Attenzione ai finti Booking e Airbnb: impennata di siti truffa per le vacanze estive

Attenzione: è boom di falsi siti di Booking e Airbnb. Case vacanza inesistenti, portali-clone e finti avvisi di pagamento stanno diventando la norma. Nel mirino dei truffatori ci sono sia i vacanzieri, sia gli host. Secondo Check Point Software Technologies si sta registrando un’impennata di siti fraudolenti che imitano piattaforme diffuse come Booking e Airbnb, mettendo a rischio dati personali e conti bancari degli utenti. A maggio 2025, un dominio su 21 legato al turismo risultava sospetto o malevolo, rispetto a uno su 33 dell’anno precedente.

Come funzionano le truffe delle finte prenotazioni: i tre schemi più diffusi

Il meccanismo è ormai collaudato: gli hacker sfruttano tecniche di spoofing per mascherarsi e mostrarsi come operatori legittimi, manipolando e-mail, siti web e perfino CAPTCHA. I tre schemi ricorrenti in queste settimane per truffare sia i turisti e sia gli host che usano Booking e Airbnb sono tre.
Innanzitutto, il falso form di pagamento. È la truffa più comune e si attiva solitamente dopo che si è già effettuato una prenotazione. I cybercriminali inviano una e-mail o un SMS che sembra arrivare dalla piattaforma ufficiale, segnalando un problema nel pagamento. Il messaggio contiene un link che porta a un sito web “clone”, graficamente identico a quello autentico (come Airbnb e Booking per esempio), ma con un URL leggermente diverso. Qui viene chiesto di reinserire i dati della carta di credito. Inserendoli si consegnano le proprie informazioni bancarie ai truffatori. In alcuni casi, la falsa transazione viene perfino confermata da una schermata fittizia, per rendere tutto più credibile.
C’è poi il falso login per host. In questo caso i bersagli sono i proprietari delle strutture ricettive. I truffatori propongono una pagina di accesso riservata agli host su Booking.com, completa di logo, grafica e CAPTCHA. Dopo aver effettuato il “login”, alla vittima viene chiesto di eseguire alcuni comandi sul proprio computer, ad esempio premere “Windows + R”, incollare un codice e premere Invio. Questo comando avvia uno script che scarica un malware chiamato AsyncRAT (Remote Access Trojan), dando al truffatore accesso remoto al dispositivo. Da quel momento, l’attaccante può controllare il computer, sottrarre informazioni sensibili o usarlo per ulteriori attacchi.
Terza trappola è l’e-mail falsa dell’ospite. In questo caso arriva ai proprietari della casa/stanza una e-mail, che sembra arrivare da ospiti reali. Il messaggio può riguardare oggetti smarriti, richieste urgenti o modifiche alla prenotazione. All’interno c’è sempre un link che rimanda a una pagina web fraudolenta, progettata per sottrarre credenziali d’accesso. In questi casi, gli attacchi sono resi più efficaci dall’uso dell’intelligenza artificiale, che personalizza ogni messaggio rendendolo realistico e difficile da riconoscere come falso.

Come difendersi dalle truffe digitali estive

Come evitare di cadere in trappola? Innanzitutto, è meglio prenotare direttamente sui canali ufficiali, digitando manualmente l’URL del sito o utilizzando le app delle piattaforme affidabili. Mai cliccare su link ricevuti via e-mail o SMS sospetti. Booking e Airbnb non chiedono mai di inserire dati sensibili in questo modo. Altri accorgimenti utili includono il controllo attento degli URL, l’attivazione dell’autenticazione a due fattori, l’uso di una VPN su reti Wi-Fi pubbliche e l’installazione di software antivirus aggiornato.