Podvodníci ovládli účty hotelů na Booking.com a píšou hostům jejich jménem. Lidé pak platí, ale netuší komu

Útočníci se nabourávají do skutečných účtů hotelů na Booking.com a rozesílají z nich hostům zprávy o „doplatku“ či „ověření karty“. Oběti jim platí.

Zdroj fotografie: DerbySoft

Máte zarezervovaný hotel v Chorvatsku, do odjezdu zbývá pár dní a v aplikaci Booking.com vám přijde zpráva od ubytování. Správný název hotelu, přesný termín pobytu, odpovídající cena. Ve zprávě stojí, že je potřeba znovu potvrdit platební kartu, jinak bude rezervace zrušena. Kliknete tedy na odkaz, zadáte údaje a peníze odejdou někomu, koho jste nikdy neviděli. Přesně takhle funguje kampaň, před kterou v červnu 2026 varoval polský NASK / CERT Polska a na kterou reagoval i samotný Booking.com vlastním bezpečnostním upozorněním z 5. 6. 2026. Nejde o klasický phishing s podvrženým logem. Útočníci se dostanou přímo do administrace některých hotelů na platformě, a proto zpráva přichází v existující konverzaci k vaší rezervaci. Běžné varovné signály? Divná e-mailová adresa, špatná čeština anebo neznámý odesílatel – tady selhávají.

Podvodníci zneužívají zaměstnance hotelů

Celý řetězec začíná u hotelového personálu. Microsoft ve své analýze kampaně označené jako Storm-1865 popsal, jak útočníci rozesílají zaměstnancům hotelů a cestovních agentur e-maily, které se tváří jako oficiální komunikace od Booking.com. Obsah bývá různý – falešná stížnost hosta, výzva k ověření účtu nebo upozornění na bezpečnostní aktualizaci. Po kliknutí následuje buď falešná přihlašovací stránka, nebo instalace malwaru, který z počítače odcizí přihlašovací údaje.

CERT Polska navíc analyzoval malware šířený prostřednictvím podvržené stránky s aktualizací aplikace Booking Pulse, kterou hoteliéři běžně používají. Jakmile útočníci získají přihlašovací údaje, dostanou se do partnerského panelu hotelu. Od té chvíle vidí všechny aktivní rezervace – jména hostů, termíny pobytů, částky i kontaktní údaje. A mohou hostům psát přímo z účtu hotelu.

Booking.com situaci nepodceňuje. Partnerům doporučuje zapnout dvoufaktorové ověření právě pro případ, že unikne uživatelské jméno a heslo. Pokud ale hotel dvoufaktorové ověření nepoužívá, útočník se může do účtu přihlásit bez dalších překážek.

Zpráva vypadá věrohodně

Klasický phishing často poznáte podle podezřelé adresy odesílatele nebo kostrbatého jazyka. Tady nic z toho nefunguje. Zpráva přichází z kompromitovaného účtu skutečného hotelu, v navázané konverzaci k vaší rezervaci, a obsahuje přesvědčivé detaily – název ubytování, termín pobytu i cenu. NASK uvádí, že podvodná zpráva může obsahovat dokonce i podpis hotelu.

Situaci navíc zkomplikoval dubnový bezpečnostní incident. Booking.com v dubnu 2026 potvrdil neoprávněný přístup k části rezervačních údajů, včetně informací o pobytech a komunikaci s ubytováním. Společnost následně resetovala dotčené přístupové údaje a informovala postižené uživatele. Útočníci tak mohou kombinovat dva zdroje – převzaté hotelové účty a uniklá data o rezervacích. Výsledkem je zpráva, kterou běžný host prakticky nemá šanci odlišit od legitimní komunikace, pokud neví, na co si dát pozor.

Právě načasování dělá tento podvod tak účinným. Zpráva přijde ve chvíli, kdy cestovatel komunikaci od hotelu skutečně očekává – několik dní před příjezdem, kdy dávají poslední instrukce před ubytováním smysl.

Pět znaků, podle kterých podvod poznáte

Samotný komunikační kanál už není důkazem pravosti, bohužel. Existuje ale několik varovných signálů:

• Časový nátlak. Zpráva tvrdí, že bez okamžité platby bude rezervace zrušena. Legitimní hotel obvykle poskytne dostatek času.
• Požadavek neodpovídá rezervaci. Porovnejte žádost o doplatek s platebními podmínkami v potvrzení rezervace. Pokud jste už zaplatili a najednou máte znovu „doplatit“, něco není v pořádku.
• Odkaz vede mimo Booking.com. Zkontrolujte doménu odkazu. Legitimní platby probíhají prostřednictvím Booking.com, nikoliv přes zkrácené URL nebo neznámé weby.
• Požadavek na zaslání údajů o kartě přes telefon, SMS nebo e-mail. Booking.com uvádí, že legitimní transakce nikdy nevyžadují sdělení platebních údajů těmito kanály.
• Komunikace se přesouvá jinam. Pokud vás „hotel“ přesměrovává na WhatsApp, SMS nebo externí platební aplikaci, jde téměř jistě o podvod.

Důležité pravidlo: při jakýchkoli pochybnostech nikdy neklikejte na odkaz ve zprávě. Otevřete si rezervaci přímo v aplikaci nebo na webu Booking.com a ověřte, zda se stejný požadavek zobrazuje i tam. Případně kontaktujte hotel prostřednictvím oficiálního telefonního čísla uvedeného v rezervaci.

Co dělat, když už jste zaplatili

Pokud jste údaje zadali nebo peníze odeslali, jednejte rychle. Prvním krokem je okamžitě kontaktovat banku, požádat o zablokování platební karty a zahájení procesu chargeback. Evropská komise doporučuje nejprve kontaktovat banku, poté platformu a nakonec policii.

Booking.com při řešení podvodných plateb obvykle požaduje výpis z banky, číslo rezervace a PIN rezervace. Pokud platbu zpracovával přímo Booking.com, může společnost peníze vrátit sama. Pokud platbu zpracovávalo ubytovací zařízení, Booking.com se podle svých pravidel pokusí situaci řešit s poskytovatelem ubytování, automatický nárok na vrácení peněz však z veřejně dostupných podmínek nevyplývá.

Pozice oběti je výrazně slabší zejména tehdy, pokud peníze odešly mimo platformu. Booking.com ve svém průvodci podvody u rekreačních pronájmů přímo uvádí, že platby bankovním převodem, v hotovosti nebo prostřednictvím externích platebních aplikací mají minimální nebo žádnou ochranu. Platba kartou přes oficiální platební bránu alespoň dává šanci na úspěšný chargeback.

Týká se to i českých cestovatelů?

Ve veřejných výstupech NÚKIB ani CSIRT.CZ jsme k 29. 6. 2026 nenašli samostatné varování zaměřené přímo na podvody přes Booking.com. To ale neznamená, že české úřady problém nesledují. NÚKIB dlouhodobě upozorňuje na phishing a smishing a pravidelně zveřejňuje přehledy kybernetických incidentů. Veřejně potvrzený český případ z této konkrétní vlny se nám nepodařilo dohledat.

Riziko je ale pro české cestovatele stejně reálné jako pro polské nebo britské. Booking.com patří mezi nejpoužívanější rezervační platformy v Česku a mechanismus útoku není závislý na národnosti hosta ani hotelu. Stačí aktivní rezervace a ubytování, jehož účet útočníci převzali. Pro představu – britský Action Fraud evidoval mezi červnem 2023 a zářím 2024 celkem 532 oznámení podobných rezervačních podvodů se škodou přes 11 milionů korun.

Booking.com zůstává bezpečnou a běžně používanou platformou. Problém není v tom, že by ji nešlo bezpečně používat, ale v tom, že samotná zpráva od hotelu už není automatickým důkazem, že skutečně píše hotel. Jedinou spolehlivou obranou je porovnat každou žádost o platbu s podmínkami uvedenými v rezervaci a nikdy neplatit prostřednictvím odkazu, který jste si sami neověřili.