עוקץ דרך אתר בוקינג: "נוכלים משתמשים באפליקציה כדי להונות לקוחות"

מי שעדיין משתעשע במחשבה שהפרטיות שלו מוגנת תחת חומות האש של תאגידי הענק, מוזמן להציץ בציוץ הוויראלי של קוונטין אנדרה. מה שהתחיל כהודעת ווטסאפ שגרתית "מהמלון" שבו הוזמנה החופשה דרך Booking.com, התגלה מהר מאוד כגרסה הדיגיטלית של סרט אימה: הנוכלים כבר לא מגששים באפלה עם הבטחות לירושות מנסיכים ניגרים; הם מחזיקים ביד את תעודת הזהות של החופשה שלכם. שם המלון, התאריכים המדויקים והסכום הסופי היו שם – אבל היושרה נעדרה מהאירוע.

Things are about to get real scary.

I got a WhatsApp message about a hotel reservation I made onhttps://t.co/OdeYaFmoQ3. They have my correct hotel name, correct dates, correct amount, everything. They ask me to confirm my CC details, without which they'll cancel my res.pic.twitter.com/TSJ0FQl0AV

— Quentin André (@andre_quentin)May 10, 2026

הציוץ ששיתף אנדרה בסוף השבוע האחרון בחשבון ה-X שלו וצבר עד כה למעלה מ-1.8 מיליון צפיות, הוא לא רק סיפור על לקוח ערני שזיהה דומיין מזויף שהתחזה לבוקינג רגע לפני שהאשראי שלו נשדד, הוא קריאת השכמה לפעול ביתר זהירות כשמדובר בפלטפורמות שלא תמיד מצליחות להציב מספיק הגנות מול האקרים שהולכים ונעשים מתוחכמים יותר ויותר.

"הדברים עומדים להפוך למפחידים באמת", כתב אנדרה, והוא צודק. כשרמת הפירוט של ההונאה מגיעה לרזולוציות כאלו, כבר לא מדובר רק בניחוש מוצלח זו זליגת נתונים מסוכנת. הציוץ הפך במהרה למוקד של סערה דיגיטלית עם מאות תגובות כשגולשים רבים שיתפו בחוויות דומות מול Booking ומול חברות דומות. חלקם זיהו את העוקץ בזמן, אך רבים אחרים הודו כי נפלו בפח ושילמו מחיר כבד (תרתי משמע).

הלקוחות זועמים: "זה קורה כבר שנים"

בין מאות התגובות, בלטו טענות על הזנחה רבת שנים מצד הפלטפורמה. "בוקינג מאלצת את כל התקשורת לעבור דרך פלטפורמת ההודעות הלא מאובטחת שלה", כתב גולש אחד והוסיף וטען: "הם גם מוכרים גישה לחברות צד שלישי, מה שמקל עוד יותר על הגישה לפרטים שלכם. התחקיתי אחרי מקרה כזה שהוביל לחברת נסיעות פיקטיבית בהונג קונג שמשתפת פעולה עם האתר". גולש אחר הוסיף כי הבעיה אינה חדשה: "זה קורה כבר שנים. הנוכלים משתמשים בהודעות בתוך האפליקציה של בוקינג עצמה כדי להונות לקוחות".

החשדות לגבי מקור הזליגה הופנו גם פנימה אל תוך שרשרת התפעול של החברה. "זה יכול להיות גם עובד מתוך המערכת", טען אחד המגיבים, כשאחרים מחזקים את דבריו ומוסיפים: "זו לא תהיה הפעם הראשונה השנה שהאקרים מציעים כסף לעובדים תמורת פרטים ספציפיים. עובדים בדרג נמוך עם שכר נמוך הם מטרה קלה לסחיטת מידע כזה".

מנגד, היו שציינו כי החוליה החלשה היא לעיתים המלון עצמו: "בדרך כלל המלון הוא זה שנפרץ. יש להם סיסמאות גרועות לחשבון הבוקינג שלהם ואז מישהו פשוט שולח לכם הודעה כאילו הוא המלון". אחרים הוסיפו שאולי הבעיה היא במייל של אנדרה עצמו או בהגדרות האבטחה שלו, אך מכיוון שרבים אחרים שיתפו בסיפורים דומים וידוע שכבר הייתה פריצה למערכות בוקינג רק לפני חודש, הטיעון הזה לא הצליח לשכנע את מרבית המגיבים.

מבחינת רבים האירוע הזה הוא לא תקלה טכנית נקודתית - הוא סימפטום של משבר אמון עמוק ובעיה שצריכה להיות מטופלת מהשורש כדי שלא תשנה. באפריל 2026 כבר פורסם ב-BBC כי Booking.comנפלה קורבן לגל של "חטיפת הזמנות". דארן גוצ'יון, מנכ"ל קיפר סקיוריטי, הסביר אז כי המהירות שבה המידע הגנוב מתורגם למתקפות פישינג מעידה על איום מאורגן ומתוחכם, אך נראה שהתסכול המרכזי של הגולשים נובע מחוסר האונים מול המערכת. "זה קרה גם לי", שיתף גולש נוסף, "וכשסיפרתי לבוקינג לא היה יכול להיות להם פחות אכפת מזה. פשוט מחקתי את החשבון שלי ולא השתמשתי בהם מאז", סיכם בכעס.

מטעםBooking.com נמסר:"אם לקוח מקבל הודעת תשלום שנראית לו חשודה או מעוררת אצלו ספק, אנחנו ממליצים קודם כל לבדוק את מדיניות התשלום שמופיעה באישור ההזמנה. עסקה לגיטימית לא תדרוש מלקוחות למסור פרטי כרטיס אשראי בטלפון, בדוא"ל או בהודעת טקסט, כולל בוואטסאפ, ולא תבקש לבצע העברה בנקאית שאינה תואמת את תנאי התשלום שמופיעים בהזמנה. בנוסף, באישור ההזמנה ובצ'אט שלנו מופיעה תזכורת לדווח על הודעות תשלום חשודות, כדי שנוכל לבדוק ולטפל בהן בהתאם".