In periodi come questo molte persone fanno un viaggio, e siti come booking.com vedono le richieste aumentare vertiginosamente. Attenzione però, però all’interno dell’app potreste ricevere messaggi “strani”, e le conseguenze possono essere davvero brutte.
Pare che il problema sia davvero molto diffuso, ma per quanto ne sappiamo booking.com non sta facendo quasi niente per risolverlo. E non è nemmeno chiaro se possano fare qualcosa.
Diversi utenti infatti - compreso un redattore di Tom’s Hardware - ricevono messaggi dai loro host. Il contenuto è più o meno sempre quello: c’è stato un problema con il pagamento e bisogna rifarlo tramite questo link. Cliccando sul link si arriva su una pagina che sembra in ordine, ma in verità è falsa. Se si procede al pagamento come minimo si perde il denaro pagato, ma potrebbero anche rubarvi i dati della carta di credito e poi tentare di usarla per fare altre spese.
Il problema è noto da alcune settimane, e infatti c’è un articolo del Guardian che risale allo scorso 23 ottobre, e nel testo si intuisce che già in quel momento il fenomeno non era nuovo.
Alcuni clienti sono caduti nella trappola e si sono poi rivolti al servizio clienti di booking.com, solo per sentirsi dire dal personale del call center che quello che lei diceva essere successo era semplicemente impossibile. "Questo deve essere qualcosa di cui Booking.com è a conoscenza, ma che sta tacendo. Non hanno forse il dovere di avvisare i clienti se sono stati violati?", dice una testimone al giornale britannico.
Booking.com nega ogni responsabilità, affermando che i suoi sistemi non sono stati violati. Le vittime sarebbero i singoli host, i cui account sono stati violati e usati poi per mandare questi messaggi truffaldini.
Un’ipotesi del tutto credibile, quella di Booking; basta ricordare come la maggior parte delle persone - e gli host booking non fanno eccezione - non hanno la minima idea su come mettere in pratica le cose più basilari, in termini di sicurezza informatica. Anzi, molti alzano gli occhi infastiditi quando gli dici che dovrebbero usare password diverse. Ma non è detto che sia tutto così semplice.
Allo stesso tempo, infatti, molti host puntano il dito contro booking. com. Tra di loro ci sono anche hotel e professionisti, che probabilmente, hanno fatto le cose nel modo giusto, in tema di sicurezza.
"Booking.com sostiene che qualcuno ha ottenuto le nostre credenziali di accesso, ma questo non è possibile perché abbiamo l'autenticazione a due fattori e non abbiamo ricevuto alcun SMS", spiega un albergatore.
Qual è il problema e di chi è la colpa?
Il fatto che booking.com non stia comunicando con trasparenza è molto grave. In attesa di una soluzione, dovrebbero almeno informare i clienti di questo problema, avvisarci di una possibile minaccia e spiegarci come proteggerci. Ovviamente rischierebbero di perdere un po’ di soldi, perché magari qualche cliente deciderebbe di rivolgersi altrove, ma è comunque la cosa giusta fare.
Dunque, la colpa più grave ricade su booking.com per la mancata comunicazione e scarsa trasparenza
Da una parte, invece, booking.com non dice niente, mentre dall’altra i messaggi arrivano e sono più credibili proprio perché sono all’interno dell’app.
Il problema è forse proprio l’autenticazione a due fattori tramite SMS. Un metodo che sappiamo essere inaffidabile e che la maggior parte delle piattaforme moderne ha avanzato, tenendolo al massimo come opzione di backup.
"Alcuni dei nostri partner sono stati purtroppo presi di mira da tattiche di phishing molto convincenti e sofisticate, che li hanno incoraggiati a cliccare su link o a scaricare allegati al di fuori del nostro sistema, che hanno permesso il caricamento di malware sui loro computer e, in alcuni casi, hanno portato all'accesso non autorizzato al loro account Booking.com", recita una nota dell’azienda
Booking può senz’altro dire che sono stati gli host subire la violazione, ma un sistema 2FA che usa gli SMS non è sicuro per definizione. Insomma, già abbiamo problemi concreti con i sistemi più sicuri disponibili, che comunque non sono inviolabili. Sarebbe come minimo decente usare quelli, invece di meccanismi di cui già conosciamo le falle.
“Sebbene né i sistemi di backend né l'infrastruttura di Booking.com siano stati violati in alcun modo, siamo consapevoli delle implicazioni di tali truffe da parte di terzi malintenzionati per la nostra azienda, per i nostri partner e per i nostri clienti, che possono essere vittime di truffatori professionisti".
Che cosa fare per difendersi?
Ci sono diverse possibili contromisure, che dovrebbero realizzarsi tutte insieme per ottenere una risposta convincente.
Booking dovrebbe abbandonare l’autenticazione tramite SMS, affidandosi a un sistema di token come le app di autenticazione o ancora meglio i passkey. Inoltre dovrebbe informare subito clienti e partner di eventuali problemi, così da permettere a tutti di difendersi nel migliore dei modi.
Forse quei clienti che sono stati derubati avrebbero saputo come difendersi, se booking.com li avesse informati correttamente.
Gli host e dovrebbero mettere in pratica tutte le best practice per impedire intrusioni nei loro sistemi. Questo include un uso consapevole delle password e dei sistemi 2FA, ma anche cose più avanzate come l’uso di macchine virtuali isolate, e ovviamente l’uso di software antivirus e di sicurezza in generale.
I consumatori e tutti in generale, poi, avremmo bisogno di una maggiore formazione sulla sicurezza informatica e sulle truffe online. Dovremmo cominciare già alle scuole elementari, probabilmente. Per esempio, basterebbe sapere che una piattaforme come booking non manda link di pagamento esterni, e sarebbe anche utile saper leggere un indirizzo URL per capire se è affidabile oppure no.
Immagine di copertina: lenagh