אחרי הפריצה לבוקינג: כך מנסים לעקוץ ישראלים בוואטסאפ
נוכלים משתמשים במידע שדלף מבוקינג כדי לעקוץ משתמשים דרך הוואטסאפ. השיטה: הודעה ממספר זר עם פרטי ההזמנה המדויקים, ודרישה ל"אימות" אשראי בלינק חיצוני כדי שההזמנה לא תבוטל. הקורבנות מגיעים לאתרים מזויפים שנראים "אחד לאחד" כמו המקור, שם נכתב כי עליהם לאשר את ההזמנה תוך 24 שעות. דביר כהן, שקיבל הודעות כאלו, מספר ל-mako: "הלחץ 'לאשר עכשיו' הדליק נורה אדומה"
פורסם:
בשבוע שעבר הודתה בוקינג כי האקרים הצליחו לפרוץ למאגריה, והשיגו גישה לנתונים אישיים של חלק מהלקוחות, כולל שמות, כתובות אימייל, מספרי טלפון ופרטי הזמנה. באמצעות הפרטים האלו מנסים נוכלים לעקוץ את הלקוחות שהזמינו ושילמו דרך האתר. מדובר בתופעה שנמשכת חודשים וקורית גם ללקוחות בישראל, כך לפי עדויות שהגיעו לידי mako.
דביר כהן, יזם ומנהל קהילת "אמזון בקליק", הזמין בחודש נובמבר 2025 מלון ברומניה לו ולבני משפחתו. כחודש לאחר מכן, בזמן שעבד לדבריו מול לקוחות בחו"ל, קיבל באחד הערבים הודעת וואטסאפ מחשבון עסקי הממוקם בארה"ב. בהודעה התבקש כהן לאשר את שהותו במלון שהזמין בבוקרשט בתאריכים הרלוונטיים, תוך שימוש במספר ההזמנה המדויק שלו, וללחוץ על קישור. "אל דאגה, לא יתבצע חיוב", נכתב שם.
לאחר הלחיצה הגיע כהן לאתר מזויף שנראה "אחד לאחד" כמו בוקינג, שם התבקש להזין את פרטיו האישיים, כולל כרטיס אשראי. בקישור נכתב: "מטעמי אבטחה, יש לך ניסיון אחד לביצוע האימות. עזיבת הדף כעת תבטל גם את ההזמנה שלך". בהמשך נכתב: "אנא הזן את מספר הכרטיס שלך בחלון אליו נכנסת כעת. שים לב שיש לבצע זאת, גם אם יש לך הזמנה משולמת, שכן הכספים לא ייגבו ויוחזרו אליך תוך שניות מרגע האימות".
פרסומת
במילים אחרות, בעלי האתר המזויף מבטיחים שלא יחייבו אתכם שוב, אך מבקשים את מספר האשראי. ברגע שיהיו להם הפרטים שלכם, הם יוכלו לנסות לגנוב את כספכם, לסחור בפרטים האישיים ועוד.
במקביל, כאשר כהן ניסה לאתגר את "אמה" שכתבה לו כביכול מהמלון ושאל מה מספר החדרים בהזמנה שלו, היא השיבה שהיא רואה את ההזמנה, אך לצערה אין לה פרטים לגבי מספר החדרים או האורחים, וביקשה ממנו שוב להשלים את תהליך האישור דרך הקישור.
פרסומת
"הלחץ הזה של 'לאשר עכשיו' הדליק נורה אדומה", אומר כהן ל-mako. יום לאחר מכן הוא קיבל הודעת וואטסאפ נוספת, הפעם ממספר בהודו, בנוסח דומה. חשדו של כהן התעורר, בין היתר משום שמקומות האירוח בבוקינג מתקשרים דרך הצ'אט הרשמי בפלטפורמה ולא בוואטסאפ. הוא אף התייעץ עם קלוד (Claude), שטען שהאתר אינו נראה אמיתי. לאחר מכן פנה לבוקינג, שם נאמר לו כי הם אינם יוצרים קשר מחוץ למערכת שלהם.
בזכות ערנותו כהן לא נפל בעוקץ, והפרסום על הפריצה לבוקינג השבוע גרם לו לשחזר את המקרה. גם אורן (שם בדוי) הזמין מלון באיטליה דרך בוקינג, וקיבל השבוע הודעת וואטסאפ מחשבון עסקי בקולומביה, שם נכתב לו שחלק מהמידע בהזמנה שלו "חסר או לא נכון", וכי המערכת אינה יכולה לעבד את הזמנתו.
פרסומת
בהודעה נכתב: "כדי להבטיח שהזמנתך תישאר תקפה, אנא בדוק ועדכן את פרטיך באמצעות הטופס שלהלן. מתן המידע הנכון יאפשר לנו לאשר את הזמנתך ולהכין את הכל לקראת הגעתך. לידיעתך, במידה והפרטים הנדרשים לא יעודכנו, ההזמנה עלולה להתבטל באופן אוטומטי על ידי המערכת בתוך 24 שעות". גם כאן הופעל מוטיב של לחץ זמן – דרישה להזנת פרטים תוך יממה כדי למנוע ביטול. אורן, שקרא על דבר הפריצה בתקשורת, גילה ערנות ולא נפל בפח.
בתגובתה ל-mako מסרה השבוע בוקינג: "אם ללקוח יש חששות כלשהם, או אם נראה כי מקום אירוח מבקש פרטי תשלום מעבר למה שמופיע בפרטי מדיניות התשלום באישור ההזמנה, יש לפנות לשירות הלקוחות של החברה, הפועל 24/7".
פרסומת
אז איך אפשר להיזהר? זכרו שמקום האירוח לעולם לא יפנה אליכם בוואטסאפ, אלא דרך האפליקציה של בוקינג. אם עולה חשש שמשהו חסר בהזמנה, אל תלחצו על קישורים במייל או בוואטסאפ. היכנסו באופן עצמאי לחשבון האישי באתר או באפליקציית בוקינג הרשמית, ובדקו שם אם התקבלו הודעות. במידת הצורך, פנו ביוזמתכם לשירות הלקוחות ושאלו לגבי המקרה.
מצאתם טעות לשון?