網路釣魚瞄準旅遊愛好者

隨著疫情趨緩，各國開放邊境，加上暑假將近，不論是在台灣或世界各地，越來越多人開始踏上疫情後的第一次長途旅行，或正積極進行出國規劃。然而這樣的趨勢，也讓惡意份子有機可乘，越來越多駭客以旅遊為主題，試圖利用網路釣魚竊取資料，包含帳戶憑證、財務資訊等，再將這些資訊透過黑市販售。舉例來說，美國聯邦調查局（FBI）日前才發出警告，提醒消費者不要在機場、商場、旅館等公共場所使用USB接口充電，避免讓駭客有機會在裝置中載入惡意軟體，進而竊取資料，讓使用者淪為USB 充電陷阱攻擊（Juice Jacking）的受害者。

以旅遊為主題的網路釣魚不斷增加

駭客為了進行社交工程攻擊，常常會利用惡意網域和網址，假扮成消費者熟知的品牌和網站，用這些惡意網域或網址的內容來誤導消費者，因為它們看起來、感覺起來都很像之前熟悉的網域或網址。

駭客也可能將網路釣魚電子郵件傳送給消費者，誘騙他們下載惡意附件或點選惡意內容連結，可能是網頁或附件。他們還會使用帶有急迫感的主題（如未支付的帳單）或針對使用者情感訴求的主題（如當全球邊境開始開放，送出以旅遊主題的電子郵件）。

您可能也有興趣

科技輔助內控稽核校園扎根落實永續治理

TGSA臺灣智庫8月洞察關稅風暴下的企業應對策略

涉及旅遊主題的網路釣魚網址不斷增加

Unit 42分析了2019年10月至2021年8月間，以旅遊為主題的網路釣魚網址。惡意的網路釣魚網址註冊數量在2021年初逐漸增加，到2021年6月開始大幅成長。儘管後來新註冊的網路釣魚網址不像6月份數量如此之多，2021年整個夏季，駭客新創造以旅遊為主題的網路釣魚網址，還是遠多於2020年任何時候。

Dridex運用以旅遊為主題的網路釣魚網址

Dridex是一種典型透過惡意電子郵件大量傳播的惡意軟體，目的要竊取資料。背後的駭客通常利用發票或帳單為主題的電子郵件，這也是多數大量傳播惡意軟體的常用策略。被入侵或帶有惡意的網址託管了Dridex初始安裝程式，目的是建立後門存取。如果最初感染沒被發現，Dridex會透過建立的後門開始散佈後續的惡意軟體攻擊，包括勒索軟體。Dridex利用的網域通常是合法但已受病毒感染的網站。

惡意份子不當使用Firebase

駭客已經攻擊了多個旅遊機構，駭客也使用Firebase來管理網路釣魚頁面，用來針對旅遊業員工及其客戶。受害機構包括旅遊租賃線上平台、高級連鎖飯店、渡假村管理公司和Tui（英國途易)等航空公司。

惡意攻擊者如何運用網路釣魚竊取資料

網路犯罪份子通常希望從攻擊取得「資料」中獲利，對於蒐集到的旅客和旅遊機構的資料也不例外。惡意份子會透過兜售竊取來的帳戶憑證、客戶資料或付款資訊來牟利。

Unit 42研究人員也注意到疫情期間，網路罪犯在黑市販賣旅遊相關的產品與服務大幅減少，或許是由於全球旅遊限制的緣故，但我們預期供需將會隨著全球旅遊市場開放而增加。

竊取帳戶憑證

下面兩個原因將說明為何竊取來的使用者名稱、email與密碼，對犯罪者極具吸引力。首先，惡意份子取得被害者的里程數或飯店點數，可以輕易兜售牟利。其次，惡意份子可輕易地利用這些身分憑證，入侵或控制被害者在其他平台上的帳戶，如果這些平台也使用相同憑證的話。由於被竊取的登錄憑證，可以產生潛在的財務收益，強烈的黑市需求也促使惡意份子積極透過社交工程、暴力破解或攻擊較脆弱的系統，獲取相關資料。

竊取客戶資訊

旅遊機構有機會接觸大量資料，包括旅客的個人識別資訊（PII）、付款資訊和聯絡資訊。最近一波SITA passenger 服務系統攻擊，全球共有450萬名受害者的資料被入侵。雖然研究人員認為攻擊發起者為APT 41，但跡象也顯示有財務誘因的罪犯份子，對這些資料也很感興趣。

竊取付款資訊

網路罪犯長年提供「影子旅行社」相關服務。他們透過各種社群媒體或Telegram等即時通訊平台接觸散客，提供超優惠的機票預訂、飯店、租車、共乘和出團服務。旅客將乾淨的錢付給「影子旅行社」，「影子旅行社」卻用竊取到的付款資料，支付實際服務供應商，如飯店或航空公司等。由於付款處理有時間差，服務供應商要等到數星期後，看到有爭議的信用卡交易或退費，才知道受騙。

Palo Alto Networks針對個人與組織提出以下幾種防禦作法：

針對個人：