Dentro il doppio colpo su Booking.com: come i cybercriminali hanno usato gli hotel per truffare i viaggiatori
Una scaltra operazione di phishing in due fasi sta spennando sia il personale dell’ospitalità sia i loro ospiti: ecco come funziona lo schema e perché è così difficile fermarlo.
È iniziato con un’email apparentemente ordinaria: un reclamo di un ospite, un problema urgente con una prenotazione. Il personale dell’hotel, messo sotto pressione dall’urgenza e rassicurato da un branding familiare, ha cliccato sul link. Senza saperlo, aveva appena aperto la porta a un sofisticato attacco informatico che prendeva di mira non solo la loro attività, ma anche i viaggiatori che servono. Quello che è seguito è stato un doppio tradimento digitale: hacker che, sfruttando fiducia e automazione, hanno saccheggiato entrambi i lati dell’equazione delle prenotazioni con uno schema tanto elegante quanto devastante.
L’anatomia di una truffa in due fasi
I ricercatori hanno ricondotto questa campagna almeno a gennaio, notandone la pianificazione meticolosa e la sofisticazione tecnica. La prima mossa degli aggressori: infiltrarsi negli hotel inviando email di phishing ai reparti prenotazioni. Queste email, costruite per sembrare provenire da Booking.com, fanno leva sulla pressione psicologica-problemi urgenti, reclami degli ospiti-per provocare un’azione immediata. L’inganno è profondo: i link malevoli usano una “o” cirillica nel nome del brand, visivamente identica alla lettera latina, ingannando anche il personale più attento e aggirando molti filtri email.
Una volta che un dipendente dell’hotel abbocca, viene indirizzato a una pagina di accesso contraffatta. Qui un kit di phishing è in agguato, replicando il vero portale partner con un dettaglio inquietante-arrivando persino a strutturare ogni lettera del nome del brand nel proprio tag HTML. Le credenziali inserite vengono rapidamente raccolte. L’infrastruttura non si affida solo ai trucchi; controlla attivamente la presenza di ricercatori di sicurezza o VPN, mostrando una pagina-esca di un servizio di pulizie a chiunque non corrisponda al profilo della vittima.
Con credenziali alberghiere autentiche in mano, gli aggressori accedono alla piattaforma reale e sottraggono i dati di prenotazione dei clienti: nomi, date di soggiorno e ID univoci. A questo punto la truffa entra nel suo secondo atto. I viaggiatori ricevono messaggi WhatsApp, talvolta da account verificati come aziendali, che fanno riferimento alle loro prenotazioni reali. Il messaggio avverte di un’imminente cancellazione a meno che il pagamento non venga confermato, rimandando a una falsa pagina di pagamento che compila automaticamente i dettagli rubati. Le vittime, rassicurate dall’accuratezza, vengono indotte a inserire i dati della carta-consegnando i fondi direttamente ai criminali.
I domini usati nella campagna-come “extrapp-menus-controls-portal.com” e “mgmnts-ids-center.com”-mescolano termini di brand con gergo gestionale, risultando plausibili a un primo sguardo. L’operazione è altamente automatizzata, scalabile e progettata per eludere il rilevamento finché non è troppo tardi. Molti hotel si accorgono di ciò che è successo solo quando gli ospiti li contattano, già truffati.
Restare un passo avanti
Questa operazione è un campanello d’allarme per l’industria dell’ospitalità e per i viaggiatori. Gli esperti di sicurezza invitano gli hotel a verificare i reclami tramite le dashboard ufficiali, abilitare l’autenticazione a più fattori e formare il personale a esaminare gli URL alla ricerca di sottili trucchi. Per i viaggiatori, lo scetticismo verso richieste di pagamento non sollecitate-anche quando fanno riferimento a prenotazioni reali-è ormai una linea di difesa cruciale.
Il successo della truffa sta nello sfruttamento di fiducia e urgenza, trasformando gli stessi sistemi pensati per facilitare i viaggi in armi di frode. Man mano che i cybercriminali diventano più astuti, la necessità di vigilanza e formazione non è mai stata così evidente.
WIKICROOK
- Phishing: Il phishing è un crimine informatico in cui gli aggressori inviano messaggi falsi per indurre gli utenti a rivelare dati sensibili o a cliccare su link malevoli.
- Typosquatting: Il typosquatting è quando gli aggressori usano nomi simili a quelli di siti o software affidabili per ingannare gli utenti e portarli su siti falsi o a scaricare malware.
- Attacco omografo IDN: Un attacco omografo IDN usa caratteri simili provenienti da alfabeti diversi per creare URL ingannevoli, inducendo gli utenti a visitare siti web malevoli.
- Kit di phishing: Un kit di phishing è un insieme di strumenti pronti all’uso che consente ai criminali di creare rapidamente siti web falsi e rubare informazioni sensibili degli utenti.
- Fingerprinting del browser: Il fingerprinting del browser identifica dispositivi o utenti analizzando dettagli unici di come il loro browser comunica e si connette ai siti web.




