Settimana 9: Gli hotel e i loro ospiti sempre più nel mirino dei cibercriminali

Service navigation

Ricerca

Navigazione

Settimana 9: Gli hotel e i loro ospiti sempre più nel mirino dei cibercriminali

04.03.2025 - Nel quadro della sua consueta retrospettiva settimanale l’Ufficio federale della cibersicurezza (UFCS) ha già riferito più volte di ciberattacchi contro gli hotel e i loro ospiti. Negli ultimi giorni l’UFCS ha nuovamente ricevuto diverse segnalazioni di questo tipo da parte degli ospiti degli hotel. Esiste un filo conduttore: gli hotel presso cui hanno prenotato sono stati vittime di un ciberattacco e i truffatori sono riusciti ad accedere ai dati delle prenotazioni.

Le segnalazioni ricevute dall’UFCS circa e-mail di phishing mirate agli ospiti degli hotel portano a una sola conclusione: gli alberghi prenotati sono stati vittime di un ciberattacco. I truffatori sono riusciti ad accedere ai dati sensibili delle prenotazioni, una grave minaccia sia per gli hotel colpiti che per i loro ospiti. Le e-mail e i messaggi di testo inviati agli ospiti dell’hotel di solito indicano che qualcosa è andato storto con la prenotazione e che devono accedere nuovamente e inserire i dati della carta di credito. In un altro caso, agli ospiti di un hotel è stato chiesto di effettuare un pagamento di oltre 2000 franchi su un IBAN estero e di inviare la ricevuta come prova al presunto portale dell’hotel. Utilizzando esempi attuali, la presente retrospettiva settimanale mostra i modelli di attacco sia dal punto di vista degli hotel che da quello degli ospiti.

Il ciberattacco dalla prospettiva degli hotel

Per indurre i dipendenti dell’hotel a installare il malware, i truffatori si fingono ospiti e simulano varie situazioni. In un caso, ad esempio, il presunto ospite ha affermato che durante il soggiorno in hotel si erano verificati dei problemi che non erano ancora stati risolti. I dettagli sarebbero disponibili sulla piattaforma di prenotazione «booking.com». In un altro caso, i malintenzionati hanno affermato che, sebbene fosse stato effettuato un pagamento per la camera d’albergo, questo era stato successivamente cancellato e l’hotel doveva fare la sua per risolvere l’incidente. Anche qui viene fornito un link al portale di prenotazione. Tuttavia, cliccando sul link non si apre «booking.com»: l’hotel viene infatti reindirizzato a una pagina completamente diversa creata dai truffatori.

E-mail di un presunto ospite di un hotel. I cibercriminali intendono ingannare i dipendenti dell’hotel spingendoli a cliccare sul link.
E-mail di un presunto ospite di un hotel. I cibercriminali intendono ingannare i dipendenti dell’hotel spingendoli a cliccare sul link.

Tuttavia, la pagina non si apre immediatamente dopo aver cliccato sul link. Per prima cosa viene visualizzato un cosiddetto captcha in cui si deve dimostrare di essere un essere umano e non un robot. Tali captcha sono ormai utilizzati per la protezione di molti siti web e non sono quindi rari. Di solito si tratta di problemi matematici da risolvere o di oggetti da riordinare.In questo caso, tuttavia, è necessario premere il tasto Windows e il tasto R. Quindi premere contemporaneamente il tasto «Control» e il tasto V e confermare con il tasto «Enter».

Presunto captcha per dimostrare di essere un umano. Tuttavia, la combinazione di tasti installa il malware sul computer.
Presunto captcha per dimostrare di essere un umano. Tuttavia, la combinazione di tasti installa il malware sul computer.

Se si seguono queste istruzioni, è molto probabile che il computer venga infettato da malware. Abbiamo già osservato questa procedura nel caso del malware Lumma Stealer riferendone nell’apposita retrospettiva settimanale. Caricando la pagina viene automaticamente copiato un codice dannoso nella cache ed eseguito sul computer interessato utilizzando la combinazione di tasti sopra descritta. In questo modo il malware viene scaricato e installato sul dispositivo utilizzato. Se si tratta di un computer che ha accesso al sistema di prenotazione dell’hotel, i cibercriminali possiedono così tutti i dati necessari per adescare gli ospiti.

Il ciberattacco dalla prospettiva degli ospiti

Nelle ultime settimane, l’UFCS ha osservato diverse varianti di attacchi di phishing agli ospiti degli hotel, di effifacia variabile. In una variante, i truffatori hanno inviato un semplice messaggio di testo con l’appellativo corretto, un link e il rimando a una comunicazione importante da parte dell’hotel. Se la vittima clicca sul link, si apre una pagina di prenotazione che emula quella dell’hotel. Qui viene chiesto di inserire i dati della carta di credito.

SMS fraudolenti con l’appellativo corretto, che chiedono all’ospite dell’hotel di cliccare sul link.
SMS fraudolenti con l’appellativo corretto, che chiedono all’ospite dell’hotel di cliccare sul link.

In un’altra variante, la vittima ha ricevuto un’e-mail dall’hotel con un link a un portale di prenotazione che imitava fedelmente «booking.com». Per confermare la prenotazione, la vittima doveva effettuare un bonifico di oltre 2000 franchi su un IBAN e poi caricare la ricevuta di pagamento sul portale. Oltre al metodo di pagamento insolito, è sospetto anche il fatto che non si tratti di un IBAN svizzero ma straniero. Gli autori fanno anche pressione sulla vittima, dicendole che ha 48 ore di tempo, altrimenti la prenotazione scadrà. Si tratta di un tipico trucco per mettere sotto pressione la vittima con una scadenza e minimizzare così i dubbi sulla procedura.

Conferma della prenotazione nello stile di booking.com. Per ultimare la conferma, occorre versare l’importo richiesto all’IBAN fornito e caricare la ricevuta sul sito.
Conferma della prenotazione nello stile di booking.com. Per ultimare la conferma, occorre versare l’importo richiesto all’IBAN fornito e caricare la ricevuta sul sito.

Misure per gli hotel

  • Gli alberghi si trovano a dover aprire molti documenti trasmessi dagli ospiti. I file eseguibili non devono però essere aperti per nessuna ragione;
  • Prestate attenzione quando installate dei programmi. Scaricate programmi esclusivamente da fonti sicure e affidabili;
  • Siate prudenti con CAPTCHA inusuali;
  • Se sospettate che il vostro computer sia stato infettato, disconnettetelo immediatamente da Internet e cambiate le password di tutti i vostri account online da un altro dispositivo non compromesso. Rivolgetevi a un informatico esperto;
  • Eseguire backup regolari facilita il ripristino dei vostri dati;
  • Mantenete sempre aggiornati i sistemi;
  • Pensate a una strategia che vi permetta di tenere i computer dedicati alla comunicazione con gli ospiti separati dal resto della rete.

Misure per gli ospiti:

  • In generale vale il principio: non inserite mai dati sensibili su siti web che avete aperto da un’e-mail o un SMS;
  • Nessuna banca, nessun emittente di carte di credito e nessun hotel vi chiederà mai di modificare una password o di verificare i dati della carta di credito via e-mail;
  • Se doveste ricevere una simile e-mail di phishing, contattate subito l’hotel e la piattaforma di prenotazione;
  • Diffidate delle e-mail in cui vi si chiede di eseguire un’azione, come ad esempio cliccare su un link o aprire un allegato;
  • Ricordate che i mittenti delle e-mail possono essere falsificati facilmente;
  • Attivate, se possibile, un’autenticazione a due fattori. Ciò garantisce un maggiore livello di protezione per impedire che il vostro account venga violato.

Numeri e statistiche attuali

Segnalazioni della scorsa settimana per categoria:

Numeri attuali

Ultima modifica 04.03.2025

Inizio pagina

https://www.ncsc.admin.ch/content/ncsc/it/home/aktuell/im-fokus/2025/wochenrueckblick_9.html