在規劃旅行時,找住宿總是既期待又怕受傷害嗎?現代人早已習慣使用「線上訂房網站」來安排住宿,它幾乎徹底改變了我們安排旅程的方式。這類平台究竟有什麼魔力,能成為背包客與渡假者的最愛?
首先,最大的優點就是「選擇多到像逛百貨公司」。不用一間一間飯店打電話或查官網,一次就能比較上百家不同風格、不同價位的住宿,從星級飯店、溫泉旅館到溫馨民宿,全部一目了然。
再來是「資訊透明,不怕踩雷」。這類平台最寶貴的就是「真實住客評價」。預訂前可以先看看過來人的經驗分享、實拍照片和評分,就像有成千上萬的網友幫你先探路,大大提升了選擇的準確度和安心感。
最後是「彈性十足,說走就走」。許多訂房選擇都提供「免費取消」的服務,對於行程可能變動的現代人來說,簡直是一大福音,讓規劃旅行變得沒壓力。而談到這類平台,Booking.com可以說是其中的代表性品牌。它幾乎具備了上述的所有優點,正因為如此被駭客看上利用當作進行惡意活動的誘餌。
以下就來說明利用Booking.com來進行惡意活動的案例。
假藉Booking.com名義發送釣魚郵件
駭客藉由Booking.com的名義發送釣魚件,任何形式的內容都有可能,主要就是引誘你點擊郵件內容的連結。這次案例的郵件主要是處理客戶投訴的問題,內容有附上一個回覆客戶投的訴解決方案連結,並表示如果沒有點進去確認可能導致訂單被暫停或是取消,這讓真的有提出投訴的客戶更容易點擊連結。當然連結所顯示的URL跟實際上連結的是不同位置,實際上是導向惡意內容的URL。
回覆處理投訴郵件暗藏惡意連結
利用日語平假名字符ん偽造URL
電子郵件中的文字 https://admin.booking.com/hotel/hoteladmin/...本身看起來像是一個 Booking.com的連結,但超連結卻指向:https://account.booking.comんdetailんrestric-access.www-account-booking.com/en/,重點是當在網頁瀏覽器的網址列中呈現時,「ん」字元乍看之下與拉丁字母序列“/n”或“/~”非常相似,可能會讓使用者誤以為他們正在瀏覽 booking.com 的子目錄。實際上,註冊的域名是www-account-booking[.]com,這是一個惡意的域名,其前面的一串內容都只是一個欺騙性的子域名字符串。
利用日語平假名字符ん偽造URL
被導向另一個URL並安裝惡意程式
點擊後會進入一個驗證是否為人類的步驟:開啟「執行」視窗、Ctrl+V貼上內容、Enter。依序執行後就有可能下載並安裝竊取資料或遠端存取的木馬惡意程式。
執行的內容看似一段ID字串
點擊執行的內容並非如上圖所示為一段ID字串,而是如下圖的一段執行指令。實際上受害者最終將被重新導向至:www-account-booking[.]com/c.php?a=0
實際執行的指令
並從裡面CDN連結https://updatessoftware.b-cdn[.]net/john/pr/04.08/IYTDTGTF.msi下載並安裝一個惡意的MSI程式。
下載並安裝惡意程式
現在新的惡意攻擊層出不窮,且不斷的創新,像這次的攻擊將日語平假名字符「ん」混入URL裡面,主要就是藉由使用者不小心,未注意的情況下做攻擊,不好預防。唯有提高自我的防駭意識,提高警覺心,才可以大大降低被駭客攻擊的風險。
流程圖:
防範URL混入Unicode字元偽裝攻擊建議:
● 點擊內容被導向新的網頁時,仔細確認網頁的URL是否有正確,有可能網頁的URL被動手腳導向到含有惡意的網站。例如:0用O去替代或是像是這次案例的「ん」替代“/~”。乍看之下很像,但實際上完全不一樣。
● 在需要驗證身分或是驗證機器人的網頁裡,會需要填入一些資訊做確認,但是需要你照著流程打開執行視窗,再貼上自動複製好的內容去執行驗證,這個動作就很可疑,因為打開執行視窗就是要對你的電腦執行某些動作,很容易被安裝或是執行外來的惡意程式。
● 定期安排員工資安教育課程並請外部資安專家定期更新資安情資。
想了解更多產品資訊,請連至官網https://www.neithnet.com/zh/,或直接與NEITHNET資安專家聯繫:info@neithnet.com
參考資料:
1、https://www.bleepingcomputer.com/news/security/bookingcom-phishing-campaign-uses-sneaky-character-to-trick-you/
2、https://x.com/JAMESWT_WT/status/1955060839569870991
3、https://app.any.run/tasks/35618d39-0189-4eec-87f0-ce918ecf95f4
