“Booking.com avverte i clienti di un attacco informatico che ha esposto i loro dati”. È con questo titolo che, The Guardian, il noto tabloid inglese, ha dato per primo l'allarme riguardante il nuovo data breach subito dalla piattaforma di prenotazioni online. Ad essere stati presi di mira dai cybercriminali sarebbero un numero imprecisato di nomi, contatti e dettagli di prenotazioni.

La piattaforma ha ammesso di essere stata “bucata” da un attacco informatico, dichiarando di aver “rilevato alcune attività sospette che coinvolgevano terze parti non autorizzate in grado di accedere ad alcune informazioni di prenotazione dei nostri ospiti”.

“Non appena abbiamo scoperto l'attività illecita, abbiamo preso provvedimenti per contenere il problema”, si legge nel comunicato. “Abbiamo aggiornato il codice PIN per queste prenotazioni e informato i nostri ospiti”.

Ma è davvero sufficiente? Per capire l’entità del possibile danno, forse è bene ricordare che l'azienda elenca oltre 30 milioni di strutture ricettive in tutto il mondo e afferma di mettere in contatto “milioni di viaggiatori” con esperienze, trasporti e alloggi.

Eppure, nonostante la gravità della situazione, Booking.com si è rifiutata di specificare quante persone siano state colpite dall'attacco informatico, limitandosi a dichiarare che “non sono state compromesse informazioni finanziarie”.

Certezza che tuttavia vacilla di fronte al fatto che, accedendo ad “alcune informazioni di prenotazione” associate a prenotazioni precedenti, “le informazioni a cui si è avuto accesso potrebbero includere dettagli della prenotazione, nomi, indirizzi e-mail, indirizzi postali, numeri di telefono associati alla prenotazione e qualsiasi altra informazione che potreste aver condiviso con la struttura ricettiva”. Dati di pagamento inclusi, dunque.

Purtroppo, inoltre, il data brech sopracitato non è un caso isolato. Nel 2018 alcuni cybercriminali, con tecniche di phishing erano riusciti ad impossessarsi delle credenziali di accesso dei dipendenti di un hotel negli Emirati Arabi Uniti, riuscendo così ad accedere ai dati di prenotazione di oltre 4.000 persone sulla piattaforma. E per 283 clienti, furono esposte anche le informazioni relative alle carte di pagamento.

Ma, fatto ancor più grave, Booking.com segnalò la violazione all'autorità olandese per la protezione dei dati personali con 22 giorni di ritardo. Ragione per la quale fu sanzionata con una multa di 475.000 euro. Non è andata meglio negli ultimi anni, durante i quali la piattaforma ha dovuto fronteggiare una lunga serie di tentativi di frode informatica, i cui bersagli erano sempre gli ignari utenti.

Sono stati migliaia, infatti, i messaggi con i quali veniva loro comunicato che “La tua prenotazione è a rischio”. E dopo questa premessa, i malintenzionati chiedevano i dati di pagamento per pre-autorizzare o verificare la prenotazione prima di un viaggio, accedendo così ai conti di un numero enorme di clienti che, nei giorni seguenti, si vedevano addebitate somme ingenti per operazioni di cui erano ovviamente del tutto inconsapevoli.

È probabilmente per questo che la società, sebbene sostenga che in quest’ultimo evento le informazioni bancarie non risultino compromesse, invita comunque a diffidare di e-mail o telefonate sospette legate alla prenotazione.

Tuttavia, anche se i dati bancari o quelli della propria carta di credito non dovessero essere compromessi, il problema rimane comunque. Nomi, indirizzi e-mail, numeri di telefono, (quelli che sono sicuramente stati trafugati) mettono già i cybercriminali nella condizione di rendere credibili tentativi di phishing e altre truffe online.

Se poi pensiamo che questi ultimi possono avere avuto accesso a messaggi o richieste particolari che sono stati recapitati tramite la piattaforma, ecco che l’identikit delle possibili vittime si fa ancora più completo, rendendo dunque ancora più mirati eventuali ulteriori attacchi informatici. Non è un caso che alcuni utenti hanno già segnalato di aver ricevuto messaggi sospetti su WhatsApp, contenenti informazioni accurate relative alle loro prenotazioni.

È infatti così che parte l’attività di phishing, una tecnica di ingegneria sociale in cui l'attaccante si finge un soggetto affidabile per ottenere dati sensibili o denaro. E quando il phishing utilizza informazioni reali (come riferimenti precisi ad un soggiorno, il nome dell’hotel, la data o addirittura richieste speciali avanzate in fase di prenotazione) ecco che diventa molto più difficile da riconoscere. Questa tecnica ha un nome preciso: “spear phishing”, ovvero phishing mirato, perché studiato per colpire una specifica vittima.

Ma cosa bisogna fare, adesso, se avete fatto una prenotazione su Booking? Se non avete ricevuto una comunicazione da parte della piattaforma riguardo a possibili violazioni di dati, in teoria non doveste avere motivo di preoccuparvi. In ogni caso, a prescindere dalle eventuali comunicazioni della società, alzate il livello di attenzione.

Se doveste ricevere messaggi via Whatsapp, tramite SMS o sulla vostra e-mail da parte di soggetti che si presentano come Booking o come la struttura ricettiva che avete prenotato e che chiedono qualsiasi vostro dato (soprattutto legato ai pagamenti), non rispondete, non cliccate su alcun link e ovviamente non effettuate alcun pagamento. Neanche se i riferimenti sono precisi e riguardano una vostra recente prenotazione (spear phishing, ricordate?).

Leggi anche

Tech It Easy

Instagram, stop alla crittografia DM: sicurezza o controllo?

Barbara Apuzzo
Instagram, stop alla crittografia DM: sicurezza o controllo?
Instagram, stop alla crittografia DM: sicurezza o controllo?

L’unica cosa sicura che potete fare è contattare direttamente la struttura ricettiva telefonicamente o contattare il customer care di Booking per ricevere delucidazioni. Ovviamente prendendo i dati di contatto dai siti ufficiali e mai quelli eventualmente contenuti nelle comunicazioni che ricevete. Questa regola vale sempre.

Purtroppo, l’utilizzo dell’IA per gli attacchi informatici ha impresso un’accelerazione pericolosa e dirompente a questi fenomeni criminali, cui non sempre corrisponde l’adozione di misure di protezione adeguate da parte delle aziende. Nel caso dello spear phishing, ad esempio, l’IA viene usata per analizzare dati di pubblico dominio e comportamentali presi ad esempio dai social media o, come nel caso di Booking, passando al setaccio abitudini di viaggio, informazioni personali, ecc.

Lo scopo è creare successive e-mail “cucite” su misura, dunque estremamente credibili e coerenti con il contesto del destinatario. Gli esperti avvertono sul fatto che la sofisticazione delle campagne di phishing guidate dall’IA ha raggiunto livelli altissimi e costituisce una minaccia grave. Questo richiede da parte di aziende ed enti pubblici un grande livello di attenzione nei confronti del problema e investimenti costanti per misure di difesa informatica continuamente aggiornate.

Ma i continui allarmi su episodi come quello sopracitato ci dicono che si registra ancora un grande ritardo su questo fronte. Per quanto riguarda noi, semplici utenti, mantenere aggiornati i nostri dispositivi è una prima, buona pratica, cui va tuttavia abbinata attenzione, cautela e verifica di qualsiasi contenuto (vale anche per le fake news) o messaggio.

Qualora poi dovessimo temere di essere stati vittime di truffe online, è necessaria una tempestiva segnalazione alla polizia postale. Infine, dobbiamo avere la consapevolezza di essere entrati a tutti gli effetti in un’era in cui il confine tra ciò che reale e ciò che è virtuale è sostanzialmente sparito.

Viviamo in un mondo in cui eventi accaduti nella dimensione digitale hanno impatti sempre più concreti nella vita reale. Per questo all’intelligenza artificiale dobbiamo contrapporre attenzione reale. E manutenerla. Costantemente.

Leggi anche

Diritti

Sentenza Netflix: possibili rimborsi da 500 euro

Barbara Apuzzo
Sentenza Netflix: possibili rimborsi da 500 euro
Sentenza Netflix: possibili rimborsi da 500 euro