Alla febbre per i biglietti di Bad Bunny a Madrid si è aggiunto un nuovo problema: che il tuo viaggio da sogno finisca per essere una truffa a causa dell’ultimo attacco informatico a Booking. In questi giorni sono stati molti gli utenti sui social media che hanno reso pubblico di aver prenotato un hotel o un appartamento e ora temono di scoprire, una volta arrivati nella capitale, che quella camera era già occupata o non è mai esistita.
Ad aprile, Booking ha ammesso di aver subito un attacco informatico che ha permesso a terzi non autorizzati di accedere ai dati relativi alle prenotazioni di alcuni clienti. La piattaforma stessa ha ammesso che gli hacker hanno potuto vedere nomi, e-mail, numeri di telefono e dettagli delle prenotazioni (date, alloggi, messaggi scambiati), anche se insiste sul fatto che non sono trapelati dati finanziari come i numeri delle carte di credito.
Con queste informazioni in mano, i cybercriminali hanno iniziato a lanciare attacchi di phishing molto mirati: e-mail, messaggi e WhatsApp che includono dati reali della prenotazione e che si spacciano per l’hotel o per Booking per chiedere pagamenti extra, confermare presunte modifiche o reindirizzare l’utente verso siti web falsi. L’Istituto Nazionale di Cybersicurezza (INCIBE) e la stessa azienda avvertono che questi tentativi di frode potrebbero aumentare nei periodi di forte domanda.
Perché questo problema colpisce in particolare chi viene a vedere Bad Bunny
I dieci concerti del cantante portoricano al Riyadh Air Metropolitano mobiliteranno circa mezzo milione di persone tra il 30 maggio e il 15 giugno, molte delle quali arriveranno da fuori Madrid e avranno bisogno di un hotel o di un appartamento per una o più notti. Questo contesto è perfetto per i truffatori: alta saturazione degli alloggi, prenotazioni effettuate con largo anticipo, prezzi alle stelle nelle date chiave e fan disposti a cercare “occasioni” dell’ultimo minuto o ad accettare modifiche senza fare troppe domande pur di non perdere il viaggio.
A questo si aggiunge un problema di fondo che gli esperti di sicurezza informatica segnalano da anni, ovvero che Booking permette l’affiliazione di strutture ricettive con controlli che non sempre individuano in tempo gli annunci falsi o gli account degli esercizi hackerati, il che apre la porta alla pubblicazione di appartamenti e hotel che in realtà non esistono o che sono già stati prenotati da altri ospiti. Il risultato è lo scenario che molti temono e che alcuni già raccontano: arrivare a Madrid, mostrare la conferma… e scoprire che quell’alloggio è occupato, non riconosce la tua prenotazione o non compare nemmeno sul portale perché l’account è stato disattivato a seguito della frode.
Come avvengono le truffe
I modelli descritti dagli organismi di sicurezza informatica e dalle persone coinvolte si ripetono.
Alcuni esempi:
- Messaggi che arrivano via e-mail, WhatsApp o SMS citando il tuo nome, le date esatte e l’hotel prenotato, segnalando un problema urgente: “errore di pagamento”, “overbooking”, “necessità di verificare la tua carta per l’evento di Bad Bunny”, ecc.
- Link che sembrano provenire da Booking o dalla struttura ricettiva, ma che in realtà portano a moduli falsi in cui vengono richiesti nuovamente i dati della carta di credito o viene richiesto un bonifico “per garantire la prenotazione nei giorni di alta richiesta”.
- Presunti “cambiamenti dell’ultimo minuto” offerti dalla struttura stessa, che ti chiedono di cancellare e pagare di nuovo al di fuori della piattaforma, cosa che apre la porta a doppie addebiti o a ritrovarti senza camera e senza soldi.
Il problema è che, dato che gli hacker dispongono dei dati reali della prenotazione, i loro messaggi sembrano molto più credibili di un generico tentativo di phishing. Ecco perché sia Booking che gli esperti insistono su un concetto fondamentale: la piattaforma non ti chiederà mai i dati della tua carta di credito né ti richiederà pagamenti aggiuntivi tramite canali esterni (e-mail, WhatsApp, telefonate) diversi dalla sua app o dal sito ufficiale.
Cosa consiglia l’INCIBE
Sia la piattaforma che organismi come INCIBE e le forze dell’ordine hanno diffuso una serie di linee guida chiare.
Tra queste:
- Non condividere mai i dati della carta di credito via e-mail, telefono, WhatsApp o social network, anche se il messaggio include dettagli reali della tua prenotazione.
- Accedi sempre alla tua prenotazione digitando l’indirizzo di Booking nel browsero dall’app, non tramite link che ricevi nei messaggi.
- Verifica eventuali modifiche direttamente con la struttura utilizzando i dati di contatto ufficiali (il loro sito web, il numero di telefono verificato, ecc.) e non accettare pressioni per pagare “subito”.
- Se sospetti di aver inserito i tuoi dati su un sito falso, contatta immediatamente la tua banca per bloccare la carta e sporgi denuncia alla polizia.
Booking, da parte sua, ha imposto il reset dei PIN delle prenotazioni interessate e assicura di stare rafforzando i propri sistemi, anche se non ha specificato quanti utenti spagnoli siano coinvolti.