Semesterfällan: Falska hotellmeddelanden på WhatsApp jagar svenska resenärer

Säkerhetsforskarna vid Bitdefender Labs varnar för en pågående phishingkampanj som riktar in sig på resenärer i fler än tio länder. Bedragarna skickar uteslutande sina meddelanden via WhatsApp och utger sig för att vara hotell, resorter och boendeleverantörer.

Det som skiljer kampanjen från klassiska semesterbluffar är att meddelandena innehåller riktiga bokningsuppgifter. Mottagaren ser sitt eget namn, vistelsedatum, hotellnamn och reservationsnummer i texten, vilket gör att bluffen verkar äkta vid första anblicken. Uppgifterna tycks komma från läckor hos hotell eller bokningsplattformar.

Forskarna har följt verksamheten sedan mars 2026 och identifierat minst sex aktiva kampanjer och åtta efterliknade hotellvarumärken. Bland de drabbade länderna finns Storbritannien, Tyskland, Frankrike, Polen, Nederländerna, Rumänien, Kanada, Singapore, Portugal och Colombia. Meddelandena har observerats på engelska, tyska, franska, spanska, polska och rumänska.

Så fungerar bluffen

Det typiska meddelandet säger att reservationen måste verifieras och försäkrar att inga pengar kommer att dras. Samtidigt sätter bedragarna en 24-timmarsfrist och varnar för att bokningen annars avbokas, för att pressa offret att agera snabbt.

Klickar mottagaren på länken hamnar hen på en falsk webbplats där betalkortsuppgifterna går rakt in i bedragarnas händer. Bland de varumärken som missbrukats finns enligt Bitdefender bland annat Ramada by Wyndham och flera mindre europeiska hotell.

Spåren leder till en stor läcka

Den välinformerade tonen i meddelandena har en sannolik förklaring. I april bekräftade Booking.com att obehöriga tredje parter fått tillgång till gästdata, och bland de exponerade uppgifterna fanns namn, e-postadresser, telefonnummer, fysiska adresser och bokningsdetaljer, enligt en genomgång från Malwarebytes. Den kombinationen är i praktiken allt en bedragare behöver för att övertygande utge sig för att vara ett hotell som hör av sig till en gäst.

Booking.com har själva understrukit att företaget aldrig ber kunder om känslig information eller bankuppgifter via meddelandetjänster. Bitdefenders bevakning av incidenten konstaterar att de läckta uppgifterna rör reservationer snarare än betaldata, men att det räcker för att föda en våg av riktade bedrägerier.

Så skyddar du dig inför resan

Polismyndigheten konstaterar att nätfiske är en av de vanligaste bedrägeriformerna i Sverige och att huvudregeln är enkel: lämna aldrig ut kort- eller personuppgifter efter ett oväntat meddelande, enligt myndighetens information om phishing.

Konkreta råd inför semestern:

• Klicka aldrig på betallänkar i WhatsApp-meddelanden från påstådda hotell, även om uppgifterna i meddelandet stämmer.

• Logga in direkt på din bokningsplattform eller ring hotellet via numret på den officiella webbplatsen om något verkar oklart.

• Aktivera tvåstegsverifiering i WhatsApp för att skydda själva kontot om någon försöker ta över det.

• Misstänker du att du angett kortuppgifter på en falsk sida ska du spärra kortet, kontakta banken och anmäla händelsen till polisen via 114 14.

Pressen från en 24-timmarsfrist är en del av tricket. Att vänta några minuter och kontrollera bokningen via en kanal du själv valt kostar inget, men kan rädda hela semesterkassan.