Certo dia, Isabel Wagner recebeu um email de um cibercriminoso se passando pelo hotel que ela havia acabado de reservar. Mas é pouco provável que o golpista soubesse quem ela era.
Wagner é professora de cibersegurança da Universidade da Basileia, na Suíça. Ela dedicou sua carreira a pesquisar como manter a privacidade dos dados pessoais. E, com estes antecedentes, ela não seria um alvo fácil.
"Parabéns pela sua nova reserva", dizia o e-mail. "Para garantir a confirmação da sua reserva com sucesso, siga para a próxima etapa, clicando no link fornecido."
"Para proteger sua reserva, o sistema reserva temporariamente os fundos que serão solicitados no check-in. Asseguramos que esses fundos serão usados apenas para garantir sua reserva e o pagamento será cobrado na sua chegada."
A mensagem parecia vir do sistema do portal Booking.com, que ela havia usado para reservar o hotel, e incluía a logo do Booking.com. Mas, ainda assim, Wagner não ficou convencida.
O e-mail não se dirigia a ela nominalmente. O link incluído na mensagem não era do Booking.com – e não podia ser clicado, ou seja, ela precisaria copiar e colar o link no navegador para ter acesso.
Além disso, ela havia recebido um alerta assim que fez sua reserva original no Booking.com: "salientamos que nunca enviamos a você... solicitações de pagamento com QR code e/ou link", dizia o e-mail que, realmente, era verdadeiro.
"Se você receber qualquer mensagem sobre este assunto, favor ignorá-la, manter seus detalhes e informações particulares em confidencialidade e entrar em contato com o setor de atendimento ao cliente do Booking.com", prosseguia a mensagem.
Nem é preciso contar que Wagner não copiou e colou aquele link – e conseguiu não perder dinheiro. Mas nem todos têm a mesma sorte.
Leia: Ainda dá para confiar em passagem e hospedagem baratas? Especialistas dizem
A BBC News noticiou recentemente que hackers vêm atacando cada vez mais empresas usuárias do site Booking.com.
Primeiro, eles enviam aos hotéis um e-mail de phishing (roubo de dados). Eles fazem com que os funcionários cliquem em um link que instala um programa de malware nos computadores do hotel e procura os clientes com reservas pelo Booking.com.
Em seguida, os hackers enviam e-mails diretamente para esses clientes, como aconteceu com Wagner. E os eventuais pagamentos, é claro, vão para os hackers e não para o hotel.
O golpe está pagando "sérios dividendos", segundo contou à BBC um especialista de inteligência em ameaças cibernéticas.
Este é mais um dentre centenas de golpes praticados todos os anos contra as pessoas que viajam. Os casos variam de turistas que chegam ao imóvel alugado pelo Airbnb e descobrem que ele não existe até passagens áreas que desaparecem antes do check-in.
Em 2022, a Comissão Federal de Comércio dos Estados Unidos (FTC, na sigla em inglês) recebeu mais de 55.330 denúncias de fraudes de viagem, incluindo imóveis em compartilhamento temporário, ou timeshare. Os prejuízos somam US$ 49 milhões (cerca de R$ 242 milhões).
Uma pesquisa entre 7 mil pessoas de sete países, da empresa de software de segurança McAfee, concluiu que um em cada três viajantes já sofreu algum tipo de golpe ou conhece alguém que tenha sido lesado. E um terço deles perdeu US$ 1 mil (cerca de R$ 4,9 mil) ou mais antes mesmo do início das férias.
Leia: Casal que deu golpes com pacotes de viagens em BH é indiciado
Se você estiver comprando uma passagem, reservando um hotel ou a caminho do seu destino, aqui estão 10 dicas de especialistas em cibersegurança e fraude de viagens para se proteger contra os golpes.
1. Se a questão parecer urgente ou você se sentir pressionado, este é o primeiro sinal de alerta
Existem muitos tipos de golpes, mas quase todos têm uma característica comum: eles fazem a pessoa sentir que existe algo que ela precisa fazer com a máxima urgência possível, sob risco de perder, digamos, sua reserva.
"Os golpistas tentam jogar com as suas emoções, ou tentam fazer você reagir rapidamente – por exemplo, se você não fizer algo, haverá consequências desastrosas", explica o pesquisador de segurança sênior Oliver Devane, da McAfee Labs, que investiga os golpes cibernéticos no setor de turismo.
"Mas na realidade, não existem muitos cenários como este, certo? É muito improvável receber uma mensagem de um hotel dizendo que, se você não fizer algo nos próximos 30 ou 60 minutos, você irá perder a reserva."
"O sinal de alarme deve soar se você estiver sendo pressionado a fazer algo rapidamente", aconselha Devane.
Ele acrescenta que esta orientação é especialmente válida para empresas que atendem clientes diretamente, como os hotéis. "O setor de serviços simplesmente não trabalha desta forma – ele deve oferecer uma experiência agradável."
2. Quase tudo pode ser falsificado
O e-mail de Wagner incluía alguns detalhes suspeitos, como o hiperlink desconhecido. Mas outros e-mails de phishing são muito mais profissionais e podem não ter nenhum sinal que cause desconfiança.
"Há alguns anos, meu banco enviou uma mensagem dizendo: 'quando enviarmos e-mails para você, sempre incluiremos seu nome e é desta forma que você sabe que ele é verdadeiro'", conta Wagner. "Este conselho não envelheceu muito bem."
Especialistas alertam que, atualmente, tudo pode ser falsificado. Isso inclui não só a menção do nome da vítima, mas até o encaminhamento da pessoa para um website que parece idêntico ao da empresa verdadeira.
3. Nunca clique em um link, nem baixe um anexo de e-mail que se apresente como vindo de uma empresa – e nunca envie dinheiro porque um e-mail pediu
Especialistas alertam que esses e-mails podem ser muito convincentes – e é exatamente por isso que você deve evitar certas ações, não importa o quanto a mensagem pareça verdadeira.
"Se você receber um e-mail pedindo dinheiro, nunca confie nele", aconselha Wagner.
4. Em caso de dúvida, entre em contato diretamente com a empresa ou plataforma de terceiro (mas não use os detalhes de contato incluídos na mensagem)
Se você achar que existe uma razão real para precisar pagar por um hotel ou serviço que você reservou, ligue diretamente para ele. Mas use um número de telefone do website da empresa, não de um e-mail recebido.
Se a mensagem vier de um serviço de reservas terceirizado, como o Booking.com, você deve visitar o site do serviço de reservas e entrar em contato diretamente com o seu atendimento ao cliente para descobrir se o e-mail é verdadeiro.
"O golpe do Booking.com é muito sofisticado, pois a mensagem recebida pelas vítimas vem do Booking.com. E elas provavelmente pensam que 'bem, se está vindo deles, é porque é real'", afirma Devane.
"Mas o grande sinal de alerta vem quando eles tentam fazer você sair da plataforma."
5. Cuidado ao clicar anúncios on-line
A coleta de dados on-line é feita hoje de forma rápida e minuciosa. Por isso, assim que você começar a pesquisar sobre o próximo feriado, provavelmente irá ver surgirem anúncios online relacionados à sua busca.
Mas alguns desses anúncios podem ser tentativas de fraude. Os mais convincentes podem até encaminhar você para um site que parece um mecanismo de reservas terceirizado do qual você já ouviu falar. Mas, na verdade, o site é falso.
Verifique sempre a legitimidade de qualquer empresa que estiver sendo anunciada. E, ao fazer sua pesquisa on-line, estude a possibilidade de usar uma rede virtual privada (VPN), que criptografa os dados entre o seu aparelho e roteador. Use também um navegador que bloqueie o rastreamento de anúncios como, o DuckDuckGo.
Se você estiver usando software de segurança, Devane aconselha a verificar se ele é compatível com o seu navegador.
6. Use apenas sites de reservas terceirizado de boa reputação
Pode parecer contrassenso, já que os golpistas atacaram um site de reservas terceirizado de boa reputação, o Booking.com.
Mas diversos outros golpes envolvem sites de terceiros que prometem reservar passagens aéreas, por exemplo, levam o seu dinheiro... e nunca compram nem fornecem a passagem.
Por isso, se você usar um agregador ou site de reservas terceirizado (em vez de reservar diretamente com o hotel ou a companhia aérea), especialistas afirma que é mais seguro usar empresas grandes, com marcas de que você já tenha ouvido falar. Mas, mesmo assim, é também preciso seguir todas as outras instruções de segurança detalhadas nesta reportagem.
Se você não conseguir se lembrar do endereço exato do site de reservas terceirizado e precisar procurá-lo em um mecanismo de busca, tenha cuidado para não clicar nos anúncios incluídos na pesquisa. Clique apenas no resultado de busca orgânico.
7. Procure comentários
Diversos viajantes foram enganados por listas falsas de apartamentos para alugar.
Mesmo sem usar um site de reservas terceirizado, ainda é possível ser enganado. Os golpistas podem, por exemplo, enviar a você anúncios falsos de hotéis que não existem.
Um aspecto que precisa ser observado é se o imóvel recebeu recomendações. E, novamente, se você receber um anúncio de uma empresa, verifique se ela realmente existe em sites de recomendações de terceiros, como TripAdvisor e Booking.com.
8. Nunca pague com transferência bancária (PIX, TED ou outro tipo de transferência eletrônica)
As normas de proteção do consumidor geralmente indicam que, se você usar cartão de débito ou crédito, você está protegido contra transações fraudulentas. Em outras palavras, normalmente você consegue receber seu dinheiro de volta – apesar da perda de tempo e dos transtornos.
Mas essa proteção, muitas vezes, não se estende às transferências bancárias ou pagamentos com outros métodos, como criptomoedas ou cartões-presente.
Mesmo se você perder dinheiro com pagamentos através de cartões-presente ou transferências bancárias, nos Estados Unidos, a FTC ainda sugere que você tente conseguir o dinheiro de volta. No Reino Unido, a organização Citizen's Advice oferece recomendações específicas para o país.
9. Não baixe a guarda durante a viagem
É fácil relaxar quando chegamos ao nosso destino, ou mesmo durante o trajeto. Afinal, o que poderá sair errado agora?
Bem, muita coisa, segundo os especialistas.
As redes abertas de wi-fi, por exemplo, são um meio comum que permite aos hackers capturar dados pessoais ou instalar malware nos aparelhos conectados. Uma pesquisa concluiu que quatro em cada 10 pessoas tiveram suas informações pessoais comprometidas durante o uso de redes wi-fi públicas.
Usar uma rede aberta em um aeroporto, onde você pode ter acesso a informações sensíveis como detalhes do seu passaporte, pode ser especialmente problemático. É lá que a maioria dos participantes da pesquisa teve suas informações comprometidas.
Mas nenhuma rede é 100% segura.
Se você precisar usar wi-fi público, verifique se a rede é segura com tecnologia de criptografia, segundo aconselham os especialistas, e considere o uso de VPN.
As próprias redes de wi-fi privadas, como as de hotéis ou apartamentos alugados, podem ser usadas para fins criminosos, segundo Devane. Por isso, ele sempre usa VPN.
Ele também se certifica de sair de todas as contas que usou, como Amazon ou Netflix, antes de sair de um imóvel.
Você deve também usar apenas seus próprios carregadores nos seus aparelhos, ligando-os diretamente na tomada. Evite estações de carregamento públicas ou carregadores fornecidos por qualquer pessoa, como donos de apartamentos.
No início deste ano, o FBI chegou a divulgar um alerta, informando que as estações de carregamento estavam sendo usadas por hackers para introduzir malware e software de monitoramento nos aparelhos, em um procedimento criminoso apelidado de "juice jacking".
10. Considere a contratação de um agente de viagens
Uma forma de evitar todos esses aborrecimentos e preocupações com a sua segurança é contratar uma pessoa de verdade para fazer as reservas para você.
Os agentes de viagens podem até parecer ultrapassados, mas o setor está em crescimento – aparentemente, porque os turistas querem mais proteção, especialmente depois das dificuldades enfrentadas para viajar na pandemia.
Contratar um agente de viagens não é para todos. "Tentei lembrar quando foi a última vez em que vi um agente de viagens, fisicamente. Não consigo me lembrar", admite Wagner.
Mas, para ela e para outras pessoas que continuam a reservar viagens online, felizmente existem outras formas de se proteger.
Leia a versão original desta reportagem (em inglês) no site BBC Travel.