隨著疫情趨緩，旅游業(yè)復(fù)蘇，越來越多的人們重啟出游計(jì)劃。然而這也讓網(wǎng)絡(luò)犯罪分子有機(jī)可乘——他們以旅客為目標(biāo)，試圖利用網(wǎng)絡(luò)釣魚竊取賬戶憑證、財(cái)務(wù)信息等資料并出售牟利。例如，當(dāng)人們?cè)跈C(jī)場(chǎng)、商店、旅館等公共場(chǎng)所使用USB接口充電時(shí)，就可能遭遇充電座竊取數(shù)據(jù)（Juice Jacking），攻擊者會(huì)通過在設(shè)備中載入惡意軟體來竊取資料。

網(wǎng)絡(luò)釣魚瞄準(zhǔn)旅游業(yè)

為了實(shí)施社交工程攻擊，攻擊者往往會(huì)利用惡意域名和網(wǎng)址，假冒成人們熟悉的品牌和網(wǎng)站來誤導(dǎo)消費(fèi)者。他們還可能向目標(biāo)發(fā)送釣魚郵件，誘騙他們下載惡意附件或點(diǎn)擊網(wǎng)頁(yè)和附件等惡意內(nèi)容鏈接。為了增加釣魚成功的概率，攻擊者還會(huì)使用帶有急迫感或符合目標(biāo)需求的郵件主題，比如通知有賬單未支付，或在節(jié)假日到來之際推送旅游資訊。

旅游相關(guān)的釣魚網(wǎng)址不斷增加

派拓網(wǎng)絡(luò)的威脅情報(bào)團(tuán)隊(duì)Unit 42研究發(fā)現(xiàn)，釣魚網(wǎng)址除了使用專門創(chuàng)建的或新的域名外，也會(huì)使用bit.ly和bit.do等短網(wǎng)址服務(wù)，以及Google Cloud Storage上的Firebase服務(wù)等。Google是Firebase的提供者，F(xiàn)irebase為移動(dòng)和網(wǎng)頁(yè)應(yīng)用程序的開發(fā)者提供支持。Firebase云端儲(chǔ)存等功能，讓開發(fā)者可以儲(chǔ)存和提供使用者生成內(nèi)容。由于Firebase使用Google Cloud Storage，因此釣魚網(wǎng)址可能利用它繞過Google信任評(píng)級(jí)的郵件保護(hù)機(jī)制。攻擊者通過濫用Firebase管理釣魚頁(yè)面，目標(biāo)對(duì)象除了旅游機(jī)構(gòu)，還有旅游從業(yè)者和客戶。受害機(jī)構(gòu)包括線上旅游租賃平臺(tái)、高級(jí)連鎖酒店、度假村管理公司和航空公司。

Unit 42也注意到，并非所有釣魚網(wǎng)址都被用來發(fā)起定向攻擊；部分網(wǎng)址被用于惡意郵件攻擊活動(dòng)和管理惡意內(nèi)容，Dridex就是其中一例。

Dridex使用以旅游為主題的釣魚網(wǎng)址

Dridex是一款典型的通過郵件廣泛傳播的惡意軟件，目的在于竊取資料。此類釣魚郵件通常以發(fā)票或賬單為主題吸引人們點(diǎn)擊，這也是很多惡意軟件常用的傳播策略。被入侵或帶有惡意的網(wǎng)址托管了Dridex初始安裝程序，便于建立后門存取。如果最初的感染沒被發(fā)現(xiàn)，Dridex會(huì)通過建立的后門散布后續(xù)的勒索軟件等惡意軟件攻擊。Dridex使用的域名通常是合法但已經(jīng)感染了病毒的網(wǎng)站。

攻擊者如何通過釣魚竊取資料

攻擊者竊取旅客和旅游機(jī)構(gòu)的資料主要是為了牟利，手段包括兜售賬戶憑證、客戶資料或付款信息。據(jù)Unit 42的觀察，疫情期間由于旅游業(yè)停擺，因此旅游相關(guān)產(chǎn)品與服務(wù)的售賣也大幅減少，但隨著全球旅游市場(chǎng)復(fù)蘇，供需也會(huì)隨之增加。

·  竊取帳戶憑證

在海量信息中，攻擊者最“青睞”的是用戶名以及郵件和密碼。原因有二：首先，他們可以兜售受害者的里程數(shù)和酒店積分獲利。其次，有了這些身份憑證，他們可以輕易地入侵和控制受害者使用了相同憑證的其他平臺(tái)賬戶。由于竊取登錄憑證可以帶來潛在利益，強(qiáng)大的需求促使不法分子通過社交工程、暴力破解或攻擊防御薄弱的系統(tǒng)，來獲取有價(jià)值的信息。

· 竊取客戶信息

旅游機(jī)構(gòu)有機(jī)會(huì)接觸旅客隱私資料，包括個(gè)人識(shí)別信息 （PII）、付款信息和聯(lián)絡(luò)方式。一旦這些信息被盜，攻擊者主要有三種濫用方式：

1. 盜用身份：用從A網(wǎng)站上竊取的個(gè)人資料在B網(wǎng)站上創(chuàng)建新帳戶。因?yàn)槭芎φ邔?duì)于B網(wǎng)站的帳戶并不知情，因此日后也不容易被發(fā)現(xiàn)。

2. 搜集情報(bào)：利用信息搜集情報(bào)，為釣魚攻擊做準(zhǔn)備。

3. 兜售資料：轉(zhuǎn)賣給其他黑客、詐騙犯或不法營(yíng)銷服務(wù)從業(yè)者，用作他途。

· 竊取付款信息

攻擊者常以“影子旅行社”的形式盜取信息。他們會(huì)通過各種社交媒體和即時(shí)通訊平臺(tái)接觸散客，聲稱提供超低折扣的機(jī)票和酒店預(yù)訂、租車、搭便車和旅行團(tuán)服務(wù)。旅客一旦將錢付給這些“影子旅行社”，“影子旅行社”就會(huì)用到手的付款信息去支付酒店和航空公司等實(shí)際服務(wù)提供商。由于付款處理存在時(shí)間差，真正的提供商可能要等到幾星期后才能看到有爭(zhēng)議的信用卡交易或退費(fèi)。

長(zhǎng)期以來，旅游業(yè)和國(guó)際旅客一直是攻擊者的目標(biāo)，他們?nèi)菀壮蔀樨?cái)務(wù)和商譽(yù)上的受害者。駭客不僅販?zhǔn)蹅卧熨Y訊，也兜售透過網(wǎng)絡(luò)釣魚攻擊竊取來的資訊。我們注意到疫情期間，黑市裡以旅游為主題的相關(guān)產(chǎn)品與服務(wù)顯著減少，可能是由于需求下降的緣故。然而，隨著旅游業(yè)逐漸復(fù)甦，駭客們也開始將目光投向這個(gè)高利潤(rùn)的領(lǐng)域，這也意味著全球旅客和旅游業(yè)者將再度面臨駭客攻擊，必須更加留心網(wǎng)絡(luò)釣魚。

針對(duì)旅游業(yè)面臨的愈發(fā)嚴(yán)峻的網(wǎng)絡(luò)安全態(tài)勢(shì)，派拓網(wǎng)絡(luò)分別為個(gè)人和企業(yè)提供了防御建議：

個(gè)人：

·         點(diǎn)擊任何可疑郵件中的連結(jié)或附件時(shí)要格外小心，尤其是和個(gè)人帳戶設(shè)定或個(gè)人資訊有關(guān)，或試圖傳達(dá)急迫感的郵件。

·         驗(yàn)證收件匣中任何可疑郵件的寄件人地址。

·         輸入登入憑證前，再三確認(rèn)網(wǎng)站的網(wǎng)址和安全認(rèn)證。

·         及時(shí)報(bào)告可疑的釣魚攻擊。

企業(yè)：

·         強(qiáng)化SASE部署，無論用戶、應(yīng)用和設(shè)備從何處連網(wǎng)，都能確保安全存取。

·         開展安全意識(shí)培訓(xùn)課程，提高員工識(shí)別詐騙郵件的能力。

·         定期備份資料，嚴(yán)防通過釣魚郵件進(jìn)行的勒索軟件攻擊。

·         針對(duì)所有業(yè)務(wù)相關(guān)登入采取多重驗(yàn)證，安全防御加倍。

派拓網(wǎng)絡(luò)的客戶可以獲得這些保護(hù)：

·         高級(jí)URL過濾：僅需幾毫秒就能檢測(cè)出新的未知惡意URL，阻止攻擊。

·         WildFire： 所有已知樣本均被識(shí)別為惡意軟件。

·         自動(dòng)聚焦：使用Dridex標(biāo)簽跟蹤相關(guān)活動(dòng)。

面對(duì)愈演愈烈的網(wǎng)絡(luò)威脅，派拓網(wǎng)絡(luò)作為全球安全領(lǐng)導(dǎo)者，一直持續(xù)關(guān)注威脅風(fēng)險(xiǎn)的最新動(dòng)態(tài)和客戶的需求變化，不斷優(yōu)化解決方案，守護(hù)客戶的網(wǎng)絡(luò)安全。