Golpe de Phishing em Reservas de Hotel Internacional
Como Criminosos Estão Enganando Viajantes nos Últimos Anos
Reservar um hotel pelo Booking.com ou qualquer plataforma global similar já não é mais a tarefa simples e segura que parecia ser há alguns anos — e quem acha que esse tipo de golpe só pega pessoas menos atentas, vai se surpreender com o que está acontecendo por aí.
Trabalho há mais de 15 anos ajudando pessoas a planejar viagens internacionais, e posso dizer com convicção: nunca vi os golpes chegarem a esse nível de sofisticação. A mudança foi rápida, silenciosa e assustadoramente eficiente. O que antes era um e-mail mal escrito com link suspeito se transformou em uma operação profissional, com múltiplas etapas, dados reais da reserva, mensagens dentro das próprias plataformas e até páginas falsas com certificado de segurança.
Hoje o viajante pode fazer tudo certo — pesquisar o hotel, verificar as avaliações, reservar pelo site oficial — e ainda assim cair numa armadilha. Porque o golpe não começa mais no seu computador. Ele começa no hotel.
Phishing é um golpe digital em que criminosos se passam por empresas ou pessoas de confiança para enganar a vítima e roubar dados pessoais, senhas ou dinheiro.
O Ataque em Duas Etapas Que Ninguém Espera
Existe uma campanha ativa desde pelo menos janeiro de 2025 que funciona em dois estágios completamente distintos. No primeiro, os criminosos miram nos próprios hotéis e pousadas parceiras das plataformas. Criam contas de Gmail em lote — automaticamente, com padrões similares — e enviam e-mails para as caixas de reserva dos estabelecimentos, se passando pela própria Booking.com, Hotéis.com, Expedia.com, Trip.com, etc.
O conteúdo desses e-mails é cuidadosamente escolhido para criar urgência: uma avaliação negativa de um hóspede, uma solicitação de verificação da conta, uma oportunidade de promoção. Parece legítimo. A linguagem é profissional. E dentro do e-mail há um link ou uma instrução que utiliza uma técnica chamada ClickFix — um método de engenharia social onde a vítima é induzida a copiar e colar um comando diretamente no próprio computador, sem perceber que está instalando um malware.
O funcionário do hotel clica, segue as instruções, e pronto: o dispositivo está comprometido. A partir daí, os criminosos têm acesso ao sistema de reservas, aos dados dos hóspedes e à conta da extranet do estabelecimento. Nomes, datas de estadia, informações de contato, detalhes do quarto reservado — tudo nas mãos erradas.
Aí começa o segundo estágio.
Quando o Golpe Chega até Você, Já É Tarde Demais
Com os dados reais da sua reserva em mãos, os criminosos entram em contato. E isso é o que torna esse tipo de ataque particularmente perigoso: eles sabem o nome do hotel, sabem quando você vai chegar, sabem o tipo de quarto, conhecem os detalhes do pagamento. Quando alguém te liga ou te manda mensagem com esse nível de informação, a guarida natural de desconfiança cai.
Um caso documentado pelo Malwarebytes ilustra isso muito bem. Robert Woodford, especialista em marketing de recrutamento, reservou um hotel em Verona pela Booking.com. Fez tudo pelo livro. Depois de alguns dias, recebeu uma mensagem solicitando detalhes complementares e um pré-pagamento. Para ser cauteloso, ele não clicou no link do e-mail — entrou diretamente no site da Booking. E lá estava a mesma mensagem, no mesmo thread da conversa com o hotel. O link de pagamento tinha “bookingcom” na URL. Ele pagou. Só percebeu a fraude depois, quando notou que o nome do destinatário do pagamento estava errado.
Isso não é descuido. É uma armadilha montada com precisão cirúrgica.
O mesmo padrão se repete em dezenas de relatos documentados em 2025. Em Portugal, na Espanha, no Reino Unido, no Brasil. Um casal espanhol recebeu três tentativas de golpe em uma única semana, com uma suposta atendente chamada “Mary Rios” contatando via WhatsApp — com todos os dados da reserva corretíssimos — dizendo que havia problema com o pagamento e que precisavam confirmar os dados do cartão.
4.300 Sites Falsos e Contando
Não bastasse tudo isso, há outra frente sendo trabalhada em paralelo. Pesquisadores da empresa de segurança Netcraft identificaram, em 2025, uma operação massiva de phishing orquestrada por hackers de língua russa que já registrou mais de 4.300 domínios fraudulentos imitando plataformas como Booking.com, Airbnb e Expedia.
Só de domínios falsos com a palavra “Booking”, foram 685 registrados. Os sites são assustadoramente convincentes. Têm visual idêntico ao original. Têm HTTPS, ou seja, o cadeado de segurança aparece no navegador. Têm formulários de verificação de pagamento que imitam o sistema 3D Secure. Têm até CAPTCHAs simulados — aquelas verificações de “clique nas imagens que mostram semáforos” — que servem apenas para dar uma aparência de legitimidade.
A pessoa acessa, preenche os dados do cartão, conclui o que parece ser uma reserva perfeita, e recebe uma confirmação. Só que nenhum quarto foi reservado. O dinheiro foi direto para os criminosos.
O que facilita esse tipo de armadilha é simples: muita gente ainda não sabe que verificar o HTTPS de um site não é garantia alguma de segurança. O cadeado confirma apenas que a conexão é criptografada — mas não diz nada sobre quem está do outro lado recebendo seus dados.
A Campanha “I Paid Twice”
Em novembro de 2025, analistas da empresa Sekoia.io deram nome a uma variação específica desse golpe: “I Paid Twice” — algo como “Eu Paguei Duas Vezes”. O nome é literal. A dinâmica é a seguinte.
Os criminosos comprometem a conta de um hotel real no Booking.com. A partir daí, enviam mensagens para hóspedes que já fizeram reservas legítimas, dizendo que houve um erro no processamento do pagamento anterior e que é necessário confirmar a cobrança. Como a mensagem vem de dentro da plataforma, do próprio perfil verificado do hotel, parece absolutamente legítima.
O hóspede paga. A reserva continua válida — o hotel original ainda existe, a estadia vai acontecer — mas o viajante acabou de pagar duas vezes. Uma ao hotel real. Outra para os criminosos.
A campanha esteve ativa por meses antes de ser identificada e documentada. Isso significa que muita gente pagou sem saber que foi lesada. Alguns só descobriram quando foram verificar o extrato do cartão semanas depois.
Por Que É Tão Difícil Identificar Esse Golpe
Há alguns anos, os golpes online tinham marcas registradas óbvias: erros de português grotescos, links claramente suspeitos, endereços de e-mail com domínios estranhos. Hoje, não é assim.
Os criminosos usam automação avançada para criar contas em massa, enviar mensagens personalizadas e até responder perguntas dos viajantes de forma coerente. Alguns grupos usam inteligência artificial para tornar as respostas ainda mais naturais. E como operam a partir de contas de hotéis reais que foram comprometidas, as mensagens chegam por canais legítimos — dentro do sistema de mensagens do Booking, dentro do thread original da reserva.
Tem mais: eles trabalham no momento certo. Sabem exatamente quando você fez a reserva, quando se aproxima a data da viagem, e calculam o melhor momento para agir. É quando a ansiedade com a logística da viagem está alta e a disposição para resolver problemas rapidamente também está.
A Microsoft, que rastreou uma dessas campanhas em dezembro de 2024, identificou que os ataques distribuem múltiplas famílias de malware extremamente sofisticadas: XWorm, Lumma Stealer, VenomRAT, AsyncRAT, Danabot e NetSupport RAT. Não são vírus amadores. São ferramentas desenvolvidas por grupos organizados, com capacidade de roubar credenciais bancárias, acessar câmeras, gravar teclados e manter controle remoto dos dispositivos infectados.
Como os Viajantes Estão Sendo Impactados na Prática
Steve Alderson, um profissional de TI — que, ironicamente, trabalha na área — perdeu mais de € 1.800 em uma fraude desse tipo enquanto tentava reservar hospedagem em Portugal. Ele foi redirecionado para o WhatsApp por um suposto representante do hotel, e completou o pagamento achando que estava tudo dentro dos conformes. Quando a reserva foi cancelada logo depois, percebeu o que aconteceu.
O que chama atenção no relato de Alderson, além do valor perdido, é o que ele disse depois: “Estou um pouco envergonhado agora, mas na época parecia completamente normal.”
E é exatamente isso. A vergonha que muitas vítimas sentem acaba sendo um aliado dos criminosos — muita gente não denuncia, não relata, não compartilha a experiência. E o golpe continua circulando sem visibilidade pública suficiente.
Sinais de Alerta que Você Precisa Conhecer
Quem vai reservar hotel internacional hoje precisa desenvolver um olhar diferente. Não é paranoia — é adaptação a uma realidade nova.
Pedido de pagamento via WhatsApp ou e-mail é um sinal imediato de problema. Plataformas como Booking.com processam pagamentos dentro do próprio sistema. Qualquer solicitação que te empurre para fora da plataforma oficial deve ser tratada com desconfiança máxima.
Urgência excessiva também é sinal claro. “Confirme em até 24 horas ou sua reserva será cancelada.” “Há um problema no seu pagamento que precisa ser resolvido agora.” Criminosos trabalham com pressão de tempo porque sabem que a urgência compromete o julgamento. Quando sentir essa pressão, respire fundo e vá direto ao site ou aplicativo oficial.
Mensagem recebida fora da plataforma pedindo que você clique em link ou forneça dados. Mesmo que o remetente pareça ser o hotel onde você reservou, toda comunicação deve ser verificada dentro do aplicativo ou site oficial da plataforma. Não pelo link do e-mail. Diretamente.
URL estranha no link de pagamento é outro ponto crítico. “bookingcom.pay.hotels-secure.com” não é o site da Booking. O endereço oficial é booking.com — ponto final. Qualquer coisa que venha depois desse ponto no domínio já é outro site.
Solicitação de dados do cartão por mensagem nunca é legítima. Nenhuma plataforma séria pede número de cartão, CVV ou senha via chat, WhatsApp ou e-mail.
O Que Fazer se Você Suspeitar de Algo
Primeiro: não clique em nada. Nem para “verificar” se é golpe ou não. Feche a mensagem.
Segundo: acesse a plataforma que você usou para reservar diretamente — digitando o endereço no navegador ou abrindo o aplicativo. Verifique se há alguma mensagem ou notificação dentro do sistema oficial. Se não houver nada, a mensagem que você recebeu é fraude.
Terceiro: entre em contato com o suporte da plataforma. Booking.com, Airbnb e outras têm canais de suporte que tratam especificamente de fraudes.
Quarto: se você já caiu no golpe, acione imediatamente o banco para contestar a transação e bloqueie o cartão. Quanto mais rápido a ação, maior a chance de reverter o débito.
Quinto: registre boletim de ocorrência e relate o caso à plataforma. Isso não resolve o seu problema imediatamente, mas ajuda a levantar dados para investigação e pode proteger outras pessoas.
A Responsabilidade das Plataformas
Booking.com, Hotéis.com, Trip.com, Expedia.com, entre outras, têm declarado publicamente que a segurança cibernética é prioridade máxima. Em casos onde clientes perdem dinheiro por golpes dentro da plataforma, a empresa diz que ajuda com reembolsos mediante documentação. Mas na prática, as histórias de quem passou por isso mostram um processo burocrático, demorado e com resultados incertos.
O problema estrutural é real: quando um hotel parceiro tem sua conta comprometida, os criminosos operam de dentro de um ambiente de confiança já estabelecida. É como se alguém roubasse a chave de um funcionário de banco e usasse para movimentar contas. A culpa não é do banco, mas a responsabilidade de proteger os clientes existe.
Em 2026, as campanhas continuam ativas. A Microsoft relatou em fevereiro deste ano que a campanha identificada em dezembro de 2024 — aquela que usava a técnica ClickFix contra parceiros hoteleiros — ainda estava em plena operação. Os grupos responsáveis adaptam as abordagens, mudam os domínios, automatizam as contas.
Viajar com Segurança Não Significa Não Viajar
Não estou dizendo isso para assustar ou para que você abandone as plataformas online. Elas continuam sendo ferramentas poderosas, com boas proteções quando usadas corretamente. O ponto é simples: o jogo mudou, e a maioria das pessoas ainda joga com as regras antigas.
Quem entende como o golpe funciona tem uma vantagem enorme. O criminoso depende do elemento surpresa, da urgência e da confiança construída por dados reais. Quando você sabe que esses elementos fazem parte da estratégia, eles perdem o poder.
Reservas internacionais envolvem dinheiro, expectativas e às vezes o único período de férias do ano. Vale a pena dedicar cinco minutos a mais para verificar se tudo é o que parece antes de qualquer clique. Esse é o tipo de atenção que o ambiente digital de hoje exige de qualquer viajante — não importa quão experiente você seja.
Essa imagem é um exemplo perfeito e real de golpe de phishing via WhatsApp — e ela tem pelo menos 8 sinais de alerta claros que merecem ser analisados com cuidado.
O Que Essa Mensagem Tem de Errado
🔴 1. O remetente não tem nada a ver com o hotel
O nome da conta é “iad México Info” — uma empresa imobiliária mexicana — mas o conteúdo fala de um hotel em Joanesburgo, África do Sul. Não existe nenhuma relação entre essas duas coisas. O número é mexicano (+52 1 55 5818 9933). A conta foi cadastrada em outubro de 2024, ou seja, é recente e provavelmente criada para fins de golpe.
🔴 2. O link não pertence a nenhuma plataforma oficial
O link enviado é:https://couldhousecep.com/2Y8MX2ZK
Não é Booking.com ou outro site de reserva global de hospedagem. Não é o site do hotel. É um domínio aleatório, claramente criado para capturar dados de quem clica. O nome “couldhousecep” não tem relação alguma com reservas de hotel ou com qualquer plataforma legítima.
🔴 3. Urgência artificial de 24 horas
“Kindly note that if the verification is not completed within 24 hours, your booking may be canceled.”
Esse é o gatilho clássico. Prazo curto para impedir que você pense com calma, verifique a autenticidade ou consulte alguém.
🔴 4. “Nenhuma cobrança será feita” — a frase que mais engana
“No worries, no payment will be charged — a temporary hold may be placed for verification and released immediately.”
Isso existe para baixar sua guarda. O criminoso sabe que o pedido de dados financeiros acende um alerta. Então ele antecipa a objeção: “não se preocupe, não vamos cobrar nada.” É exatamente o que faz você digitar os dados do cartão sem resistência.
🔴 5. Assinado por “Emma Larsen” — uma pessoa que não existe nesse contexto
O hotel ONOMO Johannesburg Sandton não tem nenhuma funcionária chamada Emma Larsen se comunicando por WhatsApp de um número mexicano. O nome genérico europeu é escolhido para parecer profissional e internacional.
🔴 6. A mensagem está em inglês, mas vem de conta mexicana
O hotel é sul-africano. O número é do México. A mensagem está em inglês. Nada disso faz sentido numa comunicação legítima. Plataformas reais como o Booking.com comunicam pelo próprio sistema interno da plataforma, não por WhatsApp de terceiros.
🔴 7. Dados reais da reserva usados para criar falsa credibilidade
A mensagem cita:
- Seu nome completo
- O nome exato do hotel
- As datas corretas da estadia
- O booking ID real
Isso é o que torna o golpe convincente. Essas informações foram obtidas porque o sistema do hotel ou da plataforma foi comprometido anteriormente. O criminoso usa seus próprios dados reais contra você.
🔴 8. A conta está bloqueada — sinal de que já foi denunciada
O próprio WhatsApp exibe o botão “Desbloquear”, indicando que essa conta foi bloqueada — provavelmente por outros usuários que já a denunciaram por comportamento suspeito.
O Que Fazer Com Essa Mensagem
| Ação | O que fazer |
|---|---|
| ✅ Não clique no link | Nunca, sob nenhuma hipótese |
| ✅ Denuncie no WhatsApp | Menu (⋮) > Denunciar |
| ✅ Bloqueie o número | Já está indicado na tela |
| ✅ Acesse o Booking direto | Digite o endereço real do site que usou no navegador e verifique sua reserva por lá |
| ✅ Entre em contato com o hotel | Pelo telefone oficial do site do hotel, não pelo número da mensagem |
| ✅ Relate à plataforma | O site global sempre tem canal específico para reportar fraudes |
Essa mensagem é um manual do crime bem executado: dados reais, linguagem profissional, urgência calculada e link disfarçado. Quem não souber o que procurar, cai. Agora você sabe exatamente o que está vendo.