Le agenzie di viaggio adorano rassicurarti sul fatto che i tuoi dati sono al sicuro. Booking.com ha appena ricordato a tutti perché si tratta di una promessa difficile da mantenere.
Il colosso delle prenotazioni con sede ad Amsterdam ha iniziato a informare i clienti il 13 aprile che «terze parti non autorizzate» avevano avuto accesso ai dati relativi alle prenotazioni degli ospiti. Le informazioni compromesse includono i dettagli delle prenotazioni, i nomi, gli indirizzi e-mail, gli indirizzi postali e i numeri di telefono: in sostanza, tutto ciò che serve per fingersi in modo credibile un hotel che contatta un ospite.
Sembra che i criminali abbiano avuto accesso ai dati compromettendo i partner alberghieri di Booking.com. Un rapporto di Microsoft attribuisce la responsabilità alla tecnica di phishing denominata «ClickFix», che induce le vittime (in questo caso, i dipendenti degli hotel) a installare malware camuffato da «riparazione» del computer.
Microsoft attribuisce la responsabilità dell'attacco a un gruppo criminale denominato Storm-1865, che è stato sorpreso a condurre proprio questo tipo di campagna contro il personale alberghiero in Nord America, Oceania, Asia meridionale e sud-orientale ed Europa, diffondendo malware dannosi come XWorm e VenomRAT tramite pagine CAPTCHA fasulle.
La comunicazione inviata da Booking.com ai propri clienti avvertiva che i dati compromessi avrebbero potuto essere utilizzati per attività di phishing e precisava che l'azienda non avrebbe mai richiesto informazioni sensibili né bonifici bancari.
Ma i truffatori hanno una strategia collaudata per trasformare i dati di prenotazione rubati in denaro contante. Possono appropriarsi indebitamente di una prenotazione fingendo di essere l'hotel, inviare messaggi agli ospiti richiedendo un pagamento aggiuntivo o i dati della carta di credito per una «verifica del pagamento». I dati rubati forniscono loro tutto ciò che serve per convincere il cliente dell'hotel della loro legittimità.
Tra giugno 2023 e settembre 2024, l'organizzazione britannica Action Fraud ha ricevuto 532 segnalazioni relative a truffe su Booking.com come questa, con un danno complessivo per le vittime pari a 370.000 sterline (circa 470.000 dollari).
Questo è già successo in passato ai partner e ai clienti di Booking.com. Nel 2018, alcuni criminali hanno messo in atto un attacco di phishing ai danni dei dipendenti di alcuni hotel, riuscendo ad accedere ai dati dei clienti di Booking.com. Nello stesso anno, i truffatori hanno anche condotto una campagna di voice phishing che ha preso di mira 40 hotel negli Emirati Arabi Uniti. Sono stati rubati i dati di oltre 4.000 clienti, compresi i dati delle carte di credito di 300 persone. Booking.com ha segnalato in ritardo la violazione all'autorità olandese garante della privacy, che nel 2021 ha inflitto una multa di 475.000 euro (circa 560.000 dollari).
Il problema ricorrente delle violazioni nella settore dei viaggi
Violazioni come queste sono all'ordine del giorno nel settore dei viaggi. Nel gennaio 2026, Eurail ha reso nota una violazione che ha portato alla divulgazione di numeri di passaporto, indirizzi e, per alcuni viaggiatori, fotocopie di documenti d’identità e dati sanitari. Nell’agosto 2025, KLM e Air France hanno subito il furto dei dati dei clienti. Hertz, Dollar e Thrifty sono state tutte coinvolte nello sfruttamento del software di trasferimento file Cleo da parte della banda Cl0p, con i criminali che hanno sottratto patenti di guida e dati delle carte di credito.
Ciò che è interessante in tutti questi episodi è che, proprio come nel caso della fuga di dati da Booking.com, tutti comportano la compromissione di soggetti terzi piuttosto che delle agenzie di viaggio stesse. Il settore dei viaggi dispone di enormi quantità di dati quali numeri di passaporto, carte di pagamento e itinerari. Inoltre, la sua struttura di sicurezza, caratterizzata da catene di fornitura estese, attività in franchising e piattaforme di terze parti, lo rende un bersaglio facile.
Cosa puoi fare
Quanti clienti sono stati coinvolti? Booking.com non lo rivela. Per una piattaforma con oltre 100 milioni di utenti attivi dell'app mobile e 500 milioni di visite mensili al sito web, questo silenzio è preoccupante.
Se hai utilizzato Booking.com di recente, ecco una guida pratica per proteggerti. Non fidarti dei messaggi che ti chiedono di «verificare» i dettagli di pagamento, anche se arrivano tramite la piattaforma stessa.
Ecco i consigli forniti da Booking.com in merito a queste truffe, pubblicati prima di questo ultimo episodio:
«Se non è indicata alcuna politica di pagamento anticipato né è richiesto alcun deposito, ma ti viene chiesto di pagare in anticipo per garantire la prenotazione, probabilmente si tratta di una truffa.»
Controlla l'e-mail di conferma della prenotazione per verificare l'importo esatto da pagare e la data di scadenza. Se qualcosa ti sembra strano, contatta direttamente la struttura, invece di utilizzare un link che ti è stato inviato da qualcun altro. E controlla attentamente i tuoi estratti conto bancari. I truffatori che sfruttano questo tipo di dati non agiscono sempre immediatamente.
C'è qualcosa che non va? Controlla prima di cliccare.
Malwarebytes Guardti aiuta ad analizzare immediatamente link, messaggi e screenshot sospetti.
Disponibile conMalwarebytes Premium per tutti i tuoi dispositivi eMalwarebytes per iOS Android.
