Lipiec i sierpień to czas wzmożonych rezerwacji, gorączkowych poszukiwań last minute oraz… wyjątkowo rozgrzanych do czerwoności baz danych przestępców. CERT Polska zwraca uwagę, że w szczycie sezonu zgłoszenia dotyczące „oszustwa na booking” rosną nawet o 30 proc. względem innych miesięcy.
Łatwo tu o krótkie spięcie zdrowego rozsądku: presja ceny, ograniczony czas i obietnica „ostatniego wolnego terminu” sprawiają, że klikamy w linki i przelewamy zadatek, zanim zdążymy pomyśleć.
Phishing urlopowy spod znaku „dział HR”
Popularna sztuczka polega na wysłaniu pracownikowi maila podszywającego się pod kadrę. Wiadomość zachęca do wypełnienia wniosku urlopowego – kliknięcie kieruje jednak do fałszywej strony logowania Microsoft 365. Według raportu CERT Polska za 2024 r. phishing stanowił ponad 72% wszystkich incydentów zgłoszonych w kraju. 
Jeżeli cyberprzestępca przejmie twoje korporacyjne dane, zyskuje wejście na firmowy OneDrive, pocztę i systemy płatności – a to prosta droga do poważnych strat finansowych i reputacyjnych. Rozwiązaniem jest zasada zero-trust: nigdy nie klikaj linku z maila, jeśli nie zweryfikujesz nadawcy z firmową książką adresową lub bezpośrednim telefonem do HR.
Fałszywe ogłoszenia wynajmu apartamentów i domów
Przestępcy kopiują autentyczne oferty z popularnych serwisów, zmieniają dane kontaktowe i kuszą ceną „tylko dziś”. Policja alarmuje, że zaledwie w lipcu 2024 zgłoszono kilkaset przypadków tzw. oszustwa na kwaterę.
Międzynarodowe dane ACFE pokazują podobny trend na świecie – największe straty ponoszą osoby, które płacą przelewem lub krypto, bo transakcje są nieodwracalne.
Zakulisowy mechanizm jest prosty: ofiara dostaje numer rachunku zagranicznego i presję czasu („mam jeszcze trzech chętnych, kto pierwszy, ten lepszy”). Aby zdemaskować przekręt, wykonaj dwa kroki: sprawdź właściciela nieruchomości w ewidencji gruntów (geoportal.gov.pl) lub w księdze wieczystej online oraz zapytaj o możliwość płatności kartą – prawdziwy właściciel nie powinien mieć z tym problemu.
Ulotki spod drzwi – „fałszywa pizza” i inne hotelowe sztuczki
Scenariusz wygląda niewinnie: wracasz z plaży, pod drzwiami leży kolorowa ulotka lokalnej pizzerii. Dzwonisz, podajesz dane karty z myślą o pepperoni w kwadrans, a w zamian serwujesz przestępcy numer CVV i limit kredytowy. European Consumer Centre odnotował niedawno falę zgłoszeń związanych z fałszywymi telefonami podszywającymi się pod lokale gastronomiczne.
Zanim cokolwiek zamówisz, wpisz nazwę restauracji w Google Maps, zadzwoń na recepcję hotelu albo poproś o potwierdzenie istnienia restauracji.
Bezpieczne płatności i natychmiastowe reakcje
Lepiej zapobiegać niż odzyskiwać, ale jeśli już musisz przekazać środki właścicielowi, postaw na kartę kredytową (chargeback) lub PayPal. Po każdym podejrzanym mailu czy rozmowie z zachodnią infolinią rezerwacyjną zmień hasło i włącz 2FA. Jeżeli czujesz, że padłeś ofiarą, zablokuj kartę w banku i złóż zawiadomienie online na stronie policja.pl – im szybciej, tym większa szansa na blokadę środków.
Co zrobić, gdy padniesz ofiarą?
Po pierwsze, zachowaj wszystkie e-maile, potwierdzenia przelewów i historię rozmów – to kluczowy materiał dowodowy. Po drugie, zgłoś incydent w CERT Polska (incydent@cert.pl) oraz w najbliższej jednostce policji.
Po trzecie, poinformuj bank; część instytucji ma wewnętrzne procedury stop payment, które można uruchomić w ciągu kilku godzin. Wreszcie – ostrzeż innych, publikując opinię na forach i w social media (ale bez udostępniania swoich danych).
Według danych Action Fraud straty ujawnione w ciągu 48 godz. udaje się odzyskać w ponad 40% przypadków.
FAQ
Jak rozpoznać fałszywe ogłoszenie wynajmu apartamentu?
Adres e-mail bez domeny serwisu, presja czasu, brak możliwości płatności kartą i niezgodność danych właściciela w ewidencji gruntów to sygnały alarmowe.
Czy przelew zagraniczny jest bezpieczny przy rezerwacji noclegu?
Nie. W przypadku oszustwa odzyskanie środków jest praktycznie niemożliwe – wybieraj kartę kredytową lub system escrow serwisu rezerwacyjnego.
Jak zweryfikować e-mail od działu kadr z prośbą o wniosek urlopowy?
Sprawdź dokładny adres nadawcy, porównaj domenę z firmową i skontaktuj się z HR innym kanałem (np. telefon służbowy).
Co zrobić, gdy padnę ofiarą wakacyjnego oszustwa?
Zablokuj płatność, zabezpiecz dowody, zgłoś incydent do CERT Polska i policji, zmień hasła i włącz 2FA.
Gdzie zgłosić cyberprzestępstwo w Polsce?
Najprościej przez lokalną komendę policji lub formularz na incydent.cert.pl; w sprawach transgranicznych pomaga ECC-Net.
Czytaj też: Jak w 2025 r. efektywnie oszczędzać na emeryturę
