Lunedi 06 Luglio 2026 23:23:36 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Security Awareness & Social Engineering

Dentro il doppio colpo su Booking.com: come i cybercriminali hanno usato gli hotel per truffare i viaggiatori

Pubblicato: 19 Febbraio 2026 07:33Categoria: Security Awareness & Social EngineeringAutore: CRYSTALPROXY

Una scaltra operazione di phishing in due fasi sta spennando sia il personale dell’ospitalità sia i loro ospiti: ecco come funziona lo schema e perché è così difficile fermarlo.

È iniziato con un’email apparentemente ordinaria: un reclamo di un ospite, un problema urgente con una prenotazione. Il personale dell’hotel, messo sotto pressione dall’urgenza e rassicurato da un branding familiare, ha cliccato sul link. Senza saperlo, aveva appena aperto la porta a un sofisticato attacco informatico che prendeva di mira non solo la loro attività, ma anche i viaggiatori che servono. Quello che è seguito è stato un doppio tradimento digitale: hacker che, sfruttando fiducia e automazione, hanno saccheggiato entrambi i lati dell’equazione delle prenotazioni con uno schema tanto elegante quanto devastante.

L’anatomia di una truffa in due fasi

I ricercatori hanno ricondotto questa campagna almeno a gennaio, notandone la pianificazione meticolosa e la sofisticazione tecnica. La prima mossa degli aggressori: infiltrarsi negli hotel inviando email di phishing ai reparti prenotazioni. Queste email, costruite per sembrare provenire da Booking.com, fanno leva sulla pressione psicologica-problemi urgenti, reclami degli ospiti-per provocare un’azione immediata. L’inganno è profondo: i link malevoli usano una “o” cirillica nel nome del brand, visivamente identica alla lettera latina, ingannando anche il personale più attento e aggirando molti filtri email.

Una volta che un dipendente dell’hotel abbocca, viene indirizzato a una pagina di accesso contraffatta. Qui un kit di phishing è in agguato, replicando il vero portale partner con un dettaglio inquietante-arrivando persino a strutturare ogni lettera del nome del brand nel proprio tag HTML. Le credenziali inserite vengono rapidamente raccolte. L’infrastruttura non si affida solo ai trucchi; controlla attivamente la presenza di ricercatori di sicurezza o VPN, mostrando una pagina-esca di un servizio di pulizie a chiunque non corrisponda al profilo della vittima.

Con credenziali alberghiere autentiche in mano, gli aggressori accedono alla piattaforma reale e sottraggono i dati di prenotazione dei clienti: nomi, date di soggiorno e ID univoci. A questo punto la truffa entra nel suo secondo atto. I viaggiatori ricevono messaggi WhatsApp, talvolta da account verificati come aziendali, che fanno riferimento alle loro prenotazioni reali. Il messaggio avverte di un’imminente cancellazione a meno che il pagamento non venga confermato, rimandando a una falsa pagina di pagamento che compila automaticamente i dettagli rubati. Le vittime, rassicurate dall’accuratezza, vengono indotte a inserire i dati della carta-consegnando i fondi direttamente ai criminali.

I domini usati nella campagna-come “extrapp-menus-controls-portal.com” e “mgmnts-ids-center.com”-mescolano termini di brand con gergo gestionale, risultando plausibili a un primo sguardo. L’operazione è altamente automatizzata, scalabile e progettata per eludere il rilevamento finché non è troppo tardi. Molti hotel si accorgono di ciò che è successo solo quando gli ospiti li contattano, già truffati.

Restare un passo avanti

Questa operazione è un campanello d’allarme per l’industria dell’ospitalità e per i viaggiatori. Gli esperti di sicurezza invitano gli hotel a verificare i reclami tramite le dashboard ufficiali, abilitare l’autenticazione a più fattori e formare il personale a esaminare gli URL alla ricerca di sottili trucchi. Per i viaggiatori, lo scetticismo verso richieste di pagamento non sollecitate-anche quando fanno riferimento a prenotazioni reali-è ormai una linea di difesa cruciale.

Il successo della truffa sta nello sfruttamento di fiducia e urgenza, trasformando gli stessi sistemi pensati per facilitare i viaggi in armi di frode. Man mano che i cybercriminali diventano più astuti, la necessità di vigilanza e formazione non è mai stata così evidente.

WIKICROOK

  • Phishing: Il phishing è un crimine informatico in cui gli aggressori inviano messaggi falsi per indurre gli utenti a rivelare dati sensibili o a cliccare su link malevoli.
  • Typosquatting: Il typosquatting è quando gli aggressori usano nomi simili a quelli di siti o software affidabili per ingannare gli utenti e portarli su siti falsi o a scaricare malware.
  • Attacco omografo IDN: Un attacco omografo IDN usa caratteri simili provenienti da alfabeti diversi per creare URL ingannevoli, inducendo gli utenti a visitare siti web malevoli.
  • Kit di phishing: Un kit di phishing è un insieme di strumenti pronti all’uso che consente ai criminali di creare rapidamente siti web falsi e rubare informazioni sensibili degli utenti.
  • Fingerprinting del browser: Il fingerprinting del browser identifica dispositivi o utenti analizzando dettagli unici di come il loro browser comunica e si connette ai siti web.