Ho ricevuto un messaggio WhatsApp da una certa Emma Larsen che mi comunicava l’esigenza di dover verificare i dettagli di una mia prenotazione presso Booking.com. Il messaggio presentava tutti i crismi di una comunicazione ufficiale, salvo alcuni dettagli che mi hanno subito messo in allarme. Il primo, la provenienza: il messaggio veniva dall’Inghilterra, come il numero di telefono denotava abbastanza chiaramente. Mi sono chiesto: perché la direzione di un hotel di Flores (Indonesia) dovrebbe avere una sede in Gran Bretagna? La seconda, la richiesta di una trattenuta temporanea di una cifra per la verifica della carta di credito, che – assicuravano – sarebbe stata rilasciata immediatamente. La terza, ben più inquietante, l’invito a fare tutto entro e non oltre 24 ore pena l’annullamento della prenotazione.
Il volto rassicurante della signorina non mi persuadeva per niente, è vero, ma ammetto che in un primo momento sono stato ingannato da un dettaglio che sembrava confermare l’autenticità del messaggio: l’indicazione dell’ID di prenotazione. Sono andato a controllare sul sito ufficiale di Booking e ho scoperto che era corretto. Quindi tutti gi elementi concorrevano a confermare che si trattava proprio di un messaggio inviato dalla struttura e non un tentativo piuttosto bieco di phishing.
Pertanto, ho deciso di andare avanti e ho cliccato sul link. Mi sono trovato in una pagina del tutto simile a quella di Booking.com: la grafica era perfetta, le date corrette, l’albergo era quello giusto… l’unica stonatura erano i campi vuoti del form, come si vede nell’immagine sopra: avrebbero dovuto apparire già compilati, se la pagina raccoglieva i dati dal database ufficiale di Booking. Specie il campo e-mail. Perché quindi ricompilarli? E poi: perché inserire il mio nome e cognome (che sui moduli Booking sono sempre due campi separati) in un campo unico, Surname?
Ma andiamo avanti. Sempre più sospettoso, ho compilato i campi in modo corretto e sono arrivato all’ultimo step, quello dell’immagine sopra. E qui si è svelato l’inganno. Mi chiedevono di nuovo i dati della carta di credito. E fin qui ci può stare. Ma date un’occhiata al warning collocato proprio sopra il campo “Cardholder’s name”: dice, in sostanza, di inserire l’intero importo del soggiorno e, nel caso non lo ricordassi, inserire minimo 300 euro! Come verifica della validità di una carta di credito mi è sembrata francamente troppo onerosa e un tantino sfacciata.
Inoltre, spostando lo sguardo sulla chat di supporto che si è immediatamente aperta a destra, ho rilevato ulteriori elementi di perplessità. Il messaggio suona pressapoco così: “Hai avviato la procedura di verifica della carta NNuPE. Tieni presente che se la verifica fallisce, la tua prenotazione verrà automaticamente annullata. Per motivi di sicurezza, è consentito un solo tentativo di verifica. Se abbandoni la pagina in questa fase, la tua prenotazione verrà automaticamente annullata.” Ecco uno dei cardini di questo tipo di operazioni fraudolente: la pressione psicologica, il senso di urgenza, la sensazione di poter perdere tutto. In questo modo si incute nel cliente una specie di frenesia che gli impedisce di analizzare con serenità il contenuto di questi messaggi.
Insomma, ormai convinto che si trattava di un tentativo di phishing, ho chiesto lumi a Gemini e ho avuto la conferma definitiva. Ecco quindi i componenti chiave a cui prestare attenzione quando arrivano questi messaggi via WhatsApp o via e-mail.
Come riconoscere un tentativo di phishing su Booking
L’indizio principale è il link sospetto. Il link nel messaggio è booking.reservation-id734128.com. Sebbene contenga la parola “booking”, il dominio reale non è booking.com, ma un dominio registrato recentemente che cerca di imitarlo. I siti ufficiali utilizzano domini propri (es. support.booking.com), non stringhe di testo confuse cariche di numeri.
Altro fattore da tenere sotto controllo: il canale utilizzato (WhatsApp) è quantomeno inconsueto. Le grandi piattaforme di prenotazione raramente utilizzano WhatsApp per richiedere “verifiche” urgenti che comportano l’inserimento di dati sensibili. Solitamente inviano comunicazioni ufficiali tramite l’app o via email.
Il numero di telefono. Il numero proviene dal Regno Unito (+44), mentre potremmo aver prenotato in un’altra nazione. Gli account aziendali reali su WhatsApp hanno solitamente una spunta verde di verifica accanto al nome.
Occhio alle tattiche di pressione psicologica: il messaggio dice che la prenotazione verrà annullata se non agisci entro 24 ore. Questo serve a diffondere il panico e impedisce di riflettere sulla stranezza del link e dei messaggi. La richiesta di una verifica economica, infine, è la classica ciliegina sulla torta e, in definitiva, il reale scopo di tutta l’operazione. Nel messaggio infatti si menziona una “trattenuta temporanea“. Normalmente la verifica della validità di una carta di credito riguarda una cifra irrisoria, da 0.01 a 0.10 centesimi. Pretendere 300 euro per poi dichiarare che saranno restituiti dovrebbe insospettire anche i più ingenui. In realtà, questo è il pretesto più utilizzato per rubare non solo i soldi ma anche i dati della carta di credito.
Cosa fare in caso di phishing
A questo punto, inutile dire che la priorità assoluta è quella di non cliccare assolutamente su alcun link presente nel messaggio. Inoltre, occorre verificare lo stato della propria prenotazione sul sito ufficiale o sull’App di Booking, almeno per avere una conferma definitiva dei proprio sospetti. Infine, sarebbe opportuno – e altamente consigliabile – bloccare il contatto e segnalarlo come spam alla comunità di WhatsApp.
Io ho mandato una mail di segnalazione sia alla struttura alberghiera sia a Booking. Dopo pochi minuti l’albergo mi ha risposto ringraziandomi dell’avvertimento e confermando che si trattava di un tentativo di truffa su cui stanno già indagando.