WhatsApp è diventato il terreno di caccia preferito per una nuova ondata di raggiri che colpisce chi ha appena prenotato una vacanza. Il meccanismo è subdolo perché parte da un messaggio che sembra arrivare direttamente dall’hotel scelto, con tanto di dettagli reali della prenotazione, e chiede di inserire i dati della carta di credito per una presunta verifica. Una truffa degli hotel che gioca tutto sulla credibilità delle informazioni mostrate, e proprio per questo riesce a ingannare anche utenti attenti.
Come lavorano i cybercriminali dietro la truffa
Il fenomeno è partito a marzo e da allora si è allargato parecchio. I messaggi viaggiano in almeno sei lingue diverse, tra cui inglese, tedesco, francese, spagnolo, polacco e rumeno, segno che dietro non c’è qualche improvvisato ma un’organizzazione che lavora su scala internazionale. Le vittime si contano in oltre 10 paesi, dal Regno Unito alla Germania, passando per Polonia, Francia, Romania, Paesi Bassi, Canada, Singapore, Portogallo e Colombia.
Quello che rende il tutto più pericoloso è l’approccio. Niente email di phishing generiche, di quelle che fiutiamo a chilometri di distanza. Qui i criminali inviano messaggi che fanno riferimento a prenotazioni vere e proprie. Dentro la comunicazione ci sono il nome del cliente, l’indirizzo email, il numero di telefono, le date di check in e check out, il nome dell’hotel e perfino l’identificativo della prenotazione. Tutto corretto, tutto plausibile.
E qui arriva la parte più scomoda. Questi dati non vengono fuori dal nulla, ma da un data breach, ossia dall’accesso ai sistemi degli hotel dopo un attacco informatico. Negli ultimi tempi sono spuntate comunicazioni che sembravano arrivare da Booking.com. Il punto debole, spesso, è proprio il personale delle strutture, che clicca su link malevoli e finisce per consegnare le proprie credenziali di accesso ai malintenzionati.
Cosa succede quando si clicca sul link
Una volta in possesso delle informazioni, i truffatori passano all’attacco vero e proprio. Il messaggio WhatsApp avvisa il cliente che la prenotazione necessita di una verifica tramite carta di credito entro 24 ore, altrimenti verrà cancellata. Rassicurano dicendo che non ci sarà alcun pagamento, soltanto un’autorizzazione temporanea. Una mossa pensata apposta per abbassare la guardia.
Chi clicca sul link finisce su un portale costruito con cura, con un design quasi identico a quello legittimo. Lì viene chiesto di inserire i dati della carta di credito, ovvero numero, data di scadenza, codice CVV e nome del titolare. Inutile dire dove vanno a finire quelle informazioni. I cybercriminali le usano per piazzare transazioni oppure le rivendono nel dark web, alimentando un giro che non si ferma mai.
La regola da tenere a mente è semplice. Nessun hotel chiede mai di verificare una prenotazione tramite WhatsApp. Quel genere di controllo si fa sul sito ufficiale della struttura o sulle piattaforme di intermediazione, che siano Booking.com, Expedia o altre dello stesso tipo. Se arriva un messaggio sospetto, conviene segnalarlo a WhatsApp e alle autorità, evitare con cura di toccare qualunque link e bloccare subito il numero del mittente.