Booking.com 数据泄露助长复杂的酒店冒充诈骗

执行摘要

Booking.com 发生了一起重大数据泄露事件，正在积极助长一系列复杂的酒店冒充诈骗活动。根据 Malwarebytes 的分析，威胁行为者已经获取了详细的客人预订记录，他们正利用这些信息来制作高度针对性的网络钓鱼信息。这些信息看似来自受害者预订的酒店，利用准确的行程细节诱使客人提供支付卡信息和账户凭证。此次泄露似乎仍在进行中，数据可能通过在 Booking.com 平台上被入侵的酒店账户被窃取。

技术分析

攻击链利用了酒店、预订平台和客人之间的信任关系。Malwarebytes 的研究人员报告称，此次泄露并非 Booking.com 核心预订系统的直接入侵，而是由于使用该平台的酒店的凭证被盗的结果。威胁行为者获得了访问酒店 Booking.com 外网账户的权限——这是酒店工作人员管理预订的后台门户。从那里，他们可以查看，并且可能导出即将到来和最近的客人预订的全部详细信息。

被盗的数据非常全面，通常包括客人的全名、预订 ID、入住/退房日期、酒店名称、联系方式以及客人和酒店之间的任何通信历史。这些信息提供了进行令人信服的鱼叉式网络钓鱼攻击所需的一切。然后攻击者联系客人，通常是通过电子邮件或像 WhatsApp 这样的消息平台，冒充酒店。他们使用合法的预订详情来建立信誉，然后提出紧急请求，例如支付问题，要求客人通过恶意链接立即重新提交卡详情。

入侵指标

目前没有识别出任何指标。这场活动的特点在于其社会工程学有效载荷和使用合法通信渠道，而不是特定的恶意软件哈希值或域名。个别网络钓鱼 URL 可能是短暂的。

战术、技术与程序

威胁行为者采用了多阶段的 TTP 集合，融合了网络和社交工程技术：

• 初始访问： 可能通过网络钓鱼或凭证填充来入侵 Booking.com 外网上的酒店员工账户（T1589.001 - 收集受害者身份信息：凭证）。
• 收集： 从预订管理系统中窃取数据（T1530 - 来自云存储的数据）。
• 网络钓鱼详细信息： 使用真实的预订数据制作针对性通信（通过服务的鱼叉式网络钓鱼，T1566.003）来建立信任。
• 金融欺诈： 将受害者重定向到旨在收集支付卡数据（T1589.002 - 收集受害者支付信息）或登录凭证的网络钓鱼页面。

威胁行为者背景

Malwarebytes 没有识别出具体负责凭证盗窃和数据收集的威胁行为者或团体。然而，最终目标——通过收集支付卡进行金融欺诈——与常见的网络犯罪活动一致。这些战术表明在针对酒店供应链方面有一定的专业化程度，认识到时间敏感、受信任的预订数据的高价值。目前尚不清楚这是一个单一的有组织团体，还是在地下论坛上出售给多个欺诈者的的服务。

缓解措施与建议

使用过 Booking.com 的客人应对任何声称来自他们酒店的通信持高度怀疑态度，特别是那些要求支付或登录详情的通信。主要建议包括：

• 直接验证： 使用从他们官方网站获得的电话号码联系酒店，而不是从任何收到的消息中获得的。
• 避免点击链接： 不要点击有关预订的消息中的链接或下载附件。直接登录官方 Booking.com 应用或网站以检查您的预订状态。
• 使用安全的支付方式： 对于通过电子邮件、短信或第三方表格提供卡详情的请求要谨慎。合法企业通常通过其安全门户处理支付。
• 对于酒店合作伙伴： 为 Booking.com 外网账户实施强大、独特的密码，并在可用时启用多因素认证（MFA）。培训员工识别针对他们业务凭证的网络钓鱼企图。
• 监控账户： 客人在任何疑似诈骗企图之后，应监控他们的支付卡对账单，以查找未经授权的交易。