Con l’avvicinarsi delle vacanze estive, molti utenti hanno segnalato un nuovo tipo di frode.
Il processo inizia con la prenotazione di una camera o un appartamento su Booking per le prossime vacanze o per un weekend fuori porta. Dopo aver confermato la prenotazione, gli utenti ricevono un messaggio apparentemente dall’hotel, che segnala un problema con il pagamento. Nel messaggio si chiede di inserire nuovamente i dati della carta di credito cliccando su un link specifico, avvisando che, in caso contrario, la prenotazione verrà annullata.
Il link indirizza a una pagina web che riproduce fedelmente quella di Booking. Questa pagina clone è realizzata con cura, includendo dettagli precisi della prenotazione, come la data di arrivo e partenza e l’importo esatto da pagare, per rendere il tutto ancora più convincente.
Nonostante l’apparente autenticità, il messaggio non proviene né dall’hotel né da Booking. La truffa riesce perché il messaggio appare nella chat ufficiale di Booking, aumentando la fiducia degli utenti che non sospettano nulla di insolito.
Questo tipo di frode è conosciuto come phishing, una delle tecniche di attacco informatico più comuni usate per rubare l’identità delle vittime. Gli attacchi di phishing vengono effettuati tramite email false o SMS (in questo caso chiamati smishing) che inducono le vittime a fornire informazioni personali.
La truffa si realizza quando l’utente accede al sito falso e inserisce i propri dati, che vengono immediatamente registrati nei database degli hacker.
Gli hotel che utilizzano Booking per gestire le prenotazioni dispongono di numerose informazioni sugli ospiti, inclusi nomi, indirizzi, dati delle carte di credito e numeri di telefono. Di conseguenza, i loro account sono bersagli ideali per i truffatori, che iniziano l’attacco hackerando i profili degli albergatori.
Per ottenere i dati degli utenti, i truffatori devono prima hackerare i profili degli hotel su Booking. Questo viene fatto inviando email di phishing agli hotel stessi, per rubare il nome utente e la password necessari per accedere all’extranet, dove vengono gestite le prenotazioni e i dati dei clienti. Le email di phishing indirizzano a una pagina quasi identica a quella dell’extranet, con solo piccole inesattezze nell’URL che spesso passano inosservate.
Come difendersi
Per proteggersi da queste truffe, è importante seguire alcune regole di sicurezza:
– Non cliccare mai su link o allegati ricevuti via email o SMS e non rispondere a messaggi che richiedono password o altre credenziali di sicurezza.
– Fornire dati personali solo sul sito o sull’app ufficiale di Booking. Aprire l’app o il sito, cliccare sull’icona della valigia in basso e verificare la prenotazione direttamente lì.
– In caso di messaggi sospetti, contattare direttamente l’hotel per chiarimenti.
– Se si cade nella trappola, bloccare immediatamente la carta di credito, sporgere denuncia alla polizia e segnalare la truffa a Booking.com.