Hai appena visto una mega offerta per un viaggio last minute e vorresti approfittarne? Pensaci bene prima di cliccare sul link.
Questo stratagemma, notano gli esperti della software house russa, è stato utilizzato non solo per rubare i dati degli utenti che credevano di prenotare viaggia buon prezzo, ma anche per iscrivere gli utenti a servizi telefonici a pagamento. Per riuscirci, i cybercriminali impiegano tecniche di social engineering e phishing: sfruttando i nomi di brand piuttosto celebri nell’ambito dei viaggi online, gli hacker hanno indotto gli utenti a cliccare su link e pubblicità ingannevoli, attirandoli di fatto nella loro trappola. Uno schema ormai stranoto ma che, fanno notare da Kaspersky, continua a mietere migliaia di vittime in tutto il mondo.
Tempo di vacanze per tutti (tranne che per gli hacker)
Per verificare la loro ipotesi (false offerte viaggio per truffare gli internauti), gli esperti di Kaspersky Lab hanno monitorato la rete per un mese, da fine aprile a fine maggio. In questo lasso di tempo sono stati registrati migliaia e migliaia di attacchi che hanno coinvolto alcuni dei nomi più noti del panorama delle vacanze online. Marchi, ovviamente, del tutto ignari di quanto stava accadendo alle loro spalle (e con il loro nome).
Come detto, gli hacker hanno sfruttato tecniche di social engineering per trarre in inganno utenti alla ricerca di viaggi last minute o voli low cost. Nello specifico, i criminali informatici hanno realizzato falsi siti che sono identici (o quasi) alle versioni “originali”. In questo modo gli internauti credono di navigare sul portale legittimo e sono spinti a lasciare i loro dati e le loro informazioni personali.
Un esempio? Gli hacker hanno realizzato un sito molto simile ad AirBnb (del tutto estraneo alla truffa), che fingeva di offrire ai viaggiatori appartamenti in affitto a prezzi stracciati. Una volta completato il pagamento, i cybercriminali sparivano, lasciando gli utenti senza soldi e senza casa vacanza.
In altre occasioni, invece, gli hacker hanno creato falsi sondaggi online che promettevano biglietti aerei gratis. Rispondendo a tre domande, gli utenti potevano ottenere dei voli gratuiti per destinazioni a loro scelta. Per completare la procedura, però, era necessario inserire il numero di smartphone. Così facendo, però, si attivavano dei servizi a pagamento indesiderati, che svuotavano rapidamente il credito residuo dell’utente.
Come difendersi dalle truffe sui viaggi online
Gli esperti di Kaspersky, oltre a segnalare i potenziali pericoli per chi prenota viaggi online, danno anche alcuni consigli su come evitare di cadere nella trappola.
- Troppo bello per essere vero. Se un’offerta sembra essere troppo vantaggiosa per essere vera è probabile che non lo sia. Cioè, si tratta di una truffa o di qualche esca lanciata nel mare magnum del web per far abboccare qualche utente credulone
- Occhio alla URL. Il modo più semplice per accorgersi se si tratta di una truffa o di un’offerta reale passa dalla barra degli indirizzi. Prima di effettuare qualunque prenotazione e, soprattutto, prima di fare pagamenti controllate la URL e verificate che l’indirizzo sia scritto in maniera corretta. Per avere un’ulteriore certezza, verificate se alla sinistra dell’indirizzo sia presente la scritta “Sicuro”: se così dovesse essere, vuol dire che il sito è protetto da protocollo HTTPS e il sito è stato verificato e certificato da un’autorità di controllo
- Galeotto fu il link. Prima di cliccare su un link ricevuto via posta elettronica o messaggistica istantanea oppure trovato su qualche piattaforma social, accertatevi che la fonte sia affidabile. Gli hacker, infatti, sfruttano campagne di spam per inviare link malevoli a decine di migliaia (se non centinaia di migliaia) di internauti in un colpo solo. Si tratta, di fatto, di uno dei metodi di attacco più utilizzati, capace di mietere vittime su vittime con un dispendio di fatica nullo o quasi
- Proteggi PC e smartphone. Per proteggere i propri dispositivi (e i propri dati) è sempre consigliabile installare un antivirus (o antimalware) che protegga da tentativi di attacco di ogni tipo, phishing incluso