Booking Holdings je lani ustvaril 26,9 milijarde dolarjev prihodkov in 5,4 milijarde čistega dobička. Za marketing je porabil 8,2 milijarde. Prek platforme je bilo rezerviranih 1,2 milijarde nočitev. V istem letu je nacionalni odzivni center za kibernetsko varnost SI-CERT v Sloveniji obravnaval 6.196 kibernetskih incidentov, 35 odstotkov več kot leto prej, skupna škoda prijavljenih spletnih goljufij pa je dosegla 40,4 milijona evrov. Med najpogostejšimi oblikami je bila tako imenovana Booking prevara, pri kateri napadalci prek lažnih sporočil pridobijo dostop do partnerskega računa ponudnika nastanitev, nato pa v njegovem imenu od gostov izvabijo podatke kreditnih kartic. Zakaj platforma z 37-odstotno EBITDA maržo stroške zaščite pred takšnimi napadi prebacuje na male ponudnike nastanitev?
V družinskem hotelu v Pulju so med velikonočnim vikendom opazili rezervacijo dvoposteljne sobe za 30 evrov. Lastnik hotela Deniz Zembo je za HRT povedal, da je napadalec v oglas vstavil lažno plačilno povezavo in v eni noči generiral 116 rezervacij. Gostom je prek povezave pošiljal zahteve za podatke kreditnih kartic in poskušal plačila preusmeriti na svoj račun. Zasebna ponudnica nastanitev Lana Škuflić je ugotovila, da se njen objekt oglašuje na Bookingu, čeprav platforme sploh ne uporablja. Gost jo je poklical, ker je njeno hišo videl po zelo ugodni ceni. Na platformi so našli lažen oglas z njenimi fotografijami. Predsednica Združenja družinskih nastanitev Istrske županije Lorena John je za HRT dejala, da platforme lažne oglase odstranjujejo, a se novi pojavljajo hitreje, kot jih uspejo pobrisati.
Obe zgodbi je ta teden objavila HRT, a mehanizem napada ni nov. Združenje sobodajalcev Slovenije je že aprila objavilo analizo napadalnih tehnik. Napadalci ne vdirajo v centralne strežnike platforme. Ciljajo posamezne ponudnike. Na elektronski naslov sobodajalca pošljejo sporočilo, ki vizualno posnema uradno Bookingovo komunikacijo, denimo z zadevo o pritožbi gosta ali blokadi računa. Povezava vodi na lažno prijavno stran. Ko sobodajalec vnese prijavne podatke, napadalci prevzamejo njegov partnerski portal Extranet, od tam pa vidijo vse aktivne in prihodnje rezervacije ter kontaktne podatke gostov. Gostom nato prek uradnega Bookingovega klepeta ali WhatsAppa pošljejo zahtevo za potrditev plačila. Sporočilo navaja točne datume bivanja in ime nastanitve, zato ga večina ne prepozna kot prevaro.
Booking.com v splošnih pogojih sodelovanja odgovornost za takšne napade zavrača. Platforma trdi, da varnostna vrzel ni nastala v centralnem sistemu, temveč pri končnem uporabniku, ki je nasedel phishing prevari in ni ustrezno zavaroval svojih prijavnih podatkov. Odškodninskega zahtevka gosta zato ne prevzame. Gost, ki je bil ogoljufan prek sporočila z uradnega profila nastanitve, bo vračilo terjal od sobodajalca. Združenje sobodajalcev opozarja, da so ponudniki v tem primeru izpostavljeni civilnim odškodninskim zahtevkom, ukrepom tržnih inšpektoratov, pa tudi začasni suspenziji profila, ki vpliva na prihodke v sezoni.
Booking Holdings pobira provizijo, ki pri zasebnih nastanitvah tipično znaša 15 do 18 odstotkov vrednosti rezervacije. Za to provizijo platforma posreduje med gostom in ponudnikom, obdeluje plačila in zagotavlja vidljivost na iskalniku. Prijavnih podatkov svojih partnerjev pa ne ščiti. Ne ponuja obveznega dvostopenjskega preverjanja ob prijavi v Extranet, temveč ga le priporoča. Ne nosi stroškov, kadar napadalec zlorabi njeno lastno komunikacijsko infrastrukturo za prevaro gosta. Platforma zadrži skoraj petino prihodka od vsake rezervacije. Finančne posledice napada nosi sobodajalec.
Booking bi temu oporekal, da je phishing problem celotnega interneta, ne le ene platforme, in da vlagajo v zaščito. CEO Glenn Fogel je ob objavi rezultatov za 2025 poudaril integracije umetne inteligence v procese za pomoč strankam, ki so znižale stroške servisiranja. Podjetje vlaga v generativno AI za personalizacijo in konverzijo. A to ni isto kot zaščita partnerjev pred prevzemi računov. Booking je lani za marketing namenil 8,2 milijarde dolarjev. Koliko je namenil za varnost partnerske infrastrukture, iz javno dostopnih podatkov ni razvidno.
V Sloveniji množičnih vdorov v račune sobodajalcev za zdaj ne zaznavajo. Združenje sobodajalcev opozarja na posamične primere, val pa je zaenkrat izrazitejši na Hrvaškem. Toda meja med hrvaškim in slovenskim turističnim trgom je za napadalce nepomembna. Ponudniki oglašujejo na obeh trgih prek istih platform, phishing infrastruktura pa se seli med državami brez ovir. Slovenijo je leta 2025 obiskalo skoraj 7 milijonov turistov, ki so ustvarili več kot 17,8 milijona prenočitev, šest odstotkov več kot leto prej. Rast skoraj v celoti prihaja iz tujine, z njo pa raste tudi število potencialnih tarč.
SI-CERT je maja 2026 zaznal ločen obsežen phishing napad prek lažnih SMS in iMessage sporočil, ki so prejemnike nagovarjala v imenu slovenske policije z zahtevo za plačilo kazni za prometni prekršek. Phishing napadi v letu 2026 so po ocenah mednarodnih strokovnjakov bolj prepričljivi kot v preteklosti, ker napadalci za pripravo besedil uporabljajo generativno umetno inteligenco. Slovnične napake, ki so bile nekoč zanesljiv znak prevare, izginjajo.
OTP banka je 21. maja opozorila na pojav fantomskih apartmajev, lažnih oglasov s profesionalnimi fotografijami in cenami, ki so opazno nižje od primerljivih nastanitev. Ponudniki zahtevajo takojšnje predplačilo. Apartma v resnici ne obstaja.
Preberite več:
Na Hrvaškem bo od 1. januarja 2027 za vse nastanitvene enote obvezna registracijska številka, ki bo turistom omogočala preverjanje dejanskega lastnika. V Sloveniji se izvaja moratorij na novi zakon o gostinstvu do konca leta 2026, interventni zakon nove koalicije začasno oživlja stari zakon, podzakonski akti novega pa niso pripravljeni. Evropska uredba o zbiranju podatkov o kratkoročnih najemih bi morala veljati od 20. maja 2026, a v Sloveniji ni ustrezno implementirana. Združenje sobodajalcev opozarja, da več kot 4.000 slovenskim ponudnikom grozi onemogočeno oglaševanje na platformah, ker država ni vzpostavila potrebnih digitalnih vmesnikov.
Združenje sobodajalcev priporoča takojšnji vklop dvostopenjskega preverjanja za dostop do Extraneta ter opozorilo gostom v avtomatskem pozdravnem sporočilu, da nastanitev nikoli ne zahteva plačil prek zunanjih povezav ali WhatsAppa. Oboje zmanjša tveganje za posameznega ponudnika. Na vprašanje, zakaj platforma, ki na posredovanju zasluži milijarde, varnostno breme prepušča ponudnikom, pa dvostopenjsko preverjanje ne odgovori.
SI-CERT je v letu 2025 obravnaval 1.995 phishing primerov. Povprečno oškodovanje je znašalo 46.000 evrov. Booking Holdings je v istem letu na nočitev zaslužil povprečno 22 dolarjev prihodka. Sobodajalec s petimi sobami, ki ga doleti prevzem Extraneta, teh 22 dolarjev ne bo rešilo.
