Chi prenota viaggi online dovrebbe prestare molta attenzione a una minaccia che sta guadagnando terreno: si chiama reservation hijacking, traducibile più o meno come “furto delle prenotazioni”, ed è un raggiro pensato per colpire i viaggiatori sfruttando informazioni reali legate alle loro prenotazioni. Il meccanismo è tanto semplice quanto efficace: i truffatori entrano in possesso dei dettagli di una prenotazione effettuata dalla vittima, che sia un hotel, un volo o un autonoleggio, e li usano per costruire una comunicazione credibile. Lo scopo? Convincere la persona a inviare denaro o dati sensibili a un destinatario sbagliato.
La cosa preoccupante è che questo tipo di frode ha ricevuto una spinta notevole dopo una violazione informatica che ha coinvolto Booking.com. L’attacco, risalente ad aprile, non avrebbe esposto informazioni finanziarie, ma ha comunque fatto trapelare nomi, indirizzi email, numeri di telefono e dettagli sulle prenotazioni degli utenti. E quando un truffatore sa dove alloggerete, in quali date e ha anche il modo di contattarvi direttamente, lo scenario diventa molto più convincente del solito. Booking.com ha dichiarato di aver avvisato via email tutti i clienti coinvolti: controllare la propria casella di posta è già un primo passo importante.
Come funziona il reservation hijacking e perché è così insidioso
Il reservation hijacking può presentarsi in forme diverse, e come molte truffe digitali tende a evolversi nel tempo. Lo schema di base prevede che qualcuno contatti la vittima spacciandosi per un dipendente della struttura o del servizio presso cui è stata effettuata una prenotazione. Può essere una telefonata, un’email oppure un sms.
Per ottenere le informazioni necessarie, i criminali possono attaccare direttamente i sistemi delle strutture ricettive, sfruttare un data breach come quello di Booking.com, oppure anche semplicemente curiosare tra i social media della vittima. Basta un post in cui qualcuno condivide la meta delle prossime vacanze o il conto alla rovescia per la partenza per fornire materiale utile ai malintenzionati. Insomma, il fatto che qualcuno conosca i dettagli dei piani di viaggio non significa affatto che sia davvero chi dice di essere.
L’obiettivo finale è quasi sempre economico. Tra le tattiche più usate ci sono la richiesta di un bonifico bancario o dei dati della carta di credito, con la scusa di confermare la prenotazione o risolvere un presunto problema con il pagamento. E c’è sempre una componente di urgenza: i truffatori cercano di mettere fretta, perché sanno che una persona sotto pressione tende a ragionare meno e ad agire d’impulso.
Come difendersi dal reservation hijacking
La buona notizia è che proteggersi dal reservation hijacking non richiede competenze particolari. Vale la regola d’oro di tutte le truffe: mai dare seguito a richieste di denaro o di dati personali senza prima aver verificato l’identità di chi sta parlando. Se qualcuno chiama dicendo di essere dell’hotel dove è stata fatta la prenotazione, proporre di richiamare direttamente la struttura tramite i contatti ufficiali può bastare a smascherare il tentativo.
Booking.com ha chiarito che non chiederà mai ai clienti di condividere informazioni sulla carta di credito via telefono, email o sms, né di effettuare pagamenti con modalità diverse da quelle indicate nella prenotazione. Chi cerca di sottrarre denaro proverà sempre a spostare la conversazione fuori dai canali ufficiali, dove è più facile ingannare.
