودکار از کارت چند روز پیش از اقامت را انتخاب کردم.
یک هفته مانده به سفر، پیامی در واتساپ دریافت کردم که ظاهرا از طرف هتل فرودگاهی جاکارتا بود. در پروفایل تصویری شبیه یکی از کارکنان دیده میشد و در متن پیام نام کامل من، کد رزرو و تاریخهای اقامتم آمده بود.
در پیام توضیح داده شده بود که برای «ایمن» ماندن رزرو، باید برخی جزئیات را تایید کنم. از من خواسته شده بود روی پیوندی کلیک کنم که در آنجا موقتا شیوه پرداخت خود را تایید کنم، بدون آنکه پولی برداشت شود.
در پیام هشدار داده شده بود که اگر این فرایند را ظرف ۲۴ ساعت تکمیل نکنم، سیستم ممکن است رزرو مرا به طور خودکار لغو کند.
بهتازگی در وبسایت بوکینگداتکام هشدارهایی ظاهر شده که از کاربران میخواهد مراقب فیشینگ و جعل ایمیل باشند.
خوشبختانه به این هشدارها توجه کرده بودم و نشانهها را میشناختم؛ درخواست کلیک روی لینک و محدود کردن زمان برای تکمیل فرایند، نمونههای کلاسیک آن است.
طبق دستورالعملهای بوکینگداتکام عمل کردم و این پیام مشکوک را گزارش دادم؛ فردای آن روز با من تماس گرفتند و تایید کردند که پیام از طرف هتل ارسال نشده و باید آن را حذف کنم.
گرچه بابت اقامت پیشِ رو خیالم راحت شد، اما اینکه کلاهبردار چه میزان اطلاعات شخصی درباره رزرو من به دست آورده بود، همچنان نگرانم میکرد.
اوایل امسال نهاد دیدهبان حقوق مصرفکننده گزارشی جامع منتشر کرد که پرده از انبوهی از کلاهبرداریها و مشکلات امنیتی در بوکینگداتکام برمیداشت. به نظر میرسید پیام فیشینگ من فقط نوک یک کوه یخ بسیار نگرانکننده باشد.
افزایش آگهیهای جعلی در بوکینگداتکام
بوکینگداتکام غولی بینالمللی با بیش از یک میلیارد رزرو در سال است که برای تصاحب جایگاه پیشتاز بازار وبسایتهای رزرو اقامت با ایربیانبی رقابت میکند.
تحقیقات ویچ؟ نشان داد بخشی از جذابیت آن به سهولتی برمیگردد که شرکتها و مالکان با آن میتوانند ملکشان را در سایت ثبت کنند.
این نهاد خود این روند را آزمود و توانست در کمتر از ۱۵ دقیقه یک خانه تعطیلاتی را در سایت ثبت کند.
ترور بیکر، پژوهشگر ارشد، مینویسد: «نیازی نبود مدرکی برای احراز هویتمان ارائه کنیم. و برخلاف وقتی که خانهتان را در وربوی اکسپدیا قرار میدهید یا در ایربیانبی (در آخرین باری که ما امتحان کردیم)، از ما نخواستند گواهینامه رانندگی یا گذرنامه نشان دهیم.»
این سهولت هرچند شاید به موفقیت بوکینگداتکام کمک کند، اما راه را برای تقلب در سایت نیز هموار میکند.
تحقیقی که ویچ؟ در سال ۲۰۲۴ انجام داد نشان داد ظرف چند ماه صدها نفر گزارش دادهاند که بابت آگهیهای جعلی پول از دست دادهاند.
بوکینگداتکام آگهیهای نشانشده توسط ویچ؟ را حذف کرد و مدعی شد اینها فقط مالکان بودهاند که «فراموش کرده بودند پس از تعطیلی دائم یا موقت اقامتگاه، امکان رزرو را خاموش کنند».
اما چند ماه بعد که بازرسان دوباره بررسی کردند، باز هم با واحدهایی روبهرو شدند که صدها نقد منفی داشت و هشدار میداد اقامتگاه اقامتگاه جعلی است.
مسافران گزارش دادهاند که به محل اقامت رسیدهاند اما فهمیدهاند اصلا وجود خارجی ندارد و ناچار شدهاند با عجله به دنبال جایگزین بگردند. بسیاری بعدتر برای پسگرفتن پولشان از بوکینگداتکام به دردسر افتادهاند.
آگهیهای جعلی با پنهانکردن نقدهای بد دوام میآورند
این پلتفرم اقامتی به ویچ؟ گفت که میزبانهای جدید را تا پیش از آنکه بتوانند رزروهای همراه با پیشپرداخت را بپذیرند محدود میکند تا آگهیهای جعلی را غربال کند.
بیکر مینویسد: «درست است که ما برای آگهیای که ایجاد کردیم نمیتوانستیم پیشپرداخت بگیریم و باید اول چند رزرو و چند نظر دریافت میکردیم. اما این برای یک کلاهبردار غیرقابل عبور نیست.»
اگر یک آگهی جعلی از صافیها عبور کند و شناسایی نشود، بهواسطه سازوکار نظرات و امتیازدهی بوکینگداتکام اغلب میتواند همچنان مهمانان را فریب دهد.
بیکر میگوید: «اگر روی یک واحد اجارهای در مرکز پودگوریتسا در مونتهنگرو کلیک کنید، امتیاز ۶.۴ که بوکینگداتکام آن را «دلپذیر» جمعبندی کرده است، خیالتان را راحت میکند.»
او ادامه میدهد: «دو نظر اولی که میبینید آن را «عالی» (۹ از ۱۰) و «خوب» (۷ از ۱۰) توصیف میکند. با این حال باید چشمتان تیز باشد تا متوجه شوید بوکینگداتکام دارد نظراتی را به شما نشان میدهد که بهنحو نامفهومی تصمیم گرفته «مرتبطترینها» هستند.»
در عوض اگر تنظیمات را روی «جدیدترین» بگذارید، میبینید که درباره همان ملک، ۱۰ نفر از ۱۲ نظر آخر آن را «حقه»، «کلاهبرداری» و «کابوس» خواندهاند.
پس از فشارهای ویچ؟ در سال گذشته، این وبسایت اقامتی گفت که میخواهد سامانهاش را طوری تغییر دهد که به نظرات تازهتر وزن بیشتری بدهد. اما در حال حاضر همچنان پیشفرض نمایش «مرتبطترین» است.
پیامهای فیشینگ با درخواست تایید رزرو
بعد هم اتفاقی است که برای من افتاد. مسافران دیگری نیز گزارش دادهاند که ایمیل، پیام واتساپ یا حتی پیامهایی در سامانه پیامرسان داخلی بوکینگداتکام دریافت کردهاند که از آنها میخواهد رزرو را تایید کنند.
بعضی از این پیامها از شما میخواهند روی پیوندی کلیک کنید تا «جزئیات را تایید» کنید و برخی دیگر بهصراحت درخواست پرداخت پول دارند.
اغلب هم ضربالاجل تعیین میکنند؛ بهطوریکه حتی اگر درباره پیام با بوکینگداتکام تماس بگیرید، ممکن است تا پیش از مهلت پاسخ نگیرید و ناچار شوید پول بپردازید.
اینکه کلاهبرداران توانستهاند از کانالهای رسمی ارتباطی بوکینگداتکام استفاده کنند، بهویژه نگرانکننده است.
بیکر مینویسد: «وقتی در سال ۲۰۱۷ کلاهبرداریهای ایربیانبی را بررسی کردیم، با اطمینان میگفتیم تا زمانی که فقط داخل سامانه پیامرسانی ایربیانبی ارتباط بگیرید، در امان خواهید بود.»
او میافزاید: «اما در بوکینگداتکام اینطور نیست. اگر هتلها و میزبانهایش هک شده باشند، تشخیص اینکه پیامی که دریافت میکنید واقعا از هتل است یا از یک کلاهبردار، بسیار دشوار میشود.»
بوکینگداتکام برای مقابله با کلاهبرداران از هوش مصنوعی بهره میگیرد
در جریان این تحقیق، ویچ؟ گزارشهایی از کاربران دریافت کرد که صدها یورو از دست داده بودند. برای برخی، کل سفرشان خراب شده بود. بسیاری هم تنها پس از آنکه ویچ؟ به نمایندگی از آنها پیگیری کرد، پولشان را پس گرفتند.
پس بوکینگداتکام برای بهبود امنیت کاربران چه میکند؟ به سراغ هوش مصنوعی رفته است.
یک سخنگو به یورونیوز تراول گفت: «ما همچنان به سرمایهگذاریهای قابل توجه ادامه میدهیم و از جدیدترین روشهای هوش مصنوعی و یادگیری ماشین استفاده میکنیم تا هرچه سریعتر فعالیتهای مشکوک را شناسایی و مسدود کنیم.»
او افزود: «این فناوری به ما امکان میدهد الگوهای ترافیک را تحلیل کنیم، ناهنجاریها را تشخیص دهیم و فعالیتهای مشکوک را پیش از آنکه به مشتریانمان برسد مسدود کنیم.»
برخی مالکان همچنین گزارش دادهاند که این وبسایت سال گذشته سطح امنیت برای هتلها و میزبانها را سختگیرانهتر کرده است.
اکنون آنها برای دسترسی به حسابها و پیامهایشان باید از فرایندی دو مرحلهای، موسوم به احراز هویت دو مرحلهای (2FA)، استفاده کنند؛ به این معنا که هککردن حسابها برای کلاهبرداران باید بسیار دشوارتر شود.
مهمانان هم میتوانند 2FA را فعال کنند، اما کاربران گزارش کردهاند که با آن مشکل دارند.
با این حال به گفته ویچ؟ هنوز راه درازی در پیش است.
در این گزارش آمده است: «ناتوانی بوکینگداتکام در مسدودکردن پیوندهای مخرب، حذف آگهیهای «جعلی» و الزامنکردن 2FA برای میزبانها تا همین اواخر، حاکی از بیاعتنایی به امنیت کاربران است.»
این گزارش میافزاید: «و تصمیمش برای نمایش آنچه بهاصطلاح «مرتبطترین» نظرات است به جای «جدیدترین»ها عجیب بود. میپذیریم که نسبت به سال گذشته امنتر شده است، اما از نظر ما بسیار دیر متوجه شد که ابزارهایش چقدر آسان توسط کلاهبرداران برای سرقت پول دستکاری شدهاند.»