隨著疫情趨緩,旅游業(yè)復(fù)蘇,越來(lái)越多的人們重啟出游計(jì)劃。然而這也讓網(wǎng)絡(luò)犯罪分子有機(jī)可乘——他們以旅客為目標(biāo),試圖利用網(wǎng)絡(luò)釣魚(yú)竊取賬戶憑證、財(cái)務(wù)信息等資料并出售牟利。例如,當(dāng)人們?cè)跈C(jī)場(chǎng)、商店、旅館等公共場(chǎng)所使用USB接口充電時(shí),就可能遭遇充電座竊取數(shù)據(jù)(Juice Jacking),攻擊者會(huì)通過(guò)在設(shè)備中載入惡意軟體來(lái)竊取資料。
網(wǎng)絡(luò)釣魚(yú)瞄準(zhǔn)旅游業(yè)
為了實(shí)施社交工程攻擊,攻擊者往往會(huì)利用惡意域名和網(wǎng)址,假冒成人們熟悉的品牌和網(wǎng)站來(lái)誤導(dǎo)消費(fèi)者。他們還可能向目標(biāo)發(fā)送釣魚(yú)郵件,誘騙他們下載惡意附件或點(diǎn)擊網(wǎng)頁(yè)和附件等惡意內(nèi)容鏈接。為了增加釣魚(yú)成功的概率,攻擊者還會(huì)使用帶有急迫感或符合目標(biāo)需求的郵件主題,比如通知有賬單未支付,或在節(jié)假日到來(lái)之際推送旅游資訊。
旅游相關(guān)的釣魚(yú)網(wǎng)址不斷增加
派拓網(wǎng)絡(luò)的威脅情報(bào)團(tuán)隊(duì)Unit 42研究發(fā)現(xiàn),釣魚(yú)網(wǎng)址除了使用專(zhuān)門(mén)創(chuàng)建的或新的域名外,也會(huì)使用bit.ly和bit.do等短網(wǎng)址服務(wù),以及Google Cloud Storage上的Firebase服務(wù)等。Google是Firebase的提供者,F(xiàn)irebase為移動(dòng)和網(wǎng)頁(yè)應(yīng)用程序的開(kāi)發(fā)者提供支持。Firebase云端儲(chǔ)存等功能,讓開(kāi)發(fā)者可以儲(chǔ)存和提供使用者生成內(nèi)容。由于Firebase使用Google Cloud Storage,因此釣魚(yú)網(wǎng)址可能利用它繞過(guò)Google信任評(píng)級(jí)的郵件保護(hù)機(jī)制。攻擊者通過(guò)濫用Firebase管理釣魚(yú)頁(yè)面,目標(biāo)對(duì)象除了旅游機(jī)構(gòu),還有旅游從業(yè)者和客戶。受害機(jī)構(gòu)包括線上旅游租賃平臺(tái)、高級(jí)連鎖酒店、度假村管理公司和航空公司。
Unit 42也注意到,并非所有釣魚(yú)網(wǎng)址都被用來(lái)發(fā)起定向攻擊;部分網(wǎng)址被用于惡意郵件攻擊活動(dòng)和管理惡意內(nèi)容,Dridex就是其中一例。
Dridex使用以旅游為主題的釣魚(yú)網(wǎng)址
Dridex是一款典型的通過(guò)郵件廣泛傳播的惡意軟件,目的在于竊取資料。此類(lèi)釣魚(yú)郵件通常以發(fā)票或賬單為主題吸引人們點(diǎn)擊,這也是很多惡意軟件常用的傳播策略。被入侵或帶有惡意的網(wǎng)址托管了Dridex初始安裝程序,便于建立后門(mén)存取。如果最初的感染沒(méi)被發(fā)現(xiàn),Dridex會(huì)通過(guò)建立的后門(mén)散布后續(xù)的勒索軟件等惡意軟件攻擊。Dridex使用的域名通常是合法但已經(jīng)感染了病毒的網(wǎng)站。
攻擊者如何通過(guò)釣魚(yú)竊取資料
攻擊者竊取旅客和旅游機(jī)構(gòu)的資料主要是為了牟利,手段包括兜售賬戶憑證、客戶資料或付款信息。據(jù)Unit 42的觀察,疫情期間由于旅游業(yè)停擺,因此旅游相關(guān)產(chǎn)品與服務(wù)的售賣(mài)也大幅減少,但隨著全球旅游市場(chǎng)復(fù)蘇,供需也會(huì)隨之增加。
• 竊取帳戶憑證
在海量信息中,攻擊者最“青睞”的是用戶名以及郵件和密碼。原因有二:首先,他們可以兜售受害者的里程數(shù)和酒店積分獲利。其次,有了這些身份憑證,他們可以輕易地入侵和控制受害者使用了相同憑證的其他平臺(tái)賬戶。由于竊取登錄憑證可以帶來(lái)潛在利益,強(qiáng)大的需求促使不法分子通過(guò)社交工程、暴力破解或攻擊防御薄弱的系統(tǒng),來(lái)獲取有價(jià)值的信息。
• 竊取客戶信息
旅游機(jī)構(gòu)有機(jī)會(huì)接觸旅客隱私資料,包括個(gè)人識(shí)別信息 (PII)、付款信息和聯(lián)絡(luò)方式。一旦這些信息被盜,攻擊者主要有三種濫用方式:
1. 盜用身份:用從A網(wǎng)站上竊取的個(gè)人資料在B網(wǎng)站上創(chuàng)建新帳戶。因?yàn)槭芎φ邔?duì)于B網(wǎng)站的帳戶并不知情,因此日后也不容易被發(fā)現(xiàn)。
2. 搜集情報(bào):利用信息搜集情報(bào),為釣魚(yú)攻擊做準(zhǔn)備。
3. 兜售資料:轉(zhuǎn)賣(mài)給其他黑客、詐騙犯或不法營(yíng)銷(xiāo)服務(wù)從業(yè)者,用作他途。
• 竊取付款信息
攻擊者常以“影子旅行社”的形式盜取信息。他們會(huì)通過(guò)各種社交媒體和即時(shí)通訊平臺(tái)接觸散客,聲稱(chēng)提供超低折扣的機(jī)票和酒店預(yù)訂、租車(chē)、搭便車(chē)和旅行團(tuán)服務(wù)。旅客一旦將錢(qián)付給這些“影子旅行社”,“影子旅行社”就會(huì)用到手的付款信息去支付酒店和航空公司等實(shí)際服務(wù)提供商。由于付款處理存在時(shí)間差,真正的提供商可能要等到幾星期后才能看到有爭(zhēng)議的信用卡交易或退費(fèi)。
長(zhǎng)期以來(lái),旅游業(yè)和國(guó)際旅客一直是攻擊者的目標(biāo),他們?nèi)菀壮蔀樨?cái)務(wù)和商譽(yù)上的受害者。駭客不僅販?zhǔn)蹅卧熨Y訊,也兜售透過(guò)網(wǎng)絡(luò)釣魚(yú)攻擊竊取來(lái)的資訊。我們注意到疫情期間,黑市裡以旅游為主題的相關(guān)產(chǎn)品與服務(wù)顯著減少,可能是由于需求下降的緣故。然而,隨著旅游業(yè)逐漸復(fù)甦,駭客們也開(kāi)始將目光投向這個(gè)高利潤(rùn)的領(lǐng)域,這也意味著全球旅客和旅游業(yè)者將再度面臨駭客攻擊,必須更加留心網(wǎng)絡(luò)釣魚(yú)。
針對(duì)旅游業(yè)面臨的愈發(fā)嚴(yán)峻的網(wǎng)絡(luò)安全態(tài)勢(shì),派拓網(wǎng)絡(luò)分別為個(gè)人和企業(yè)提供了防御建議:
個(gè)人:
• 點(diǎn)擊任何可疑郵件中的連結(jié)或附件時(shí)要格外小心,尤其是和個(gè)人帳戶設(shè)定或個(gè)人資訊有關(guān),或試圖傳達(dá)急迫感的郵件。
• 驗(yàn)證收件匣中任何可疑郵件的寄件人地址。
• 輸入登入憑證前,再三確認(rèn)網(wǎng)站的網(wǎng)址和安全認(rèn)證。
• 及時(shí)報(bào)告可疑的釣魚(yú)攻擊。
企業(yè):
• 強(qiáng)化SASE部署,無(wú)論用戶、應(yīng)用和設(shè)備從何處連網(wǎng),都能確保安全存取。
• 開(kāi)展安全意識(shí)培訓(xùn)課程,提高員工識(shí)別詐騙郵件的能力。
• 定期備份資料,嚴(yán)防通過(guò)釣魚(yú)郵件進(jìn)行的勒索軟件攻擊。
• 針對(duì)所有業(yè)務(wù)相關(guān)登入采取多重驗(yàn)證,安全防御加倍。
派拓網(wǎng)絡(luò)的客戶可以獲得這些保護(hù):
• 高級(jí)URL過(guò)濾:僅需幾毫秒就能檢測(cè)出新的未知惡意URL,阻止攻擊。
• WildFire: 所有已知樣本均被識(shí)別為惡意軟件。
• 自動(dòng)聚焦:使用Dridex標(biāo)簽跟蹤相關(guān)活動(dòng)。
面對(duì)愈演愈烈的網(wǎng)絡(luò)威脅,派拓網(wǎng)絡(luò)作為全球安全領(lǐng)導(dǎo)者,一直持續(xù)關(guān)注威脅風(fēng)險(xiǎn)的最新動(dòng)態(tài)和客戶的需求變化,不斷優(yōu)化解決方案,守護(hù)客戶的網(wǎng)絡(luò)安全。