Aika ajoin somekeskusteluissa tai uutisissa tulee vastaan julkaisuja/kommentteja huijausviesteistä, joissa on käytetty hyväksi Booking.comin kautta tehtyjen varausten tietoja. Huijausviestit ovat sisältäneet mm. varaajan nimen, majoituspaikan ja matkustuspäivät. Viestit ovat tulleet joko Bookingin sisäisen viestijärjestelmän tai esim. WhatsAppin kautta.
Tyypillisesti näissä kalasteluviesteissä kerrotaan varauksessa olevan ongelmia ja varaus tulisi vielä vahvistaa maksukortin avulla. Viestissä on linkki, joka johtaa tietojenkalastelusivulle ja sitä kautta maksukortin tiedot päätyvät rikollisille.
Juuri oikeiden varaustietojen käyttö tekee viesteistä hyvin uskottavia ja saavat ihmiset epäilemään Booking.comin hakkerointia tai että palvelu vuotaisi tietoja ulkopuolelle. Näissä tapauksissa kyse ei ole Bookingin hakkeroinnista, vaan siitä, että rikolliset ovat saaneet haltuunsa yksittäisen majoituspaikan Booking.com-portaalin käyttäjätunnukset.
Edit 13.4.2026. Toki hakkerit voivat päästä käsiksi myös suoraan Booking.cominkin tietoihin tietomurron kautta, kuten tämä uutinen kertoo: Booking.com varoittaa asiakkaita tietomurrosta | Uutisia lyhyesti | Yle, mutta huomattavasti yleisempää on tässä artikkelissa läpikäyty tapa.
Kuinka tämä huijaus etenee?
Ensimmäisessä vaiheessa majoituspaikan tunnukset päätyvät vääriin käsiin. Tämä voi tapahtua esimerkiksi tietojenkalastelun kautta. Majoituspaikan sähköpostiin kilahtaa viesti, joka näyttäisi tulevan Booking.comilta. Viestissä pyydetään kirjautumaan kiireellisesti ja vahvistamaan varauksia, päivittämään tietoja tai kerrotaan asiakaspalautteesta, johon täytyisi vastata. Linkki johtaa kuitenkin kalastelusivulle, joka näyttää aidolta Booking.comin kirjautumissivulta. Tämän sivun kautta syötetyt tunnukset päätyvät rikollisille.
Tyypillisesti majoituspaikoissa myös käytetään helppoja salasanoja, koska yleensä samoja tunnuksia käyttävät useat työntekijät. Usein monivaiheista tunnistautumistakaan ei ole otettu käyttöön, koska se hankaloittaa kirjautumista. Rikollisten työkalupakista löytyy lisäksi ns. sanakirjahyökkäys, jossa koneellisesti kokeillaan eri salasanoja, kunnes tärppää. Tämän hyökkäyksen onnistumista edesauttaa helpot salasanat.
Kalasteluviestien mukana voidaan toimittaa myös haittaohjelma, joka koneelle asentuessaan varastaa selaimeen tallennetut salasanat tai seuraa koneen näppäinpainalluksia.
Toisessa vaiheessa rikolliset kirjautuvat majoituspaikan tunnuksilla sisään Booking.com-järjestelmään, eikä tässä näytä olevan mitään poikkeavaa, koska kirjautuminen tapahtuu täysin oikeilla tunnuksilla. Järjestelmän näkökulmasta kyse on normaalista käyttäjästä.
Tämän jälkeen rikolliset pääsevät näkemään kaikki varaukset, asiakkaiden nimet, majoitusajankohdat ja muita lisätietoja varaukseen liittyen. Näiden tietojen avulla voidaan taas rakentaa uskottavia kalasteluviestejä asiakkaiden suuntaan.
Kolmannessa vaiheessa rikolliset käyttävät joko Booking.comin sisäistä viestijärjestelmää tai WhatsAppia/Telegramia lähettääkseen tietylle asiakkaalle räätälöidyn huijausviestin. Booking.comin viestijärjestelmän kautta tullut viesti on vaikea tunnistaa huijaukseksi, koska se tulee järjestelmän sisältä ja tulee aidosti juuri siltä majoituspaikalta, johon olet varauksen tehnyt.
Sisäistä viestijärjestelmää rikolliset eivät yleensä voi käyttää kovin pitkään, koska tunnusten vuotaminen huomataan majoituspaikassa ja salasana vaihdetaan. Tämän takia rikolliset keräävät varausdataa talteen ja siirtyvät käyttämään muita viestintäkanavia, joissa huijauksia voidaan jatkaa pidempään.
Lopuksi
Rikollisten tavoitteena on saada maksukorttisi tiedot tai he yrittävät saada sinua tekemään maksun varauksestasi heidän kalastelusivullaan. Sitä kautta rahat menevät rikollisille.
Vaikka saamasi viesti tulisi Booking.comin kautta ja näyttäisi täysin aidolta, maksupyyntöihin tai maksukorttitietojen päivittämisiin kannattaa suhtautua varauksella. Maksukortin tietoja ei koskaan tulisi syöttää viestissä olevan linkin kautta.
Mikäli saat varaustasi koskevan viestin ja se epäilyttää sinua, kannattaa olla yhteydessä majoituspaikkaan puhelimitse tai heidän asiakaspalvelunsa sähköpostiosoitteen kautta.
Tässä kirjoituksessa ei ole kyse Booking.comin puolustamisesta, vaan väärinkäsitysten oikaisemisesta. Booking.com tarjoaa alustan majoituspaikoille ja samalla se on osa laajempaa toimitusketjua, jossa tietoturvan taso määräytyy heikoimman lenkin mukaan. Bookingin tulisi kuitenkin tunnistaa poikkeava toiminta, kuten epätavallisia kirjautumisia tai asiakkaille lähetettäviä maksupyyntöjä sekä ohjeistaa kumppaneitaan turvallisiin käytäntöihin.