Palo Alto Networks（派拓網(wǎng)絡(luò)）：網(wǎng)絡(luò)釣魚瞄準(zhǔn)旅客

隨著疫情趨緩，旅游業(yè)復(fù)蘇，越來越多的人們重啟出游計(jì)劃。然而這也讓網(wǎng)絡(luò)犯罪分子有機(jī)可乘——他們以旅客為目標(biāo)，試圖利用網(wǎng)絡(luò)釣魚竊取賬戶憑證、財(cái)務(wù)信息等資料并出售牟利。例如，當(dāng)人們?cè)跈C(jī)場、商店、旅館等公共場所使用USB接口充電時(shí)，就可能遭遇充電座竊取數(shù)據(jù)（Juice Jacking），攻擊者會(huì)通過在設(shè)備中載入惡意軟體來竊取資料。

網(wǎng)絡(luò)釣魚瞄準(zhǔn)旅游業(yè)

為了實(shí)施社交工程攻擊，攻擊者往往會(huì)利用惡意域名和網(wǎng)址，假冒成人們熟悉的品牌和網(wǎng)站來誤導(dǎo)消費(fèi)者。他們還可能向目標(biāo)發(fā)送釣魚郵件，誘騙他們下載惡意附件或點(diǎn)擊網(wǎng)頁和附件等惡意內(nèi)容鏈接。為了增加釣魚成功的概率，攻擊者還會(huì)使用帶有急迫感或符合目標(biāo)需求的郵件主題，比如通知有賬單未支付，或在節(jié)假日到來之際推送旅游資訊。

旅游相關(guān)的釣魚網(wǎng)址不斷增加

派拓網(wǎng)絡(luò)的威脅情報(bào)團(tuán)隊(duì)Unit 42研究發(fā)現(xiàn)，釣魚網(wǎng)址除了使用專門創(chuàng)建的或新的域名外，也會(huì)使用bit.ly和bit.do等短網(wǎng)址服務(wù)，以及Google Cloud Storage上的Firebase服務(wù)等。Google是Firebase的提供者，F(xiàn)irebase為移動(dòng)和網(wǎng)頁應(yīng)用程序的開發(fā)者提供支持。Firebase云端儲(chǔ)存等功能，讓開發(fā)者可以儲(chǔ)存和提供使用者生成內(nèi)容。由于Firebase使用Google Cloud Storage，因此釣魚網(wǎng)址可能利用它繞過Google信任評(píng)級(jí)的郵件保護(hù)機(jī)制。攻擊者通過濫用Firebase管理釣魚頁面，目標(biāo)對(duì)象除了旅游機(jī)構(gòu)，還有旅游從業(yè)者和客戶。受害機(jī)構(gòu)包括線上旅游租賃平臺(tái)、高級(jí)連鎖酒店、度假村管理公司和航空公司。

Unit 42也注意到，并非所有釣魚網(wǎng)址都被用來發(fā)起定向攻擊；部分網(wǎng)址被用于惡意郵件攻擊活動(dòng)和管理惡意內(nèi)容，Dridex就是其中一例。

Dridex使用以旅游為主題的釣魚網(wǎng)址

Dridex是一款典型的通過郵件廣泛傳播的惡意軟件，目的在于竊取資料。此類釣魚郵件通常以發(fā)票或賬單為主題吸引人們點(diǎn)擊，這也是很多惡意軟件常用的傳播策略。被入侵或帶有惡意的網(wǎng)址托管了Dridex初始安裝程序，便于建立后門存取。如果最初的感染沒被發(fā)現(xiàn)，Dridex會(huì)通過建立的后門散布后續(xù)的勒索軟件等惡意軟件攻擊。Dridex使用的域名通常是合法但已經(jīng)感染了病毒的網(wǎng)站。

攻擊者如何通過釣魚竊取資料

攻擊者竊取旅客和旅游機(jī)構(gòu)的資料主要是為了牟利，手段包括兜售賬戶憑證、客戶資料或付款信息。據(jù)Unit 42的觀察，疫情期間由于旅游業(yè)停擺，因此旅游相關(guān)產(chǎn)品與服務(wù)的售賣也大幅減少，但隨著全球旅游市場復(fù)蘇，供需也會(huì)隨之增加。

• 竊取帳戶憑證

在海量信息中，攻擊者最“青睞”的是用戶名以及郵件和密碼。原因有二：首先，他們可以兜售受害者的里程數(shù)和酒店積分獲利。其次，有了這些身份憑證，他們可以輕易地入侵和控制受害者使用了相同憑證的其他平臺(tái)賬戶。由于竊取登錄憑證可以帶來潛在利益，強(qiáng)大的需求促使不法分子通過社交工程、暴力破解或攻擊防御薄弱的系統(tǒng)，來獲取有價(jià)值的信息。

• 竊取客戶信息

旅游機(jī)構(gòu)有機(jī)會(huì)接觸旅客隱私資料，包括個(gè)人識(shí)別信息 （PII）、付款信息和聯(lián)絡(luò)方式。一旦這些信息被盜，攻擊者主要有三種濫用方式：

1. 盜用身份：用從A網(wǎng)站上竊取的個(gè)人資料在B網(wǎng)站上創(chuàng)建新帳戶。因?yàn)槭芎φ邔?duì)于B網(wǎng)站的帳戶并不知情，因此日后也不容易被發(fā)現(xiàn)。

2. 搜集情報(bào)：利用信息搜集情報(bào)，為釣魚攻擊做準(zhǔn)備。

3. 兜售資料：轉(zhuǎn)賣給其他黑客、詐騙犯或不法營銷服務(wù)從業(yè)者，用作他途。

• 竊取付款信息

攻擊者常以“影子旅行社”的形式盜取信息。他們會(huì)通過各種社交媒體和即時(shí)通訊平臺(tái)接觸散客，聲稱提供超低折扣的機(jī)票和酒店預(yù)訂、租車、搭便車和旅行團(tuán)服務(wù)。旅客一旦將錢付給這些“影子旅行社”，“影子旅行社”就會(huì)用到手的付款信息去支付酒店和航空公司等實(shí)際服務(wù)提供商。由于付款處理存在時(shí)間差，真正的提供商可能要等到幾星期后才能看到有爭議的信用卡交易或退費(fèi)。

長期以來，旅游業(yè)和國際旅客一直是攻擊者的目標(biāo)，他們?nèi)菀壮蔀樨?cái)務(wù)和商譽(yù)上的受害者。駭客不僅販?zhǔn)蹅卧熨Y訊，也兜售透過網(wǎng)絡(luò)釣魚攻擊竊取來的資訊。我們注意到疫情期間，黑市裡以旅游為主題的相關(guān)產(chǎn)品與服務(wù)顯著減少，可能是由于需求下降的緣故。然而，隨著旅游業(yè)逐漸復(fù)甦，駭客們也開始將目光投向這個(gè)高利潤的領(lǐng)域，這也意味著全球旅客和旅游業(yè)者將再度面臨駭客攻擊，必須更加留心網(wǎng)絡(luò)釣魚。

針對(duì)旅游業(yè)面臨的愈發(fā)嚴(yán)峻的網(wǎng)絡(luò)安全態(tài)勢，派拓網(wǎng)絡(luò)分別為個(gè)人和企業(yè)提供了防御建議：

個(gè)人：

• 點(diǎn)擊任何可疑郵件中的連結(jié)或附件時(shí)要格外小心，尤其是和個(gè)人帳戶設(shè)定或個(gè)人資訊有關(guān)，或試圖傳達(dá)急迫感的郵件。

• 驗(yàn)證收件匣中任何可疑郵件的寄件人地址。

• 輸入登入憑證前，再三確認(rèn)網(wǎng)站的網(wǎng)址和安全認(rèn)證。

• 及時(shí)報(bào)告可疑的釣魚攻擊。

企業(yè)：

• 強(qiáng)化SASE部署，無論用戶、應(yīng)用和設(shè)備從何處連網(wǎng)，都能確保安全存取。

• 開展安全意識(shí)培訓(xùn)課程，提高員工識(shí)別詐騙郵件的能力。

• 定期備份資料，嚴(yán)防通過釣魚郵件進(jìn)行的勒索軟件攻擊。

• 針對(duì)所有業(yè)務(wù)相關(guān)登入采取多重驗(yàn)證，安全防御加倍。

派拓網(wǎng)絡(luò)的客戶可以獲得這些保護(hù)：

• 高級(jí)URL過濾：僅需幾毫秒就能檢測出新的未知惡意URL，阻止攻擊。

• WildFire： 所有已知樣本均被識(shí)別為惡意軟件。

• 自動(dòng)聚焦：使用Dridex標(biāo)簽跟蹤相關(guān)活動(dòng)。

面對(duì)愈演愈烈的網(wǎng)絡(luò)威脅，派拓網(wǎng)絡(luò)作為全球安全領(lǐng)導(dǎo)者，一直持續(xù)關(guān)注威脅風(fēng)險(xiǎn)的最新動(dòng)態(tài)和客戶的需求變化，不斷優(yōu)化解決方案，守護(hù)客戶的網(wǎng)絡(luò)安全。