K
KKalkulator.Place
Kalkulator
Nazad
HrvatskaHrvatska
Blog
CtrlK
← Nazad na blog
  1. Hrvatska
  2. /
  3. Blog
  4. /
  5. Lažne platforme za rezervacije: kako prevaranti kopiraju Booking.com i uzimaju novac
Objavljeno 30. svibnja 2026.·Aron Balog

Lažne platforme za rezervacije: kako prevaranti kopiraju Booking.com i uzimaju novac

Microsoft identificirao aktivnu kampanju od prosinca 2024., UK Action Fraud bilježi 532 žrtve s £370.000 gubitaka — putne prijevare rastu 12% godišnje.

Osoba drži papir s natpisom scam alert ispred laptopa
Osoba drži papir s natpisom scam alert ispred laptopa

Zamislite ovo: rezervirali ste stan u Splitu za tjedan dana, platili unaprijed 800 eura, dobili potvrdu s fotografijama i adresom. Stignete u Split, pronađete adresu — zgrada postoji, ali vlasnik nikad nije čuo za vas. Novac je nestao. Cijeli listing bio je izmišljotina na stranici koja je izgledala identično Booking.comu.

Britanski Action Fraud zabilježio je između lipnja 2023. i rujna 2024. godine 532 prijave ovakvih putnih prijevara, s ukupnim potvrđenim gubicima od 370.000 funti. Mastercard upozorava da su putne prijevare globalno porasle 12% u 2024., a u popularnim destinacijama za sezonskih vrhunaca rast dostiže 28 posto. Hrvatska — s Dubrovnikom, Splitom i Hvarom na vrhu europskih bucket lista — neizbježno je na radaru prevaranata.

Anatomija lažnog Booking.coma

Prijevara funkcionira na nekoliko razina ozbiljnosti. Najjednostavnija je lažna stranica — vizualni klon legitimne OTA platforme (Online Travel Agency) s identičnim izgledom, logom i korisničkim sučeljem, ali s drugačijim domenskim imenom. Prevarant registrira domenu poput "booking-secure-pay.com" ili "bookinghotels-official.net", popuni je ukradenim fotografijama nekretnina i postavi lažne listinge. Gost plati, potvrda stigne e-mailom, ali nekretnina ne postoji ili je rezervirana kod sasvim drugog vlasnika.

Sofisticiranija varijanta uključuje plaćene oglase u tražilicama. Microsoft Threat Intelligence identificirao je u prosincu 2024. aktivnu phishing kampanju koja koristi sponzorirane Google i Bing rezultate za preusmjeravanje korisnika na lažne domene. Korisnik pretražuje "hotel Split booking", klikne na prvi (plaćeni) rezultat koji vizualno izgleda legitimno — ali vodi na klon. Stranica zatraži prijavu, ukrade credentials, i napadač može pristupiti pravom Booking.com računu žrtve.

Kako phishing napad na rezervacijske platforme funkcionira korak po korak Tok phishing napada — korak po korak Gost pretražuje hotel Klik na oglas (lažna domena) Unos lozinke — ukradena Napadač pristupa pravom računu Rezervacija ili uplata na lažnom listingu Novac nestaje. Stan ne postoji. Povrat: neizvjestan. Izvor: Microsoft Security Blog / Action Fraud UK 2024–2025.

ClickFix: tehnika koja zaobilazi sigurnosne navike

Microsoft je u izvješću iz ožujka 2025. opisao specifičnu tehniku korištenu u ovoj kampanji: tzv. "ClickFix". Žrtva otvori lažnu stranicu koja prikazuje poruku o grešci ili zahtjev za verifikacijom i traži korisnika da klikne na "Fix" gumb ili izvrši određenu radnju u pregledniku. Ta radnja zapravo pokreće malware koji krade lozinke, session cookie-je i pristup ekranu.

Ono što je osobito opasno u ClickFix tehnici jest da zaobilazi automatiziranu detekciju. Malware nije direktno u prilogu e-maila koji antivirusni softver skenira — korisnik ga sam "instalira" klikom, što čini detekciju znatno težom. Kampanja je bila aktivna od studenog 2024., vrhunac dostigla u ožujku 2025. (47% ukupnih napada zabilježenih u toj kampanji) i ciljala je hotelijerski sektor kao primarnu metu.

Lažni listinzi i nekretnine koje ne postoje

Uz phishing kampanje koje ciljaju hotele i OTA platforme, postoji i specifična varijanta koja cilja iznajmljivače i goste direktno. Napadač kompromitira legitimni hotelski ili iznajmljivački račun na Booking.comu, mijenja platne podatke i šalje autentično izgledajuće poruke gostima koji su napravili pravu rezervaciju. Poruka dolazi s legitimne Booking.com adrese i sadrži točne detalje rezervacije — jer napadač ima pristup pravom sustavu.

Booking.com je u travnju 2026. potvrdio kršenje podataka u svojem supply chainu koje je izložilo rezervacijske podatke gostiju — upravo vrstu informacija (ime gosta, hotel, datum dolaska, iznos) koje phishing porukama daju visoku razinu vjerodostojnosti. Kad poruka navodi točan hotel, točan datum i točan iznos koji ste platili, razina opresa dramatično pada.

Istraga Which? iz 2024. dokumentirala je stotine slučajeva u kojima su putnici platili lažne listinge samo da bi na odredištu pronašli ili nepostojeće nekretnine ili zatečene vlasnike koji nisu znali za rezervacije.

Kako prepoznati lažnu platformu

Ne postoji jedno obilježje koje je uvijek prisutno, ali kombinacija signala je otkrivajuća.

Domensko ime je presudno: Booking.com je isključivo booking.com. Svaka varijacija — booking-hotels.com, bookingcom-secure.net, booking.co.hr — je lažna. Provjerite URL bar, ne samo vizualni identitet stranice. Browseri prikazuju pravi URL i to je jedina mjerodavna informacija.

SSL certifikat nije garancija: Lažne stranice imaju HTTPS i lokot u browseru. To znači samo da je komunikacija šifrirana između vašeg računala i lažne stranice — ne da je stranica legitimna. Prevaranti registriraju SSL certifikate jednako lako kao i domene.

Metoda plaćanja otkriva namjeru: Legitimne OTA platforme naplaćuju karticom kroz sigurni payment gateway koji nudi zaštitu kupca. Svaki zahtjev za plaćanjem bankovnim transferom, PayPal Friends & Family (bez zaštite kupca) ili kriptovalutama je jasna crvena zastavica.

Četiri crvene zastavice koje otkrivaju lažne rezervacijske platforme Crvene zastavice lažnih rezervacijskih stranica 1 Domensko ime nije točno booking-secure.com nije booking.com 2 Zahtjev za bankovnim transferom Legitimne platforme ne traže transfer 3 Cijena daleko ispod tržišne Dubrovnik u kolovozu za 45€? Upitno. 4 Pritisak i lažna hitnost "Rezervacija istječe za 15 min"

Booking.com breach i što dolazi dalje

Kršenje podataka Booking.coma potvrđeno u travnju 2026. posebno je zabrinjavajuće jer je napadačima dalo upravo ono što je potrebno za visoko personalizirane phishing napade. Podaci koji su izloženi — ime, hotel, datum, iznos — dovoljni su za kreiranje prijevarnih poruka koje prolaze kroz sve uobičajene "zdravi razum" provjere korisnika.

Euroconsumers je prikupio tisuće prijava od europskih potrošača koji su iskusili razne varijante Booking.com prijevara. Zajednički obrazac: korisnik prima poruku putem legitimnih kanala (e-mail, WhatsApp, platforma) s molbom za direktnu uplatu ili reautorizacijom kartice. Poruka sadrži točne podatke rezervacije. Korisnik plati. Novac nestaje.

Što napraviti ako ste žrtva

Brzo reagiranje drastično povećava šanse za povrat novca. Kontaktirajte svoju banku ili kartičarsku kuću odmah — chargeback procedure imaju rokove koji se kreću od 60 do 120 dana od transakcije, ovisno o banci i tipu kartice. Prijavite incident policiji, HANFA-i ili direktno putem europske platforme za online rješavanje sporova. Prijavite lažnu stranicu Googleu (Google Safe Browsing report) i samoj platformi koju imitira.

Ako koristite kreditnu karticu (ne debitnu), imate snažniju zaštitu — kreditne kartice u EU imaju chargeback zaštitu za neisporučene usluge. Debitne kartice imaju slabiju poziciju jer su sredstva već izašla s računa.

Svaka poruka od "hotela" s molbom za direktnu uplatu trebala bi pokrenuti neovisnu provjeru — telefonski poziv direktno na hotel, broj nađen neovisno, ne iz same poruke. To jest, ako ste dobili poruku od hotela, ne zovite broj koji piše u poruci — nađite broj iz neovisnog izvora.

Izvori i dodatno čitanje

  • Microsoft Security Blog: Phishing Campaign Impersonates Booking.com (March 2025)
  • Booking.com Breach: Hackers Got Your Name, Travel Plans — State of Surveillance (2026)
  • Fake Listings and Phishing Emails: How Travellers Lost Hundreds — Euronews (2025)
  • Booking.com Partners and Customers Hit by Phishing — Bitdefender
  • Booking.com Breach Gives Scammers What They Need — Malwarebytes 2026
  • Form Fraud on Booking.com — Euroconsumers

Više članaka

  • dark webcybersecurity

    Što je zapravo dark web: mit vs. stvarnost

    30. svibnja 2026.

  • cybersecurityPMS

    Kako hakiraju sustave za upravljanje hotelima: od recepcije do svake sobe

    30. svibnja 2026.

  • cybersecurityhoteli

    Sezone i hakiranja: zašto hoteli u srpnju imaju tri puta više sigurnosnih incidenata

    30. svibnja 2026.

KKalkulator.Place

Besplatni kalkulatori plate za Hrvatsku, BiH i Srbiju.

Ažurirano za 2026

Kalkulatori

  • Hrvatska
  • Bosna i Hercegovina
  • Srbija

Korisno

  • Bruto u neto
  • Neto u bruto
  • Poreske stope
  • Minimalna plata
  • Olakšice za djecu
  • Blog

Pravno

  • Politika Privatnosti
  • Politika kolačića
  • Uvjeti korištenja
  • O nama
  • Kontakt

© 2026 Kalkulator.Place. Sva prava pridržana.

hr·bs·sr·en·it·fr·de

Kalkulator
Nazad
Blog