Kesäloman varaushuijaukset ennätyskorkealla – näin et menetä rahojasi vale-varaussivulle
Varaushuijaus ei enää pyydä klikkaamaan epäilyttävää linkkiä. Viesti tulee usein oikean varauksen ketjun sisältä, ja tavoitteena ovat aina korttitiedot tai maksun ohjaus rikollisen tilille.
Tiivistelma
Traficomin Kyberturvallisuuskeskus varoitti kesämatkojen varaushuijauksista, joissa Booking.com-kalastelu saapuu sähköpostitse, tekstiviestillä ja WhatsAppilla. Suomalaisiin kohdistui noin 148 miljoonaa euroa verkkopetoksia vuonna 2025. Jutussa kerrotaan tunnistusmerkit ja se, miten maksusuoja pidetään puolellaan.
Maarit menetti noin 3 300 euroa, eikä hän tehnyt yhtäkään virhettä omassa varauksessaan. Maaritin Airbnb-tili kaapattiin, ja sillä naputeltiin 25 valevarausta yön hinnaltaan yli 600 euroa.
Jokainen varaus oli ajastettu siten, että sisäänkirjautuminen tapahtui 12 tunnin sisällä, jolloin peruutus ei enää onnistunut. Tunnusmerkit olivat samat kuin lukemattomissa muissa tapauksissa, eli ylikorkeat hinnat ja nolla arvostelua.
Tällaiset tarinat ovat juuri nyt ajankohtaisia. Kesälomakausi on varaushuijausten kiivainta aikaa, ja viranomainen on jo reagoinut.
Traficomin Kyberturvallisuuskeskus varoitti 4.5.2026 kesämatkojen varaushuijauksista. Antti Nikkinen, Kyberturvallisuuskeskuksen asiantuntija, kehotti valppauteen erityisesti hotelli- ja varaushuijausten suhteen.
Painopiste on tänä kesänä Booking.com-kalastelussa. Viestit saapuvat sähköpostitse, tekstiviestillä ja WhatsAppilla, usein olemassa olevan ja täysin laillisen varausketjun sisältä.
Juuri se tekee huijauksesta vaarallisen. Viesti voi tulla tuntemattomasta numerosta tai väärennetystä osoitteesta, mutta se viittaa varaukseen, jonka asiakas tietää oikeaksi. Tavoite on aina sama, eli korttitiedot tai maksun ohjaaminen rikollisten tileille.
Vanha mielikuva huijauslinkistä kömpelöine kielivirheineen on jo hyvin vanhentunut. Nyt viesti voi olla kieliopiltaan moitteeton ja saapua juuri oikealla hetkellä, kun matkailija odottaa muutenkin vahvistusta varauksestaan. Nikkinen on korostanut, että kiireessä ja lomafiiliksessä tarkkaavaisuus herpaantuu ihan helposti.
Mittakaava on Suomessa kasvanut nopeasti
Luvut kertovat, miksi viranomainen on huolissaan. Suomalaisiin kohdistui Finanssialan tietojen mukaan noin 148 miljoonaa euroa verkkopetoksia vuonna 2025. Kalastelun osuus oli noin 38 miljoonaa euroa ja sijoituspetosten yli 24 miljoonaa euroa.
Poliisin kirjaamat verkkorikokset kasvoivat 2 014:stä vuonna 2020 aina 13 124:ään vuonna 2025. Yksittäisen uhrin tappio voi silti olla rajumpi kuin moni kuvittelee.
– Uhrit voivat menettää kymmeniä tuhansia euroja, sanoo Panu Kalmi, Vaasan yliopiston taloustieteen professori.
Miten yksittäinen lomavaraus voi muuttua tällaiseksi tappioksi? Vastaus löytyy huijausten rakenteesta, jota kansainväliset tutkijat ovat kartoittaneet.
Malwarebytes kertoo, että matkahuijaukset jakautuvat 4.6.2026 julkaistun katsauksen mukaan viiteen yleiseen muotoon, joista ensimmäinen on valeverkkosivut eli varaussivujen kloonit, joita levitetään mainoksilla ja hakukonemyrkytyksellä. Yhdessä kampanjassa vale-Booking.com-sivu istutti kävijän koneelle RAT-haittaohjelman.
Toinen muoto on "ongelma varauksessasi" -kalastelu, joka käyttää vuodettua dataa uskottavuuden lisäämiseksi. Kolmas on lomavuokrapetos vale- tai kaapatuilla ilmoituksilla, ja sen tunnusmerkki on painostus siirtää maksu pois alustalta ennen kuin asiakas ehtii varmistaa kohteen aitouden mistään virallisesta lähteestä.
Neljäs on liian hyvä ollakseen totta -tarjous keinotekoisella kiireellä. Viides on Booking.com-imitointi, jonka huijaukset nousivat 56 prosenttia huhtikuun tietomurron jälkeen.
Mikä näitä muotoja yhdistää? Lähes jokaisessa rakennetaan ensin uskottavuus ja sitten kiire, jonka varjolla uhri painostetaan toimimaan ennen kuin ehtii epäillä. Malwarebytes huomauttaa, että moni huijaus nojaa oikeasta tietovuodosta saatuun dataan, jolloin viesti tietää nimesi, varauspäiväsi tai jopa matkakohteesi jo valmiiksi.
Kesä tuo myös muita piikkejä. Kyberturvallisuuskeskus on nostanut esiin toimitusjohtajahuijaukset, jotka kohdistuvat kesätyöntekijöihin ja sijaisiin, sekä "paketti pidätetty" -toimitushuijaukset.
Tunnistusmerkit
- Sinua painostetaan siirtämään keskustelu tai maksu pois alustalta.
- Hinta on ylikorkea ja ilmoituksella on nolla arvostelua.
- Viestissä on kiire tai sisäänkirjautumiselle on asetettu aikaraja.
- Maksua pyydetään korttitiedoilla "varausketjun sisällä".
- Verkko-osoite on hieman väärä tai ei vastaa alustan virallista osoitetta.
Mitä tehdä
Maksa aina luottokortilla. Se antaa parhaan petossuojan verrattuna debit-korttiin tai tilisiirtoon. Kryptolla tai lahjakorteilla ei kannata maksaa lomaa koskaan.
Pysy luotetuilla alustoilla ja vältä maksettuja hakutuloksia. Varmista kohde itsenäisesti, esimerkiksi soittamalla hotellille sen omilta sivuilta löytyvään numeroon.
Älä siirry pois alustan maksusta, vaikka sitä pyydettäisiin. Pyyntö maksaa "suoraan isännälle" tai "alennuksella ohi järjestelmän" on tätä artikkelia kirjoitettaessa yksi luotettavimmista huijauksen merkeistä.
Jos saat varaukseen liittyvän viestin, älä klikkaa sen linkkiä. Kirjaudu sen sijaan suoraan alustan omaan sovellukseen tai osoita selaimesi itse kirjoittamaasi osoitteeseen ja tarkista varauksesi tila sieltä. Aito ongelma näkyy myös alustan sisällä, eikä huijari pääse sinne käsiksi.
Jos olet jo joutunut uhriksi, tee rikosilmoitus poliisille osoitteessa poliisi.fi tai nettivihjeen kautta. Ilmoita kalastelusta Kyberturvallisuuskeskukselle osoitteessa ilmoita.kyberturvallisuuskeskus.fi.
Harhaanjohtavasta markkinoinnista voi ilmoittaa KKV:lle. Rajat ylittävissä matka- ja verkkokauppariidoissa apua antaa Euroopan kuluttajakeskus. Henkisen tuen tarpeessa Rikosuhripäivystys palvelee numerossa 116 006.
Kesäsesonki jatkuu pitkälle elokuuhun, joten huijausviestien määrä tuskin laskee aivan vielä. Varovaisuus maksun hetkellä on toistaiseksi tehokkain suoja, jonka matkailija voi itselleen antaa.