隨著疫情趨緩,，旅游業(yè)復(fù)蘇，越來越多的人們重啟出游計(jì)劃,。然而這也讓網(wǎng)絡(luò)犯罪分子有機(jī)可乘——他們以旅客為目標(biāo),，試圖利用網(wǎng)絡(luò)釣魚竊取賬戶憑證,、財(cái)務(wù)信息等資料并出售牟利。例如,，當(dāng)人們?cè)跈C(jī)場(chǎng),、商店、旅館等公共場(chǎng)所使用USB接口充電時(shí),，就可能遭遇充電座竊取數(shù)據(jù)（Juice Jacking）,，攻擊者會(huì)通過在設(shè)備中載入惡意軟體來竊取資料。

網(wǎng)絡(luò)釣魚瞄準(zhǔn)旅游業(yè)

為了實(shí)施社交工程攻擊,，攻擊者往往會(huì)利用惡意域名和網(wǎng)址,，假冒成人們熟悉的品牌和網(wǎng)站來誤導(dǎo)消費(fèi)者。他們還可能向目標(biāo)發(fā)送釣魚郵件,，誘騙他們下載惡意附件或點(diǎn)擊網(wǎng)頁和附件等惡意內(nèi)容鏈接,。為了增加釣魚成功的概率，攻擊者還會(huì)使用帶有急迫感或符合目標(biāo)需求的郵件主題,，比如通知有賬單未支付,，或在節(jié)假日到來之際推送旅游資訊。

旅游相關(guān)的釣魚網(wǎng)址不斷增加

派拓網(wǎng)絡(luò)的威脅情報(bào)團(tuán)隊(duì)Unit 42研究發(fā)現(xiàn),，釣魚網(wǎng)址除了使用專門創(chuàng)建的或新的域名外,，也會(huì)使用bit.ly和bit.do等短網(wǎng)址服務(wù)，以及Google Cloud Storage上的Firebase服務(wù)等,。Google是Firebase的提供者,，F(xiàn)irebase為移動(dòng)和網(wǎng)頁應(yīng)用程序的開發(fā)者提供支持。Firebase云端儲(chǔ)存等功能,，讓開發(fā)者可以儲(chǔ)存和提供使用者生成內(nèi)容,。由于Firebase使用Google Cloud Storage，因此釣魚網(wǎng)址可能利用它繞過Google信任評(píng)級(jí)的郵件保護(hù)機(jī)制。攻擊者通過濫用Firebase管理釣魚頁面,，目標(biāo)對(duì)象除了旅游機(jī)構(gòu),，還有旅游從業(yè)者和客戶。受害機(jī)構(gòu)包括線上旅游租賃平臺(tái),、高級(jí)連鎖酒店,、度假村管理公司和航空公司。

Unit 42也注意到,，并非所有釣魚網(wǎng)址都被用來發(fā)起定向攻擊,；部分網(wǎng)址被用于惡意郵件攻擊活動(dòng)和管理惡意內(nèi)容，Dridex就是其中一例,。

Dridex使用以旅游為主題的釣魚網(wǎng)址

Dridex是一款典型的通過郵件廣泛傳播的惡意軟件,，目的在于竊取資料。此類釣魚郵件通常以發(fā)票或賬單為主題吸引人們點(diǎn)擊,，這也是很多惡意軟件常用的傳播策略,。被入侵或帶有惡意的網(wǎng)址托管了Dridex初始安裝程序，便于建立后門存取,。如果最初的感染沒被發(fā)現(xiàn),，Dridex會(huì)通過建立的后門散布后續(xù)的勒索軟件等惡意軟件攻擊。Dridex使用的域名通常是合法但已經(jīng)感染了病毒的網(wǎng)站,。

攻擊者如何通過釣魚竊取資料

攻擊者竊取旅客和旅游機(jī)構(gòu)的資料主要是為了牟利,，手段包括兜售賬戶憑證、客戶資料或付款信息,。據(jù)Unit 42的觀察,，疫情期間由于旅游業(yè)停擺，因此旅游相關(guān)產(chǎn)品與服務(wù)的售賣也大幅減少,，但隨著全球旅游市場(chǎng)復(fù)蘇,，供需也會(huì)隨之增加。

·  竊取帳戶憑證

在海量信息中,，攻擊者最“青睞”的是用戶名以及郵件和密碼,。原因有二：首先，他們可以兜售受害者的里程數(shù)和酒店積分獲利,。其次,，有了這些身份憑證，他們可以輕易地入侵和控制受害者使用了相同憑證的其他平臺(tái)賬戶,。由于竊取登錄憑證可以帶來潛在利益,，強(qiáng)大的需求促使不法分子通過社交工程、暴力破解或攻擊防御薄弱的系統(tǒng),，來獲取有價(jià)值的信息,。

· 竊取客戶信息

旅游機(jī)構(gòu)有機(jī)會(huì)接觸旅客隱私資料,，包括個(gè)人識(shí)別信息 （PII）、付款信息和聯(lián)絡(luò)方式,。一旦這些信息被盜,，攻擊者主要有三種濫用方式：

1. 盜用身份：用從A網(wǎng)站上竊取的個(gè)人資料在B網(wǎng)站上創(chuàng)建新帳戶。因?yàn)槭芎φ邔?duì)于B網(wǎng)站的帳戶并不知情,，因此日后也不容易被發(fā)現(xiàn),。

2. 搜集情報(bào)：利用信息搜集情報(bào)，為釣魚攻擊做準(zhǔn)備,。

3. 兜售資料：轉(zhuǎn)賣給其他黑客,、詐騙犯或不法營銷服務(wù)從業(yè)者，用作他途,。

· 竊取付款信息

攻擊者常以“影子旅行社”的形式盜取信息。他們會(huì)通過各種社交媒體和即時(shí)通訊平臺(tái)接觸散客,，聲稱提供超低折扣的機(jī)票和酒店預(yù)訂,、租車、搭便車和旅行團(tuán)服務(wù),。旅客一旦將錢付給這些“影子旅行社”,，“影子旅行社”就會(huì)用到手的付款信息去支付酒店和航空公司等實(shí)際服務(wù)提供商。由于付款處理存在時(shí)間差,，真正的提供商可能要等到幾星期后才能看到有爭(zhēng)議的信用卡交易或退費(fèi),。

長(zhǎng)期以來，旅游業(yè)和國際旅客一直是攻擊者的目標(biāo),，他們?nèi)菀壮蔀樨?cái)務(wù)和商譽(yù)上的受害者,。駭客不僅販?zhǔn)蹅卧熨Y訊，也兜售透過網(wǎng)絡(luò)釣魚攻擊竊取來的資訊,。我們注意到疫情期間,，黑市裡以旅游為主題的相關(guān)產(chǎn)品與服務(wù)顯著減少，可能是由于需求下降的緣故,。然而,，隨著旅游業(yè)逐漸復(fù)甦，駭客們也開始將目光投向這個(gè)高利潤的領(lǐng)域,，這也意味著全球旅客和旅游業(yè)者將再度面臨駭客攻擊,，必須更加留心網(wǎng)絡(luò)釣魚。

針對(duì)旅游業(yè)面臨的愈發(fā)嚴(yán)峻的網(wǎng)絡(luò)安全態(tài)勢(shì),，派拓網(wǎng)絡(luò)分別為個(gè)人和企業(yè)提供了防御建議：

個(gè)人：

·         點(diǎn)擊任何可疑郵件中的連結(jié)或附件時(shí)要格外小心,，尤其是和個(gè)人帳戶設(shè)定或個(gè)人資訊有關(guān)，或試圖傳達(dá)急迫感的郵件,。

·         驗(yàn)證收件匣中任何可疑郵件的寄件人地址,。

·         輸入登入憑證前，再三確認(rèn)網(wǎng)站的網(wǎng)址和安全認(rèn)證。

·         及時(shí)報(bào)告可疑的釣魚攻擊,。

企業(yè)：

·         強(qiáng)化SASE部署,，無論用戶、應(yīng)用和設(shè)備從何處連網(wǎng),，都能確保安全存取,。

·         開展安全意識(shí)培訓(xùn)課程，提高員工識(shí)別詐騙郵件的能力,。

·         定期備份資料,，嚴(yán)防通過釣魚郵件進(jìn)行的勒索軟件攻擊。

·         針對(duì)所有業(yè)務(wù)相關(guān)登入采取多重驗(yàn)證,，安全防御加倍,。

派拓網(wǎng)絡(luò)的客戶可以獲得這些保護(hù)：

·         高級(jí)URL過濾：僅需幾毫秒就能檢測(cè)出新的未知惡意URL，阻止攻擊,。

·         WildFire： 所有已知樣本均被識(shí)別為惡意軟件,。

·         自動(dòng)聚焦：使用Dridex標(biāo)簽跟蹤相關(guān)活動(dòng)。

面對(duì)愈演愈烈的網(wǎng)絡(luò)威脅,，派拓網(wǎng)絡(luò)作為全球安全領(lǐng)導(dǎo)者,，一直持續(xù)關(guān)注威脅風(fēng)險(xiǎn)的最新動(dòng)態(tài)和客戶的需求變化，不斷優(yōu)化解決方案,，守護(hù)客戶的網(wǎng)絡(luò)安全,。