Il settore dei viaggi è tornato a crescere, ma la sua ripresa è accompagnata da un aumento delle turbolenze digitali. Con l’impennata della domanda di viaggi e la digitalizzazione delle operazioni a un ritmo senza precedenti, i criminali informatici stanno cogliendo nuove opportunità per sfruttare le vulnerabilità di questo settore ricco di dati e altamente interconnesso.
Un nuovo report di Check Point mostra che dal 2023 al 2025 gli attacchi informatici rivolti agli operatori turistici e di viaggio sono aumentati drasticamente. Attacchi DDoS (Distributed Denial of Service), campagne ransomware, schemi di phishing e compromissioni di terze parti hanno afflitto il settore, spesso con conseguenze devastanti.
Perché il settore dei viaggi è un obiettivo primario?
Pochi settori dipendono così tanto dai dati in tempo reale, dalle comunicazioni globali e dal traffico stagionale come quello dei viaggi. Dalle compagnie aeree ai resort, fino alle piattaforme di prenotazione e alle autorità addette ai trasporti, le organizzazioni di questo settore gestiscono dati sensibili su reti disperse. Inoltre, dipendono da fornitori terzi per l’elaborazione dei pagamenti, l’autenticazione e l’infrastruttura cloud, ampliando così la superficie di attacco.
Molte aziende di viaggi operano, inoltre, ancora con sistemi legacy o non dispongono di solide pratiche DevSecOps, il che le rende obiettivi primari per gli autori delle minacce alla ricerca di guadagni rapidi.
Principali minacce che il settore deve affrontare, con esempi di incidenti
- Interruzioni DDoS che paralizzano i sistemi di prenotazione
In concomitanza con i periodi di picco dei viaggi, gli attacchi DDoS sono diventati una tattica preferita dagli autori degli attacchi che mirano a massimizzare le interruzioni. Nel marzo 2025, le operazioni di un importante consolidatore di biglietti aerei in Germania, Austria e Svizzera si sono interrotte a causa di un attacco DDoS. L’interruzione ha colpito migliaia di clienti e ha causato disagi alle agenzie di viaggio a valle che utilizzavano la stessa piattaforma.
Questi attacchi vengono sempre più utilizzati come leva per estorsioni. Gli autori delle minacce, spesso membri di gruppi organizzati, minacciano interruzioni prolungate del servizio a meno che non venga pagato un riscatto, esercitando una pressione enorme sulle aziende che operano in settori sensibili al fattore tempo.
- Archiviazione cloud configurata in modo errato che porta a violazioni dei dati
Nel gennaio 2025, un’agenzia di viaggi australiana ha subito una violazione catastrofica dopo aver fallito nel proteggere il proprio bucket cloud Amazon AWS. Sono stati esposti più di 112.000 record sensibili, tra cui scansioni di passaporti, documentazione relativa ai visti e numeri parziali di carte di credito. La violazione si è estesa oltre i confini australiani, colpendo clienti provenienti da Nuova Zelanda, Irlanda e Regno Unito.
Questo caso sottolinea la necessità di una rigorosa igiene della sicurezza cloud. Gli autori delle minacce utilizzano sempre più spesso strumenti automatizzati per cercare bucket di archiviazione configurati in modo errato, alla ricerca di file come passwords.txt o .env che possono sbloccare dati ancora più sensibili.
- Phishing e furto di credenziali che alimentano attacchi avanzati
I giorni delle e-mail di phishing mal scritte sono finiti. Utilizzando contenuti generati dall’intelligenza artificiale e tecniche di ingegneria sociale, gli aggressori creano ora esche altamente convincenti in grado di ingannare anche gli utenti più esperti di tecnologia. Nel settembre 2023, una grande catena di resort statunitense è stata violata attraverso una sofisticata campagna di ingegneria sociale. Gli aggressori hanno impersonato un dipendente dopo aver raccolto informazioni tramite LinkedIn, convincendo infine l’help desk IT a reimpostare le loro credenziali di accesso.
Una volta entrati, gli aggressori si sono spostati lateralmente attraverso l’infrastruttura IT del resort, distribuendo ransomware e rubando 6 TB di dati dei clienti. Questo attacco ha coinvolto due noti gruppi di criminali informatici, Scattered Spider e ALPHV, e ha interrotto tutto, dalle prenotazioni online ai sistemi di chiavi delle camere.
- Compromissione di terze parti e della supply chain
Gli attacchi alla catena di approvvigionamento sono in aumento in tutti i settori e quello dei viaggi non fa eccezione. Nell’ottobre 2023, un gruppo di hacker russi ha compromesso il sistema di pagamento di una compagnia aerea europea tramite un malware di web skimming. Le prime segnalazioni di danni si concentravano sul furto di dati delle carte di credito, ma successive rivelazioni hanno dimostrato che erano stati compromessi anche nomi dei clienti, numeri di passaporto, date di nascita e recapiti.
Le vulnerabilità di terze parti sono particolarmente pericolose perché aggirano le tradizionali difese perimetrali. Gli aggressori prendono di mira i fornitori di software o le integrazioni, quindi sfruttano tale accesso per penetrare in ambienti protetti.
- Minacce geopolitiche e hacktivismo
Il confine tra crimine informatico e guerra informatica è sempre meno netto. Nell’agosto 2024, il controllo del traffico aereo tedesco è stato vittima di una campagna sponsorizzata dallo Stato attribuita all’APT28, noto anche come Fancy Bear. La violazione, che ha preso di mira i sistemi IT amministrativi, ha compromesso le comunicazioni interne e i dati operativi sensibili.
Attacchi simili sono stati lanciati contro le autorità dei trasporti in altre grandi economie, segnalando che le infrastrutture critiche nel settore dei viaggi sono saldamente nel mirino degli attori delle minacce geopolitiche.
Le principali tattiche, tecniche e procedure (TTP)
Il rapporto di Check Point delinea le dieci principali TTP utilizzate in questi attacchi. Le più critiche includono:
- T1078 – Account validi: utilizzati per mantenere la persistenza ed evitare il rilevamento.
- T1190 – Sfruttamento di applicazioni pubbliche: un punto di ingresso frequente tramite VPN o applicazioni web obsolete.
- T1566 – Phishing: ancora il vettore di accesso iniziale più comune.
- T1027 –Informazioni o file offuscati: utilizzati per l’evasione durante la distribuzione di malware.
Queste TTP sono in linea con le tendenze osservate a livello globale in tutti i settori, ma sono particolarmente efficaci in un settore in cui l’accesso a motori di prenotazione, documenti di identità e dati finanziari fornisce un valore immenso agli attori delle minacce.
Difesa proattiva per il settore dei viaggi
La gestione dei rischi esterni di Check Point è integrata nell’architettura Infinity di Check Point, offrendo una protezione mirata al settore dei viaggi attraverso:
- Monitoraggio della superficie di attacco (ASM): esegue la scansione delle risorse esposte, delle configurazioni errate e dei servizi obsoleti.
- Monitoraggio delle informazioni sulle minacce: tiene traccia delle conversazioni sul dark web, del comportamento degli attori e dei rischi specifici del settore.
- Supporto dedicato da parte di analisti: aiuta a contestualizzare gli avvisi e ad allineare le risposte all’impatto sul business.
I seguenti servizi sono forniti dalla piattaforma Infinity di Check Point, che offre:
- Prevenzione delle minacce basata sull’intelligenza artificiale: con oltre 50 motori di intelligenza artificiale, Check Point previene il 99,8% degli attacchi di malware e phishing sconosciuti.
- Sicurezza fornita dal cloud: le informazioni sulle minacce vengono condivise a livello globale in meno di due secondi.
- Operazioni di sicurezza collaborative: un approccio unificato che collega le protezioni cloud, di rete, degli endpoint e dell’IoT.
Consigli per i CISO e i team di sicurezza dei viaggi
- Dare priorità alla visibilità: implementare piattaforme di sicurezza unificate che offrano un monitoraggio end-to-end su cloud, endpoint e livelli di rete.
- Proteggere la supply chain: applicare standard di sicurezza per tutti i fornitori e i partner. Condurre valutazioni dei rischi regolari e includere clausole di violazione nei contratti.
- Investire nell’automazione: soluzioni basate sull’intelligenza artificiale come Infinity AI Copilot possono ridurre i costi amministrativi fino al 90%, consentendo ai team di concentrarsi sulla difesa strategica.
- Rafforzare le configurazioni cloud: applicare il principio del privilegio minimo, crittografare i dati sensibili inattivi e in transito e utilizzare strumenti automatizzati per verificare le configurazioni.
- Formazione per la sofisticazione: i moderni attacchi di phishing utilizzano tecniche avanzate di ingegneria sociale. I dipendenti devono essere formati per individuare queste tattiche e segnalarle rapidamente.
La sicurezza informatica non è più solo una questione IT per il settore dei viaggi, ma un enorme rischio aziendale. Gli attacchi descritti nel rapporto di Check Point rivelano quanto questo settore sia diventato vulnerabile e attraente per gli autori delle minacce, dai criminali informatici agli hacker sponsorizzati dagli Stati.
Le organizzazioni devono passare da un approccio reattivo a uno proattivo. Ciò significa implementare piattaforme basate sull’intelligenza artificiale che mettano al primo posto la prevenzione, riducano la complessità, migliorino la visibilità e garantiscano una protezione costante in ogni livello dell’esperienza digitale.