Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Le truffe che impersonano Booking, basate su dati reali, stanno evolvendo in una minaccia quasi invisibile. Gli accessi tramite terze parti hanno esposto i dati di prenotazione, permettendo ai criminali di impersonare strutture reali. Le tecniche ClickFix stanno trasformano l’utente nell’esecutore dell’attacco. Il fenomeno, associato a cluster Storm-1865, punta alla monetizzazione, e sfrutta contesti credibili, rendendo inefficaci i segnali classici di allarme.
Secondo quanto riportato da diverse fonti, tra cui un’analisi di Malwarebytes, delle terze parti non autorizzate, avrebbero avuto accesso a dati reali delle prenotazioni di Booking.com tra i quali nomi, indirizzi email, numeri di telefono, indirizzi fisici, oltre a dettagli di soggiorno.
Presi singolarmente, i dati non rappresentano novità nel panorama delle violazioni.
Ma inseriti all’interno di un contesto di una prenotazione, diventano qualcosa di importante. Non servono email scritte male, domini sospetti o loghi sgranati.
Basta continuare una conversazione già esistente con l’host.
Le evidenze analizzate, attraverso materiale visivo verificato, mostrano delle schermate perfettamente coerenti con l’esperienza utente della piattaforma. Conferme di prenotazione, PIN, importi, date e dettagli della struttura.
Non si tratta di ricostruzioni, ma di informazioni autentiche, sufficienti a creare una comunicazione che diventa totalmente indistinguibile da quella legittima. In questo scenario, il phishing tradizionale perde significato. Non si tratta più di convincere qualcuno, ma si tratta di sostituirsi a un interlocutore reale.
La domanda, a questo punto, non è cosa sia successo a Booking.com, ma come ci siano arrivati i criminali informatici.
Le ricostruzioni che risultano essere le più accreditate, indicano che l’accesso non sia avvenuto sui sistemi della piattaforma, ma attraverso uno dei punti fragili dell’intero ecosistema. Le terze parti. E qua si parla di strutture alberghiere, operatori del settore hospitality, realtà distribuite attorno all’ecosistema di Booking che ogni giorno interagiscono con la piattaforma e che, proprio per questo, sono un punto di accesso ideale.
Con questi dati entra in gioco una tecnica documentata da Microsoft in campagne attive tra il 2024 e il 2025. Il nome è ClickFix, dove dietro si nasconde un meccanismo tanto semplice quanto efficace.
L’attaccante invia un’email credibile, legata ad esempio a Booking.com, la quale conduce la vittima su una pagina che simula un controllo di sicurezza. A quel punto non viene sfruttata una specifica vulnerabilità del software, ma una vulnerabilità molto più universale che è il comportamento umano.
L’utente viene guidato a “copiare e incollare” un comando nel sistema, eseguendolo in autonomia. È a tutti gli effetti un gesto banale, automatico, che però avvia il download e l’esecuzione di malware.
Qua non ci sono exploit, non ci sono zero-day, non c’è nulla che possa essere intercettato facilmente da un sistema automatico. È l’utente stesso che apre la porta al criminale informatico.
Microsoft ha tracciato queste attività con il nome di Storm-1865. Non si tratta di un gruppo mosso da interessi di stato, né una sigla nota al grande pubblico. È invece un cluster di attività e una “definizione operativa” utilizzata quando non esiste ancora un’attribuzione precisa, ma il comportamento malevolo risulta riconoscibile.
Le campagne associate a questa etichetta sono attive da almeno il 2023 e si muovono con una certa logica e pragmatismo. Non c’è visibilità, non puntano alla distruzione o allo spionaggio strategico, in questo contesto l’obbiettivo risulta solo la monetizzazione..
Storm-1865 diventa particolarmente interessante per la sua capacità di adottare tecniche tipiche delle operazioni avanzate, mantenendo una finalità puramente criminale. Le loro campagne, possono combinare social engineering mirato, distribuzione di malware come XWorm, VenomRAT o Lumma Stealer e l’accesso persistente all’interno dei sistemi compromessi.
Il gruppo non si limita ad entrare, ma restano, osservano, raccolgono dati e aspettano il momento giusto per usarli.
I dati sottratti non vengono rivenduti nei circuiti underground, ma vengono utilizzati per costruire truffe credibili. Le vittime ricevono messaggi provenienti dalla struttura presso cui hanno prenotato, con delle richieste di pagamento aggiuntivo, verifiche della carta o comunicazioni urgenti legate al soggiorno. Tutto sembra essere coerente e logico, perfettamente inserito nel contesto della prenotazione e non c’è nulla che faccia scattare un allarme immediato.
Secondo i dati dell’ente britannico Action Fraud, tra il 2023 e il 2024 sono stati registrati 500 casi legati a questo tipo di truffe, per un totale di 370.000 sterline sottratte. Numeri importanti che, con ogni probabilità, sono solo una parte del fenomeno.
Il settore travel si basa su una rete estremamente estesa di attori, di piattaforme globali, strutture locali, fornitori terzi, sistemi di gestione altamente distribuiti. E’ quindi una filiera complessa, in cui la sicurezza non è uniforme e dove un singolo anello debole può compromettere l’intero sistema.
Resta ancora un ultimo elemento, forse il più delicato da comprendere. Booking.com non ha comunicato quanti utenti sono stati coinvolti e per una piattaforma con centinaia di milioni di utenti, questo silenzio pesa. Questa mancanza può significare che la portata dell’incidente non è ancora chiara, oppure che lo è fin troppo.
Ma a parte l’incidente di Booking, la vera trasformazione riguarda la natura stessa delle truffe. Quando un attaccante conosce i dettagli di un tuo viaggio, il periodo di soggiorno, il nome della struttura e il contesto della comunicazione, non sta più cercando di convincerti.
Sta solo prendendo il posto di qualcuno che ti aspettavi di sentire e in quel momento, il phishing smette di sembrare falso.
