Booking.com e il phishing ClickFix: perché la sicurezza dipende dalla cultura digitale

Booking.com e il phishing ClickFix: perché la sicurezza dipende dalla cultura digitale

Introduzione rapida: cosa devi sapere subito

Una campagna di phishing denominata ClickFix sta colpendo migliaia di utenti in tutto il mondo, con particolare focus sul settore dell’ospitalità e su Booking.com. Il meccanismo è semplice ma efficace: ricevi un’email che sembra provenire da Booking.com, vieni reindirizzato a un sito falso che somiglia perfettamente all’originale, e infine ti viene chiesto di copiare e incollare un comando nel terminale o nella finestra “Esegui” di Windows. Se lo fai, installi involontariamente un malware sul tuo dispositivo.

La soluzione rapida: non copiare mai codici da pagine web, non eseguire comandi da siti sconosciuti, e verifica sempre direttamente l’URL della pagina prima di inserire dati sensibili. Se ricevi un’email da Booking.com che ti chiede azioni insolite, contatta direttamente il servizio clienti tramite il numero ufficiale.

Il caso Booking.com: come funziona l’attacco

La campagna ClickFix rappresenta un’evoluzione pericolosa delle truffe online tradizionali. A differenza dei vecchi attacchi che richiedevano semplicemente il furto di credenziali, questo schema trasforma l’utente in complice inconsapevole dell’infezione del proprio sistema.

Ecco come procede l’attacco step by step:

  1. L’email ingannevole: ricevi un messaggio che sembra provenire da Booking.com, spesso con oggetti urgenti come “Verifica della tua prenotazione” o “Cancellazione richiesta”. Il tono è professionale e crea un senso di urgenza.

  2. Il sito clone: cliccando il link, vieni reindirizzato a una pagina che riproduce fedelmente l’interfaccia di Booking.com, completa di logo, colori, e layout identici. La pagina mostra un reCAPTCHA o un errore tecnico per aumentare la credibilità.

  3. Il comando dannoso: la pagina ti chiede di risolvere il problema copiando una stringa di codice e incollandola nella finestra “Esegui” (Windows) o nel Terminale (macOS). Il comando sembra tecnico e innocuo, ma in realtà scarica ed esegue un malware direttamente sul tuo dispositivo.

  4. L’infezione: una volta eseguito, il malware (spesso un RAT, Remote Access Trojan, come AsyncRAT o DCRat) consente agli attaccanti di controllare completamente il tuo computer. Possono rubare dati sensibili, credenziali bancarie, informazioni personali, o usare il tuo dispositivo per altri attacchi.

Chi viene colpito e perché funziona

Gli attacchi non si limitano ai turisti in cerca di alloggi. Anche gli host e i proprietari di strutture ricettive sono bersagli primari. In questo caso, i criminali creano pagine di login riservate agli host, e dopo il “login” chiedono di eseguire comandi per “verificare” l’account o risolvere problemi tecnici.

Secondo le ricerche sulla sicurezza informatica, a maggio 2025 un dominio su 21 legato al turismo risultava sospetto o malevolo, rispetto a uno su 33 dell’anno precedente. Questo rappresenta un aumento drammatico del 55% di domini fraudolenti legati al settore.

Perché funziona? Semplice: la mancanza di consapevolezza digitale. La maggior parte degli utenti non sa come funziona un sistema operativo, non comprende la differenza tra un’applicazione legittima e un malware, e non ha idea del perché mai un sito web dovrebbe chiedergli di eseguire comandi di sistema. Seguono le istruzioni a video senza pensare, proprio come farebbero se qualcuno li guidasse passo dopo passo in una procedura fisica.

La cultura digitale mancante

Il problema di fondo non è la sofisticazione dell’attacco, ma la mancanza di cultura digitale di base. Le persone utilizzano dispositivi complessi senza comprenderne il funzionamento. Quando accendi una lampadina, non hai bisogno di sapere come funziona l’impianto elettrico: la tecnologia è trasparente. Ma con i computer e internet, questa trasparenza non esiste.

Un utente medio non sa:

  • Cosa sia un file eseguibile e perché sia pericoloso
  • Come funziona il terminale o la finestra “Esegui”
  • Perché un sito web legittimo non dovrebbe mai chiedere di eseguire comandi di sistema
  • Come verificare se un URL è autentico
  • Cosa sia un malware e come si diffonde

Questo gap educativo rappresenta una vulnerabilità gigantesca che i criminali sfruttano sistematicamente. E il problema non riguarda solo gli italiani o un gruppo demografico specifico: colpisce persone di tutte le età, inclusi giovani adulti che si ritengono “nativi digitali”.

Le varianti dell’attacco

Mentre scriviamo, attacchi simili colpiscono anche altri servizi. Una variante recente prende di mira Google Drive, chiedendo agli utenti di eseguire comandi nel Terminale di macOS per una “verifica di sicurezza”. Il comando apparentemente innocuo contiene codice offuscato in base64 che scarica uno script da un server esterno e lo esegue in background, rendendolo persistente anche dopo il logout.

Questi attacchi dimostrano che il problema non è specifico di Windows o di Booking.com, ma è un pattern ricorrente che sfrutta la mancanza di consapevolezza degli utenti su tutti i sistemi operativi.

Come proteggersi

Mentre la soluzione definitiva richiederebbe un’educazione digitale di massa (cosa praticamente irrealistica per miliardi di adulti), esistono misure concrete che puoi adottare:

  • Non copiare mai codici da pagine web senza sapere esattamente cosa fanno
  • Verifica sempre gli URL: controlla che l’indirizzo inizi con “https://” e che il dominio sia esattamente quello ufficiale (non booking-lossitresn.com o booking.resrv-id89149.com)
  • Attiva l’autenticazione a due fattori su tutti gli account importanti
  • Usa una VPN su reti Wi-Fi pubbliche
  • Installa e aggiorna regolarmente un antivirus affidabile
  • Se ricevi email sospette, contatta direttamente il servizio tramite il numero ufficiale
  • Sospetta di qualsiasi richiesta di eseguire comandi tecnici da parte di un sito web

I grandi portali di prenotazione stanno reagendo implementando sistemi di intelligenza artificiale per monitorare transazioni sospette e rafforzando i protocolli di verifica dell’identità. Booking.com, ad esempio, ha introdotto controlli automatici per rilevare pattern anomali nelle prenotazioni.

Technical Deep Dive: Analisi tecnica degli attacchi

Per gli utenti con competenze tecniche, è utile comprendere i dettagli dell’infezione.

Payload e persistenza: gli attacchi ClickFix utilizzano prevalentemente RAT modificati come AsyncRAT e DCRat. Il malware stabilisce accesso persistente al sistema attraverso tecniche sofisticate:

  • Creazione di link .url nella cartella di avvio che puntano a eseguibili locali
  • Iniezione in processi Windows legittimi
  • Implementazione di keylogger per intercettare sequenze di tasti
  • Raccolta sistematica di dati di sistema
  • Capacità di scaricare moduli aggiuntivi (miner, spyware, altri malware)

Offuscamento e evasione: i comandi eseguiti utilizzano tecniche di offuscamento avanzate:

  • Codifica base64 per nascondere il payload effettivo
  • Pipe a bash o PowerShell per eseguire script senza salvare file su disco
  • Utilizzo di indirizzi IP anziché nomi di dominio per evitare rilevamento DNS
  • Esecuzione in background per minimizzare la visibilità all’utente

Attribuzione: l’analisi del codice rivela tracce di sviluppo russo:

  • Stringhe di servizio e messaggi di debug in russo
  • Utilizzo di DCRat, strumento popolare nei forum underground russi
  • Formulazione grammaticalmente corretta dei messaggi, suggerendo sviluppatori madrelingua
  • Pattern coerenti con toolkit disponibili nella comunità cybercriminale russa

Vettore di infezione: il phishing sfrutta la fiducia nel marchio e crea urgenza attraverso:

  • Emulazione accurata delle interfacce ufficiali
  • Utilizzo di domini simili (homograph attacks)
  • Messaggi che simulano comunicazioni legittime (cancellazioni, verifiche, richieste di host)
  • Implementazione di reCAPTCHA falsi per aumentare credibilità

Difese sistemiche: per mitigare questi attacchi a livello organizzativo:

  • Implementare endpoint detection and response (EDR) per monitorare esecuzione di script anomali
  • Configurare Windows Defender per bloccare esecuzione di PowerShell non autorizzata
  • Utilizzare application whitelisting per controllare quali programmi possono eseguire script
  • Implementare network segmentation per limitare movimento laterale post-compromissione
  • Monitorare processi in background e connessioni di rete sospette
  • Utilizzare machine learning per identificare pattern anomali nelle prenotazioni e nelle transazioni

La resilienza dei sistemi rimane la difesa più efficace contro l’errore umano inevitabile.

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto