Il phishing nei viaggi sta diventando una delle minacce informatiche più rilevanti della stagione estiva. Secondo i dati di Check Point Research, nel maggio 2026 le organizzazioni del settore alberghiero, turistico e del tempo libero hanno subito in media 2.291 attacchi informatici a settimana, con un aumento del 24% rispetto allo stesso periodo del 2025 e del 122% rispetto al maggio 2023.
Phishing nei viaggi, attacchi più che raddoppiati dal 2023
Il comparto dell’ospitalità e dei viaggi è diventato un obiettivo prioritario per i criminali informatici. Il dato più significativo riguarda la rapidità con cui è cresciuta la pressione sulle organizzazioni: dagli 1.032 attacchi settimanali medi registrati nel maggio 2023 si è passati ai 2.291 del maggio 2026.
La progressione non è stata uniforme. Nel maggio 2024 la media aveva raggiunto 1.242 attacchi, mentre un anno dopo era salita a 1.843. Il grafico contenuto nella prima pagina del rapporto mostra quindi una curva in accelerazione, con il salto più consistente concentrato negli ultimi due anni.
Il confronto con l’andamento complessivo del cybercrime evidenzia la specificità del fenomeno. Nel maggio 2026 gli attacchi rivolti al settore dei viaggi sono cresciuti del 24% su base annua, mentre l’incremento globale rilevato trasversalmente a tutti i comparti si è fermato al 2%.
Non si tratta, quindi, del semplice riflesso di un aumento generale delle attività criminali online. Il turismo viene colpito in modo deliberato, soprattutto nei periodi caratterizzati da un maggiore volume di prenotazioni e transazioni.
Phishing nei viaggi favorito dalla stagionalità
La stagionalità rappresenta uno degli elementi centrali di queste campagne. Nei mesi che precedono l’estate, milioni di utenti cercano voli, hotel, appartamenti, noleggi e offerte per le vacanze, spesso completando le prenotazioni rapidamente e da dispositivi mobili.
La pressione del tempo e il desiderio di ottenere il prezzo migliore riducono l’attenzione con cui vengono controllati indirizzi web, mittenti delle e-mail e modalità di pagamento. È proprio su questa combinazione di fretta, fiducia e urgenza che si basano le campagne di phishing più efficaci.
Il settore turistico tratta inoltre un’elevata quantità di informazioni personali e finanziarie. Le piattaforme di prenotazione raccolgono nomi, indirizzi, numeri di telefono, documenti, credenziali di accesso e dati delle carte di pagamento. Una pagina contraffatta può quindi consentire ai criminali di acquisire contemporaneamente più categorie di informazioni sensibili.
Anche il carattere frammentato dell’ecosistema aumenta la superficie di attacco. Il viaggio può coinvolgere compagnie aeree, agenzie online, alberghi, proprietari di appartamenti, operatori di trasporto e piattaforme di pagamento. L’utente riceve comunicazioni da molti soggetti diversi e può avere maggiori difficoltà nel riconoscere un messaggio anomalo.
Oltre 47 mila nuovi domini turistici in un mese
Nel solo maggio 2026 sono stati registrati 47.318 nuovi domini collegati al settore dei viaggi, con una crescita del 33% rispetto ad aprile e del 19% rispetto al maggio dell’anno precedente. L’aumento suggerisce la preparazione di un’infrastruttura destinata a sfruttare l’intensificazione delle ricerche e delle prenotazioni estive.
Secondo Check Point Research, un dominio ogni 112 risulta già classificato come malevolo o sospetto. La quota potrebbe però non descrivere interamente l’estensione del rischio, perché numerosi indirizzi vengono inizialmente lasciati inattivi.
Questi domini possono essere registrati settimane o mesi prima dell’avvio della campagna. Una volta raggiunto il periodo di maggiore traffico, vengono attivati rapidamente, utilizzati per pochi giorni e poi abbandonati o sostituiti.
Questo approccio riduce il tempo disponibile per l’identificazione e il blocco delle pagine. I siti possono inoltre essere promossi tramite messaggi e-mail, annunci sui motori di ricerca, social network, messaggistica istantanea o risultati manipolati.
Campagne automatizzate per costruire siti di phishing
L’analisi condotta nei mesi di aprile e maggio ha individuato tre campagne coordinate di registrazione in massa.
La prima comprende oltre 210 domini basati su nomi generici di hotel seguiti da numeri progressivi. Modelli come hotel-stay[N] e stay-hotel[N] indicano l’impiego di procedure automatizzate per generare rapidamente un ampio numero di siti.
La presenza di nomi numerati riduce la necessità di progettare manualmente ogni dominio e consente di sostituire con facilità quelli individuati dai sistemi di sicurezza. Se una pagina viene bloccata, l’attore può reindirizzare gli utenti verso un altro indirizzo appartenente alla stessa infrastruttura.
La seconda campagna utilizza riferimenti ad American Express e Lloyds Travel Choice, associandoli a termini legati a premi e offerte di viaggio. L’obiettivo è sfruttare la familiarità con marchi finanziari riconoscibili per aumentare la credibilità della comunicazione.
Alcuni dei domini utilizzano l’estensione .ink, impiegata anche per campagne di phishing di breve durata. Il dominio di primo livello, da solo, non dimostra la natura malevola di un sito, ma può costituire un elemento da valutare insieme alla struttura dell’indirizzo, alla provenienza del messaggio e alle richieste presentate all’utente.
La terza operazione prende di mira il marchio Fora Travel attraverso 108 differenti estensioni, tra cui .cruises, .miami e .international. Si tratta di una strategia di saturazione: il medesimo riferimento viene replicato su molti domini con l’obiettivo di aumentare le probabilità che almeno uno intercetti una ricerca o un errore di digitazione.
Booking.com imitata per rubare credenziali e carte
Tra le campagne già operative figurano siti che riproducono l’aspetto delle principali piattaforme di prenotazione. Uno degli indirizzi rilevati imita la procedura di accesso di Booking.com, con l’obiettivo di sottrarre credenziali e informazioni delle carte di pagamento.
Il dominio presenta una variazione minima rispetto al nome originale. Questo tipo di tecnica, noto come typosquatting, sfrutta errori di battitura, lettere invertite o caratteri aggiunti che possono passare inosservati durante una consultazione rapida.
Una seconda campagna utilizza domini che richiamano le versioni cinese e di Hong Kong della piattaforma. Le pagine sono localizzate per gli utenti di lingua cinese, mostrano prezzi espressi in renminbi e includono un banner dedicato ai saldi estivi.
Lo stesso operatore avrebbe predisposto anche varianti rivolte agli utenti giapponesi e cinesi. La localizzazione dimostra come le campagne non vengano più costruite soltanto in inglese, ma adattate a lingue, valute e abitudini commerciali differenti.
Siti Airbnb falsi costruiti intorno alla destinazione
Check Point Research ha individuato anche un dominio contraffatto che sfrutta il nome Airbnb e prende di mira gli utenti interessati a un viaggio in Canada.
Il sito utilizza immagini delle Montagne Rocciose e presenta presunti alloggi a Montreal, Toronto, Vancouver e Banff. L’immagine inserita nel documento mostra una pagina visivamente coerente con il settore delle locazioni turistiche, completa di destinazioni e proposte di soggiorno.
L’impiego di contenuti geograficamente mirati serve a rendere la pagina più credibile. Un utente che sta cercando un alloggio in Canada può trovare del tutto plausibile la presenza di fotografie, località e annunci riferiti esattamente alla destinazione desiderata.
Questa forma di personalizzazione può essere alimentata da campagne pubblicitarie, parole chiave digitate sui motori di ricerca o messaggi inviati a gruppi di utenti selezionati. Il sito falso non deve convincere chiunque: deve apparire autentico al segmento preciso verso cui è indirizzato.
Le false offerte Skyscanner e la richiesta di acconti
Altri domini imitano Skyscanner e pubblicano offerte alberghiere associate a destinazioni turistiche malesi. Le pagine mostrano prezzi definiti come offerte in prevendita e invitano gli utenti a versare un acconto.
Il pagamento, tuttavia, non produce alcuna prenotazione reale. In questo caso, l’obiettivo principale non è necessariamente il furto delle credenziali di un account, ma l’incasso diretto di somme di denaro per servizi inesistenti.
La schermata riportata nella terza pagina del documento presenta una versione mobile del falso portale, con fotografie di hotel, località turistiche, prezzi e pulsanti di prenotazione. La struttura è progettata per replicare l’esperienza di una normale applicazione di viaggio.
Il formato mobile è particolarmente efficace perché lo schermo ridotto rende meno visibile l’indirizzo completo del sito. Inoltre, molti utenti aprono link ricevuti tramite messaggi o social network senza passare da una ricerca autonoma della piattaforma.
Perché i siti contraffatti sono sempre più credibili
Le campagne moderne di phishing non si limitano più a e-mail scritte male o pagine graficamente approssimative. Gli attaccanti possono copiare rapidamente layout, immagini, colori e flussi di autenticazione dei servizi legittimi.
La disponibilità di strumenti di automazione e intelligenza artificiale generativa facilita anche la creazione di contenuti localizzati. Testi, descrizioni delle strutture, messaggi promozionali e comunicazioni con i clienti possono essere prodotti in molte lingue con una qualità sufficiente a non generare sospetti immediati.
I siti fraudolenti possono inoltre utilizzare certificati HTTPS. La presenza del lucchetto nel browser indica che la connessione è cifrata, ma non garantisce che il gestore della pagina sia affidabile.
Il controllo del dominio rimane quindi essenziale. Anche una sola lettera aggiunta, rimossa o sostituita può separare il sito autentico da una pagina destinata al furto di dati.
Accedere ai portali digitando direttamente l’indirizzo
Per ridurre il rischio, Check Point consiglia di digitare direttamente nel browser l’indirizzo del sito di viaggio, evitando di seguire link inseriti in e-mail o annunci pubblicitari.
In alternativa, può essere utile utilizzare l’app ufficiale già installata sul dispositivo oppure aprire il servizio attraverso un preferito salvato in precedenza. Questo approccio riduce la probabilità di finire su una pagina costruita per imitare il marchio.
Prima di inserire credenziali o dati di pagamento è necessario controllare attentamente il dominio. La verifica deve riguardare la parte dell’indirizzo immediatamente precedente all’estensione principale, senza lasciarsi ingannare da parole note inserite in sottodomini o percorsi secondari.
Un indirizzo molto lungo, la presenza di caratteri insoliti o una sequenza di parole non coerente con il nome ufficiale della piattaforma devono essere considerati segnali di rischio.
Carte di credito e autenticazione a due fattori
Per le prenotazioni online viene consigliato l’utilizzo della carta di credito anziché della carta di debito. Le condizioni dipendono dall’emittente e dal contratto, ma le carte di credito possono offrire procedure più strutturate per contestare operazioni fraudolente.
È inoltre opportuno attivare l’autenticazione a due fattori sugli account delle piattaforme utilizzate abitualmente. In questo modo, il possesso della sola password non è sufficiente per accedere al profilo.
L’autenticazione a due fattori non protegge però da ogni forma di phishing. Alcune pagine malevole possono tentare di acquisire anche i codici temporanei. Rimane quindi necessario verificare il sito prima di autorizzare l’accesso.
Particolare attenzione deve essere riservata alle offerte che combinano prezzi molto bassi e scadenze immediate. Messaggi come “ultima camera disponibile” o “offerta valida per pochi minuti” possono essere utilizzati per spingere l’utente a completare rapidamente l’operazione.
Il turismo come bersaglio strutturale del cybercrime
La crescita degli attacchi indica che il settore dei viaggi non è più un obiettivo occasionale. L’elevato volume di pagamenti, la presenza di numerosi intermediari e la stagionalità delle prenotazioni lo rendono particolarmente redditizio per il cybercrime.
Le organizzazioni devono quindi intervenire sia sul piano tecnologico sia su quello operativo. La protezione dei portali e delle infrastrutture interne deve essere affiancata dal monitoraggio dei domini contraffatti, dalla verifica delle campagne pubblicitarie e da procedure rapide per segnalare pagine fraudolente.
Anche la comunicazione con i clienti assume un ruolo importante. Le piattaforme dovrebbero indicare chiaramente quali canali utilizzano, quali dati possono richiedere e quali modalità di pagamento sono previste.
Per gli utenti, la difesa passa soprattutto dalla riduzione della fretta. Nel momento in cui l’offerta appare eccezionale o richiede un’azione immediata, il controllo dell’indirizzo web e della provenienza del messaggio diventa ancora più importante.
I dati raccolti da Check Point Research mostrano che le campagne vengono preparate con largo anticipo rispetto alla stagione estiva. I criminali pianificano infrastrutture, domini e contenuti seguendo lo stesso calendario commerciale degli operatori legittimi. La sicurezza delle prenotazioni deve quindi essere considerata parte integrante dell’organizzazione del viaggio, non un controllo da effettuare soltanto quando emerge un problema.










