随着疫情趋缓,旅游业复苏,越来越多的人们重启出游计划。然而这也让网络犯罪分子有机可乘——他们以旅客为目标,试图利用网络钓鱼窃取账户凭证、财务信息等资料并出售牟利。例如,当人们在机场、商店、旅馆等公共场所使用USB接口充电时,就可能遭遇充电座窃取数据(Juice Jacking),攻击者会通过在设备中载入恶意软体来窃取资料。
网络钓鱼瞄准旅游业
为了实施社交工程攻击,攻击者往往会利用恶意域名和网址,假冒成人们熟悉的品牌和网站来误导消费者。他们还可能向目标发送钓鱼邮件,诱骗他们下载恶意附件或点击网页和附件等恶意内容链接。为了增加钓鱼成功的概率,攻击者还会使用带有急迫感或符合目标需求的邮件主题,比如通知有账单未支付,或在节假日到来之际推送旅游资讯。
旅游相关的钓鱼网址不断增加
派拓网络的威胁情报团队Unit 42研究发现,钓鱼网址除了使用专门创建的或新的域名外,也会使用bit.ly和bit.do等短网址服务,以及Google Cloud Storage上的Firebase服务等。Google是Firebase的提供者,Firebase为移动和网页应用程序的开发者提供支持。Firebase云端储存等功能,让开发者可以储存和提供使用者生成内容。由于Firebase使用Google Cloud Storage,因此钓鱼网址可能利用它绕过Google信任评级的邮件保护机制。攻击者通过滥用Firebase管理钓鱼页面,目标对象除了旅游机构,还有旅游从业者和客户。受害机构包括线上旅游租赁平台、高级连锁酒店、度假村管理公司和航空公司。
Unit 42也注意到,并非所有钓鱼网址都被用来发起定向攻击;部分网址被用于恶意邮件攻击活动和管理恶意内容,Dridex就是其中一例。
Dridex使用以旅游为主题的钓鱼网址
Dridex是一款典型的通过邮件广泛传播的恶意软件,目的在于窃取资料。此类钓鱼邮件通常以发票或账单为主题吸引人们点击,这也是很多恶意软件常用的传播策略。被入侵或带有恶意的网址托管了Dridex初始安装程序,便于建立后门存取。如果最初的感染没被发现,Dridex会通过建立的后门散布后续的勒索软件等恶意软件攻击。Dridex使用的域名通常是合法但已经感染了病毒的网站。
攻击者如何通过钓鱼窃取资料
攻击者窃取旅客和旅游机构的资料主要是为了牟利,手段包括兜售账户凭证、客户资料或付款信息。据Unit 42的观察,疫情期间由于旅游业停摆,因此旅游相关产品与服务的售卖也大幅减少,但随着全球旅游市场复苏,供需也会随之增加。
• 窃取帐户凭证
在海量信息中,攻击者最“青睐”的是用户名以及邮件和密码。原因有二:首先,他们可以兜售受害者的里程数和酒店积分获利。其次,有了这些身份凭证,他们可以轻易地入侵和控制受害者使用了相同凭证的其他平台账户。由于窃取登录凭证可以带来潜在利益,强大的需求促使不法分子通过社交工程、暴力破解或攻击防御薄弱的系统,来获取有价值的信息。
• 窃取客户信息
旅游机构有机会接触旅客隐私资料,包括个人识别信息 (PII)、付款信息和联络方式。一旦这些信息被盗,攻击者主要有三种滥用方式:
1. 盗用身份:用从A网站上窃取的个人资料在B网站上创建新帐户。因为受害者对于B网站的帐户并不知情,因此日后也不容易被发现。
2. 搜集情报:利用信息搜集情报,为钓鱼攻击做准备。
3. 兜售资料:转卖给其他黑客、诈骗犯或不法营销服务从业者,用作他途。
• 窃取付款信息
攻击者常以“影子旅行社”的形式盗取信息。他们会通过各种社交媒体和即时通讯平台接触散客,声称提供超低折扣的机票和酒店预订、租车、搭便车和旅行团服务。旅客一旦将钱付给这些“影子旅行社”,“影子旅行社”就会用到手的付款信息去支付酒店和航空公司等实际服务提供商。由于付款处理存在时间差,真正的提供商可能要等到几星期后才能看到有争议的信用卡交易或退费。
长期以来,旅游业和国际旅客一直是攻击者的目标,他们容易成为财务和商誉上的受害者。骇客不仅贩售伪造资讯,也兜售透过网络钓鱼攻击窃取来的资讯。我们注意到疫情期间,黑市裡以旅游为主题的相关产品与服务显著减少,可能是由于需求下降的缘故。然而,随著旅游业逐渐复甦,骇客们也开始将目光投向这个高利润的领域,这也意味著全球旅客和旅游业者将再度面临骇客攻击,必须更加留心网络钓鱼。
针对旅游业面临的愈发严峻的网络安全态势,派拓网络分别为个人和企业提供了防御建议:
个人:
• 点击任何可疑邮件中的连结或附件时要格外小心,尤其是和个人帐户设定或个人资讯有关,或试图传达急迫感的邮件。
• 验证收件匣中任何可疑邮件的寄件人地址。
• 输入登入凭证前,再三确认网站的网址和安全认证。
• 及时报告可疑的钓鱼攻击。
企业:
• 强化SASE部署,无论用户、应用和设备从何处连网,都能确保安全存取。
• 开展安全意识培训课程,提高员工识别诈骗邮件的能力。
• 定期备份资料,严防通过钓鱼邮件进行的勒索软件攻击。
• 针对所有业务相关登入采取多重验证,安全防御加倍。
派拓网络的客户可以获得这些保护:
• 高级URL过滤:仅需几毫秒就能检测出新的未知恶意URL,阻止攻击。
• WildFire: 所有已知样本均被识别为恶意软件。
• 自动聚焦:使用Dridex标签跟踪相关活动。
面对愈演愈烈的网络威胁,派拓网络作为全球安全领导者,一直持续关注威胁风险的最新动态和客户的需求变化,不断优化解决方案,守护客户的网络安全。
