Lừa đảo "Chiếm đoạt đặt phòng" nhắm vào du khách: Cách tự bảo vệ mình

Theo BBC, một hình thức lừa đảo kỹ thuật số mới đang xuất hiện với tên gọi "chiếm đoạt đặt phòng" (reservation hijacking). Tên gọi này đã phần nào hé lộ cách thức hoạt động của nó. Về cơ bản, kẻ lừa đảo sử dụng các thông tin chi tiết về việc đặt phòng của bạn (có thể với khách sạn hoặc hãng hàng không) để lừa bạn chuyển tiền vào những nơi không nên đến.

Mặc dù loại lừa đảo này không hoàn toàn mới, nhưng vụ rò rỉ dữ liệu gần đây tại Booking.com đã làm tăng rủi ro cho nhiều người. Với dữ liệu về bạn và lịch đặt phòng trong tay, kẻ lừa đảo có thể dựng lên một kịch bản cực kỳ thuyết phục. Tại sao bạn lại nghi ngờ khi một người tự nhận là nhân viên của spa nơi bạn đã đặt phòng nói sự thật, đặc biệt khi họ biết chính xác ngày đi, số điện thoại và địa chỉ email của bạn?

Hình ảnh minh họa về đặt phòng khách sạn

Theo Booking.com, không có thông tin tài chính nào bị lộ trong vụ tấn công tháng 4 năm 2026. Tuy nhiên, tên, địa chỉ email, số điện thoại và chi tiết đặt phòng đã bị rò rỉ. Cổng du lịch này cho biết những khách hàng bị ảnh hưởng đã nhận được email cảnh báo về rủi ro lừa đảo gia tăng, vì vậy đây là điều đầu tiên bạn cần kiểm tra để đảm bảo an toàn.

Việc giảm thiểu rủi ro bị lừa bởi hình thức chiếm đoạt đặt phòng bao gồm nhiều biện pháp phòng thủ an ninh mà bạn có thể đã áp dụng, và việc nhận thức được rằng đây là một cách bạn có thể bị nhắm mục tiêu sẽ tạo ra sự khác biệt lớn.

Cơ chế hoạt động của "Chiếm đoạt đặt phòng"

Chúng ta đã phác thảo những điều cơ bản về việc chiếm đoạt đặt phòng, nhưng nó có thể diễn ra dưới nhiều hình thức. Giống như các loại lừa đảo khác, nó có xu hướng phát triển theo thời gian. Tiền đề cơ bản là ai đó sẽ liên hệ với bạn tự nhận là đến từ nơi bạn đã đặt phòng, dù đó là công ty cho thuê xe hay khách sạn.

Kẻ lừa đảo sẽ cố gắng thu thập càng nhiều thông tin càng tốt về bạn và lịch đặt phòng của bạn. Đôi khi họ sẽ nhắm vào nhân viên của nơi bạn đã đặt phòng để có quyền truy cập vào hệ thống của họ, và những lần khác họ có thể tận dụng một vụ rò rỉ dữ liệu rộng lớn hơn (như vụ hack Booking.com gần đây).

Họ cũng có thể lấy thông tin thông qua các phương tiện khác. Có lẽ họ đã có quyền truy cập vào email của bạn, hoặc một số bài đăng mạng xã hội của bạn (nơi bạn chia sẻ điểm đến kỳ nghỉ tiếp theo và đếm ngược số ngày còn lại). Đừng bị mắc kẹt nếu bạn thấy mình đang nói chuyện với một người biết rất nhiều về kế hoạch du lịch của bạn.

Mục tiêu cuối cùng của vụ lừa đảo thường là cố gắng lấy một khoản thanh toán nào đó từ bạn liên quan đến đặt phòng. Yêu cầu chuyển khoản ngân hàng hoặc chi tiết thẻ tín dụng là các chiến thuật thường được sử dụng, tiền đương nhiên sẽ được chuyển đến kẻ lừa đảo thay vì khách sạn hoặc công ty du lịch mà bạn nghĩ mình đang giao dịch.

Các nỗ lực lừa đảo có thể đến qua email và tin nhắn văn bản cũng như cuộc gọi điện thoại, và như thường lệ với các loại hoạt động tội phạm này, một sự khẩn cấp nào đó có thể được đưa ra — có lẽ bạn cần thanh toán nhanh để đảm bảo đặt phòng, hoặc đã có sự nhầm lẫn trong xử lý thanh toán cần được khắc phục ngay lập tức.

Cách tránh bị lừa

Ứng dụng đặt phòng chính thức

Bản chất của các vụ lừa đảo chiếm đoạt đặt phòng hoạt động giống như nhiều vụ lừa đảo khác: Bạn được liên hệ bởi một người không phải là người họ giả vờ. Bất kể họ có bao nhiêu chi tiết về các đặt phòng hoặc kế hoạch du lịch của bạn, bạn không nên giao tiếp với bất kỳ ai yêu cầu tiền cho đến khi bạn xác minh danh tính của họ.

Nếu bạn có bất kỳ nghi ngờ nào, hãy hỏi xem bạn có thể liên hệ lại với họ không — thông qua bất kỳ phương tiện nào họ đã sử dụng. Nếu ai đó mạo danh là nhân viên khách sạn và bạn hỏi xem mình có thể gọi lại cho khách sạn hay không, màn kịch sẽ rất nhanh sụp đổ. Bạn nên đặc biệt thận trọng khi bị hỏi các câu hỏi, ngay cả khi chỉ là để "xác nhận" một số chi tiết.

Booking.com cho biết với BBC rằng họ sẽ không bao giờ yêu cầu khách hàng chia sẻ thông tin thẻ tín dụng qua điện thoại, email hoặc tin nhắn văn bản. Công ty cũng sẽ không bao giờ yêu cầu khách hàng thực hiện bất kỳ loại thanh toán nào (như chuyển khoản ngân hàng) khác với chi tiết thanh toán trong đặt phòng của họ.

Bám sát các kênh liên lạc và ứng dụng chính thức là điều cần thiết khi cố gắng bảo vệ bản thân chống lại các vụ lừa đảo này và các vụ khác. Những kẻ xấu tìm cách kiếm tiền từ bạn sẽ phải hoạt động bên ngoài các kênh chính thức này, bởi vì họ không phải là chính thức. Như mọi khi, đừng vội vàng làm bất cứ điều gì, điều mà kẻ lừa đảo hầu như luôn cố gắng khiến bạn làm.

Tất cả các thực hành bảo mật tiêu chuẩn vẫn được áp dụng. Hãy bảo mật tài khoản của bạn bằng mật khẩu mạnh, độc nhất mà bạn không chia sẻ với bất kỳ ai và không thể đoán được. Và nếu các tài khoản bạn sử dụng cung cấp xác thực hai yếu tố (như Booking.com), nơi cần mã xác minh ngoài tên người dùng và mật khẩu, hãy bật nó lên.