大型旅遊訂房網站 Booking.com 近日在全球各地都傳出遭駭侵者發動詐騙攻擊的事件,許多客戶在訂房後收到詐騙信件或訊息,然後被導至釣魚網站,導致個人與付款相關資訊遭竊。
據新加坡媒體報導,自今年 1 月起至少已有 30 名受害者,遭詐騙的總額達 41,000 新幣;而在英國、愛爾蘭、紐西蘭、日本、台灣等多國有使用者受害。媒體指出,旅客在 Booking.com 上預訂房間後,會收到由該網站的 App 內聊天室發出的訊息,或以該站網域署名的 email,內容是詐騙者假冒旅館人員,要求消費者在規定時間內「確認」信用卡資訊,否則將取消其訂位。
消費者一旦信以為真,點按了訊息中的釣魚連結,就會被帶到詐騙者設立的假網站,並會被要求輸入個人資訊、銀行帳號或信用卡資訊,以及由金融業者發送的單次有效密碼,隨即其信用卡或帳號就會遭到盜刷或盜領。
資安廠商 Perception Point 指出,駭侵者先利用假稱訂房或社交工程等攻擊手法,入侵各飯店的內部系統後加以控制,因此能取得客戶訂房資訊,也能假冒飯店人員進入其在 Booking.com 的後台,利用 App 內的即時通訊和 email 發送機制,來發送釣魚連結給訂房旅客。
由於訊息是來自 Booking.com 的站內即時通訊或該網域的 email,因此旅客很難在第一時間發現異狀;不過資安專家也表示,駭侵者發送的釣魚連結,並非使用 Booking.com 網域,而是其他試圖魚目混珠的網域,用戶如能仔細觀察,依然可發現異狀。
建議用戶在進行各種電子交易時,對於任何發送給消費者的連結,都必須提高警覺,仔細確認連結所屬網域正確無誤,可大幅降低遭釣魚攻擊的成功機率。
- 參考連結
More travellers using Booking.com conned by scammers posing as hotel representatives
Warnings over 'scam' Booking.com emails asking travellers to provide bank card details or risk having their hotel reservation cancelled after customers lose 'thousands of pounds'
Hotel hackers redirect guests to fake Booking.com to steal cards
留言列表
資安宣導 (2)
