Questo avviene perché gli aggressori colpiscono prima gli hotel con email sofisticate o ingegneria sociale, accedendo così ai sistemi di messaggistica ufficiali per frodare i clienti.
[In pillole] La sintesi per chi va di fretta:
Una sofisticata truffa sta colpendo gli utenti di Booking.com. Attraverso email di phishing, i criminali informatici infettano i computer degli hotel per rubare le credenziali di accesso alla piattaforma. In questo modo possono inviare messaggi fraudolenti ai clienti direttamente dall'app ufficiale, chiedendo dati della carta di credito con l'inganno e sfruttando la fiducia nel canale di comunicazione.
La truffa su Booking.com che sembra non esserlo
È un meccanismo diventato piuttosto familiare per chi viaggia spesso. Dopo aver completato una prenotazione su Booking.com, arriva una comunicazione direttamente dall’hotel attraverso il sistema di messaggistica ufficiale della piattaforma.
Il messaggio, scritto in modo cortese e professionale, avvisa di un problema con il pagamento e chiede di verificare nuovamente i dati della carta di credito tramite un link fornito.
Sembra tutto legittimo: la comunicazione proviene dall’app, il logo è quello dell’hotel, il riferimento alla prenotazione è corretto. Molti utenti, fidandosi del canale ufficiale, seguono le istruzioni. Pochi minuti dopo, però, scoprono che dalla loro carta sono stati prelevati dei soldi in modo fraudolento.
Quello che appare come un singolo, sfortunato incidente è in realtà la punta di un iceberg di una serie di campagne di attacchi informatici ben orchestrate, che sfruttano il nome e la fiducia associati a Booking.com per colpire sia gli albergatori sia i loro clienti.
Il punto debole, però, non si trova nei server della grande piattaforma di prenotazioni, ma in un anello della catena molto più vulnerabile e spesso meno preparato: il personale degli hotel stessi.
La questione, quindi, diventa più complessa, perché non riguarda una falla tecnologica di un colosso digitale, ma le dinamiche di fiducia e sicurezza che legano la piattaforma ai suoi partner commerciali e, di conseguenza, ai clienti finali.
L’inganno inizia alla reception
Per capire come sia possibile che un truffatore riesca a usare i canali ufficiali di un hotel, bisogna fare un passo indietro e osservare come viene tesa la trappola. Le operazioni non iniziano prendendo di mira i viaggiatori, ma concentrandosi sugli hotel.
Gruppi di criminali informatici inviano email di phishing molto sofisticate agli indirizzi di posta elettronica delle strutture ricettive. Queste email sono studiate per sembrare in tutto e per tutto comunicazioni autentiche provenienti da Booking.com: possono simulare la richiesta di un cliente con esigenze particolari, una notifica su una prenotazione o un problema amministrativo.
L’obiettivo è uno solo: convincere un membro dello staff a cliccare su un link o ad aprire un allegato.
Una volta compiuta questa azione, il computer della reception viene infettato da un malware. In particolare, un’analisi di Microsoft Threat Intelligence ha identificato una campagna, denominata Storm-1865, che da mesi distribuisce un’intera gamma di software malevoli progettati per rubare le credenziali di accesso.
Tra questi figurano nomi noti agli esperti di sicurezza come XWorm, Lumma Stealer e VenomRAT, tutti programmati per cercare e sottrarre le password salvate nel sistema, comprese quelle per accedere al portale di amministrazione di Booking.com.
– Leggi anche: Baidu: da Google della Cina a gigante dell’intelligenza artificiale
In altri casi, come nella campagna chiamata PHALT#BLYX, la tecnica è ancora più ingegnosa. Dopo aver convinto l’impiegato a eseguire un file, sullo schermo del computer appare una finta “schermata blu della morte” (BSOD), il classico errore di sistema di Windows.
Il messaggio di errore, apparentemente innocuo, spinge l’utente a seguire una procedura di “riparazione” che in realtà completa l’installazione del malware DCRat, dando ai criminali il pieno controllo del dispositivo.
A questo punto, gli aggressori hanno ottenuto ciò che volevano: le chiavi di accesso all’account Booking.com dell’hotel. Non hanno avuto bisogno di forzare i sistemi di sicurezza della piattaforma, perché sono entrati dalla porta principale, utilizzando le stesse credenziali di chi lavora nell’albergo.
Ma una volta che gli aggressori hanno ottenuto l’accesso, cosa se ne fanno esattamente e come arrivano a svuotare i conti correnti dei clienti?
Dal sistema dell’hotel al portafoglio del cliente
Con le credenziali in mano, i criminali informatici possono entrare nel pannello di controllo dell’hotel su Booking.com. Da qui hanno una visione completa di tutte le prenotazioni attive: nomi dei clienti, date di soggiorno, importi pagati e, soprattutto, l’accesso al sistema di messaggistica diretta.
Questo è il passaggio che rende la truffa così efficace.
Gli aggressori non devono creare email false o siti web clonati sperando che qualcuno ci caschi; possono comunicare con i futuri ospiti utilizzando il canale più affidabile a loro disposizione, quello ufficiale, interno all’app e al sito di Booking.com.
Il messaggio inviato al cliente è studiato per non destare sospetti. Spesso fa riferimento a una presunta “nuova politica di sicurezza” o a un “errore di pre-autorizzazione” della carta, e sollecita l’utente a inserire nuovamente i propri dati di pagamento tramite un link.
Il link, ovviamente, non conduce a Booking.com, ma a una pagina di phishing identica all’originale, dove i dati della carta di credito vengono raccolti e immediatamente utilizzati per transazioni non autorizzate.
La fiducia del cliente viene tradita due volte: prima dall’hotel, il cui account è stato compromesso, e poi dalla piattaforma stessa, che diventa involontariamente il veicolo della frode. L’attacco sfrutta la reputazione del marchio per abbassare le difese delle vittime, che non si aspettano di ricevere una comunicazione fraudolenta da un canale che considerano sicuro. In contesti così delicati, si potrebbe ipotizzare che l’impiego di un CRM (customer relationship management) proprietario e altamente protetto consentirebbe alle strutture di mantenere un controllo diretto e sicuro sulle comunicazioni, riducendo la dipendenza esclusiva da portali esterni vulnerabili.
Questo meccanismo solleva domande significative sulla responsabilità.
Sebbene l’infezione iniziale avvenga sui sistemi informatici dell’hotel, spesso di piccole dimensioni e con risorse limitate da dedicare alla sicurezza, la truffa si consuma all’interno dell’infrastruttura di Booking.com.
Viene da chiedersi se le misure di sicurezza della piattaforma, come l’autenticazione a due fattori per i partner, siano sufficientemente promosse o rese obbligatorie, o se il modello di business, che si basa su una rete vastissima di partner indipendenti, non presenti una fragilità intrinseca.
La rapidità e la portata di queste campagne suggeriscono che non si tratta di episodi isolati, ma di un problema strutturale.
E a volte, per aggirare le difese, non serve nemmeno un software sofisticato.
A volte basta una telefonata
Se le email di phishing e i malware rappresentano il lato più tecnologico di questi attacchi, esiste un metodo ancora più semplice e, in certi contesti, altrettanto efficace: l’ingegneria sociale pura.
Invece di nascondersi dietro a un codice malevolo, i truffatori alzano il telefono e chiamano direttamente la reception dell’hotel. Fingendosi tecnici di Booking.com che devono effettuare una manutenzione, o clienti arrabbiati per un presunto problema con la loro prenotazione, creano una situazione di urgenza e confusione. Facendo leva sulla pressione e sulla volontà del personale di risolvere rapidamente i problemi, li convincono a rivelare le proprie credenziali di accesso.
Un caso emblematico è avvenuto negli Emirati Arabi Uniti, dove un gruppo di criminali è riuscito a compromettere i dati di migliaia di clienti semplicemente telefonando al personale degli hotel. Come riportato da Sophos, questa tecnica ha permesso di accedere a oltre 4.000 record di clienti e ai dettagli di 283 carte di credito, dimostrando che l’anello più debole della catena di sicurezza è quasi sempre quello umano.
Non importa quanto siano robusti i sistemi di una piattaforma come Booking.com, se chi li utilizza può essere indotto con l’inganno a cedere le chiavi di accesso.
Questo tipo di vulnerabilità espone un nodo centrale del rapporto tra le grandi piattaforme digitali e i loro partner più piccoli. Booking.com fornisce gli strumenti e il mercato, ma la responsabilità della sicurezza a livello locale ricade interamente sull’albergatore, che potrebbe non avere le competenze o le risorse per formare adeguatamente il proprio personale contro minacce informatiche sempre più elaborate.
La questione rimane aperta: fino a che punto arriva la responsabilità di una piattaforma che fa da intermediario?
È sufficiente fornire delle linee guida sulla sicurezza o sarebbe necessario un intervento più attivo per proteggere l’intero sistema, e di conseguenza la fiducia dei clienti che lo tengono in vita?
Finché questo equilibrio non sarà ridefinito, i viaggiatori continueranno a trovarsi nella scomoda posizione di non potersi fidare nemmeno dei messaggi che ricevono dai canali ufficiali.
