;Resize,width=638;)
Ogni estate, milioni di persone prenotano online la loro vacanza ideale. Ma ciò che molti ignorano è che, dietro l'apparente comodità delle piattaforme digitali, si nasconde una minaccia in forte crescita: i siti web truffa che imitano servizi affidabili come Booking.com ed Airbnb. Secondo recenti analisi condotte da Check Point, azienda israeliana attiva nel settore della cybersecurity, nel solo mese di maggio 2025 sono stati registrati oltre 39.000 nuovi domini legati al mondo dei viaggi, con 1 dominio su 21 ritenuto sospetto o dannoso. Gli attacchi non si limitano a ingannare i turisti in cerca di un alloggio per le proprie vacanze: anche le strutture ricettive vengono prese di mira con trappole digitali sempre più sofisticate, come falsi sistemi di autenticazione e link malevoli capaci di installare virus e malware nei dispositivi. Per questo è fondamentale adottare buone pratiche di igiene digitale – dall'uso di autenticazione a più fattori alla verifica degli URL – per proteggere i propri dati personali e finanze.
Esempi di truffe sugli affitti brevi per le vacanze
A maggio 2025, l'incremento di domini legati al turismo ha registrato un +55% rispetto all'anno precedente. Un aumento che non è casuale, ma direttamente connesso alla crescente attività di criminali informatici che mirano a sfruttare la prevedibilità stagionale degli utenti. Il metodo è collaudato: vengono creati siti Web che simulano in modo convincente le interfacce di piattaforme famose e affidabili, come Airbnb o Booking. Questi siti vengono poi pubblicizzati attraverso e-mail o messaggi ingannevoli, inducendo le vittime a inserire credenziali, dati bancari o a compiere azioni che mettono a rischio la sicurezza dei dispositivi.
Un esempio concreto riguarda un falso sito con dominio clflrm-relslrlv-today.com, progettato per imitare la pagina di pagamento di Airbnb. Questo sito presentava il logo ufficiale e una grafica simile a quello del noto portale online per gli affitti brevi, ed era nato con un solo obiettivo: carpire i dati della carta di credito dei malcapitati utenti, compresi il codice CVV e la data di scadenza.
Anche Booking è stato preso di mira: sotto il dominio booking-lossitresn.com, è stato scoperto un portale fraudolento rivolto ai proprietari di strutture. In questo caso, il sito simulava la schermata di accesso per host, e dopo il login richiedeva azioni come premere combinazioni di tasti (Win + R, Ctrl + V e Invio) che attivavano un comando dannoso. Questo comando scaricava e installava un RAT (Remote Access Trojan), ovvero un malware che consente il controllo remoto del computer da parte dell'attaccante tramite un server C2 (questa tipologia di server funge da da “ponte” tra criminali informatici e device infetti). In particolare, veniva utilizzato AsyncRAT, un software noto per essere impiegato in attacchi mirati a furto di dati e sorveglianza non autorizzata.
Ma non sono solo i siti Web il veicolo delle truffe. Anche le e-mail di phishing si stanno evolvendo. Un'altra campagna identificata da Check Point ha preso di mira direttamente gli host di Booking.com, con messaggi che sembravano provenire da ospiti alla ricerca di oggetti smarriti. Il trucco stava nel link contenuto nell'e-mail, che reindirizzava a un sito denominato booking.resrv-id89149.com, un clone accurato della pagina di accesso ufficiale. Una caratteristica interessante – e preoccupante – è la personalizzazione dei messaggi, segno del probabile uso dell'intelligenza artificiale generativa da parte degli hacker. Questo consente di creare messaggi sempre nuovi, rendendo più difficile per i sistemi automatici riconoscerli come pericolosi.
Come riconoscere i siti falsi e difendersi dalle truffe estive
Durante le ferie estive il comportamento online degli utenti diventa più uniforme e prevedibile. Prenotazioni, conferme, comunicazioni con host e richieste di supporto si intensificano, offrendo agli aggressori una quantità enorme di dati su cui costruire esche credibili. E mentre molti, con l'avvicinarsi delle ferie, abbassano la guardia, i criminali lavorano intensamente per approfittare di attimi di disattenzione e rilassatezza delle potenziali vittime. Ecco perché vi invitiamo a limitare i rischi legati alle truffe online estive seguendo i suggerimenti forniti dagli esperti di Check Point, che riassumiamo di seguito.
- Verificate attentamente l'URL dei siti Web: i truffatori spesso usano domini simili a quelli legittimi, con l'aggiunta di piccole variazioni (ad esempio, estensioni .today, .info, .site) o errori ortografici impercettibili (come b00king.com oppure airbmb.com). Un URL con errori di ortografia, simboli anomali o domini non ufficiale deve sempre essere considerato come sospetto.
- Prenotate solo da fonti ufficiali: scrivete manualmente l'indirizzo del sito nella barra del browser o usate le app ufficiali fornite da questi ultimi. Non cliccate mai su link ricevuti via e-mail o messaggio se non siete sicuri della loro provenienza.
- Attivate l'autenticazione a più fattori (MFA): questo sistema aggiunge un ulteriore livello di verifica che vi protegge qualora le vostre password dovessero finire nelle mani sbagliate.
- Usate una VPN su reti pubbliche: se proprio dovete collegarvi a un Wi-Fi pubblico presente in aeroporto o in hotel, fatelo sfruttando una Virtual Private Network, che cripta i dati trasmessi, proteggendovi da possibili intercettazioni.
- Installate software di sicurezza: soluzioni antivirus e anti-malware che controllano e bloccano comportamenti sospetti in tempo reale, sia su PC che su smartphone, possono fare la differenza.
;Resize,width=767;)
;Resize,width=712;)
;Resize,width=270;)
;Resize,width=270;)
;Resize,width=270;)
