;Resize,width=767;)
Bastano il nome dell'hotel, le date del soggiorno e un numero di telefono per trasformare un semplice messaggio o una chiamata all'apparenza innocua in una trappola informatica creata ad arte. È questo il principio alla base del reservation hijacking – in italiano “dirottamento della prenotazione” – una tecnica truffaldina in cui i criminali sfruttano informazioni reali legate alle prenotazioni online di viaggi per convincere le proprie vittime a effettuare pagamenti verso conti fraudolenti o a cedere dati sensibili. Il fenomeno è tornato sotto i riflettori dopo che la BBC ha riportato i dettagli di una violazione informatica che ha coinvolto Booking.com (confermata anche dalla piattaforma) e che ha permesso ai criminali informatici di accedere a dati sensibili come nome, indirizzo e-mail e numero di telefono. Cerchiamo di capire come funziona la truffa e come difendersi.
Come funziona il reservation hijacking
La forza di questa truffa non sta tanto nella sua sofisticazione tecnica quanto nella manipolazione psicologica che i truffatori riescono a perpetrare grazie alla tecnica del reservation hijacking. Ricevere una telefonata da qualcuno che conosce il nome della struttura in cui soggiorneremo, l'orario del check-in o persino il numero della nostra prenotazione ci rende naturalmente più inclini a fidarci. I cybercriminali sfruttano proprio questo meccanismo per simulare comunicazioni di assistenza clienti apparentemente autentiche. Quasi sempre lo fanno per indurre la potenziale vittima a eseguire un bonifico urgente, reinserire i dati della carta o completare un pagamento “necessario” per confermare la prenotazione.
Sia chiaro: il reservation hijacking non nasce oggi. È una tecnica che esiste da tempo. La disponibilità di dati ottenuti tramite data breach – violazioni informatiche con fuoriuscita di informazioni (vedi il recente caso di Booking.com, già citato poc’anzi) – rende però questi tentativi sempre più efficaci. In passato i truffatori cercavano soprattutto di compromettere gli account delle strutture ricettive per inviare messaggi fraudolenti ai clienti direttamente dalle piattaforme di prenotazione. Oggi possono anche contattare le vittime in modo diretto, usando informazioni già trafugate altrove.
Secondo quanto riportato dalla BBC, alcuni utenti hanno iniziato a ricevere comunicazioni sospette poco dopo la notizia dell'attacco. Booking.com ha dichiarato di aver aggiornato i codici PIN delle prenotazioni e di aver avvisato via e-mail gli utenti potenzialmente coinvolti, invitandoli a prestare attenzione a possibili tentativi di phishing.
Lo schema della frode è abbastanza ricorrente. Si riceve un SMS, un'e-mail o una telefonata da qualcuno che sostiene di lavorare per l'hotel, la compagnia aerea o il servizio di autonoleggio legato al viaggio. E la comunicazione verte quasi sempre su un problema urgente da risolvere: un pagamento non andato a buon fine, una verifica della carta da effettuare o la necessità di riconfermare la prenotazione per evitarne la cancellazione. L'elemento della fretta è centrale, perché punta a ridurre le probabilità che l'utente vada a verificare le informazioni con calma e incute in quest'ultimo una certa pressione legata al non voler incorrere in problemi durante il viaggio.
Per rendere il raggiro più realistico, i criminali raccolgono dettagli da più fonti. Oltre ai dati ottenuti tramite violazioni informatiche, entrano in gioco e-mail compromesse e contenuti pubblicati sui social. Se su Instagram, Facebook e TikTok sono state lasciate dall'utente “briciole” riguardo alle prossime vacanze, i criminali informatici potrebbero andare a raccoglierle per rendere il tentativo di truffa più efficace.
Come difendersi ed evitare la truffa
Ma se il reservation hijacking è così insidioso, possiamo realmente fare qualcosa per difenderci? Certo che sì. Gli esperti di sicurezza informatica indicano che la contromisura più efficace rimane quella della verifica indipendente. Se qualcuno ci contatta a nome di una struttura ricettiva chiedendo un pagamento, la prima cosa da fare è chiudere la chiamata o interrompere la conversazione e ricontattare direttamente l'hotel attraverso i canali ufficiali indicati sul suo sito ufficiale o nella conferma della prenotazione. Questo semplice passaggio è spesso sufficiente per smascherare il tentativo di frode.
Anche le modalità di pagamento richieste sono un segnale da non trascurare. Booking.com ha chiarito alla BBC che non chiederà mai ai clienti di comunicare i dati della carta tramite telefono, e-mail, SMS o app di messaggistica (come WhatsApp), né di effettuare bonifici diversi da quelli specificati nelle condizioni ufficiali della prenotazione. In generale, qualsiasi richiesta che sposti la conversazione fuori dai canali ufficiali va vista con sospetto.
;Resize,width=767;)
;Resize,width=727;)
;Resize,width=727;)
