Trustwave报告：酒店业成网络攻击重灾区 勒索钓鱼WIFI漏洞齐发

摘要：81%酒店遭攻击，勒索软件为首害，公共WiFi与IoT成高危入口。

酒店业作为全球经济支柱，每日处理数百万旅客的敏感数据（支付卡信息、护照号、行程、健康数据等）。为满足客户对便利性和连接性的需求，行业广泛采用数字技术、云服务、物联网和移动平台。然而，这些创新在提升体验的同时，也显著扩大了攻击面，使其成为网络犯罪分子的高价值目标。网络攻击可导致运营中断、重大财务损失、声誉受损及严厉监管处罚。

近日，Trustwave发布了《2025年酒店服务业风险雷达报告》，以下是该报告的一些关键发现。

一．高价值目标 低质量防御

酒店组织管理着大量的个人数据，包括姓名、信用卡详细信息、护照号码和旅行行程。这使它们成为网络罪犯的主要目标。

81%的人承认在过去一年中经历过一次网络事件，57%的人遭受过多次攻击。

尽管存在明显的风险，但酒店组织在处理网络安全事件方面仍然准备不足。

只有57%的受访者表示，他们对自己实时检测和响应网络攻击的能力有信心，24%的受访者仍然没有制定事件响应计划。

二．酒店业面临独特的威胁挑战

酒店业面临着许多其他行业没有面临的独特挑战：

1. 持续的客人周转率要求系统保持高可用性、应对带宽压力、并持续防范新用户带来的安全威胁。同时这会给系统和员工带来压力，从而增加错误和漏洞。
2. 大量不受信任的网络用户（如客人和访客）迫使企业默认其网络极易受攻击。
3. 物理安全风险突出。酒店业广泛使用不安全的物联网设备，如智能恒温器和无钥匙进入系统等。客人可接触硬件（如可随意接入USB设备的终端）也加剧了风险。根据Trustwave的报告，酒店环境中60%的不安全物联网设备在网络事件中被利用。
4. 过时的基础设施、分散的IT系统和旺季需求的压力。在高流量期间，经常难以保持一致的补丁和访问控制，为攻击者提供了利用系统弱点的理想条件。
5. 特许经营模式导致网络安全政策与实践难以统一，不同特许人和被特许人的商业模式差异造成安全措施不一致，且提供安全指导或要求可能成为敏感问题。

三．酒店业主要安全威胁格局构成

根据报告，，勒索软件继续主导着威胁格局，被受访者将其列为头号威胁。并且攻击中使用的初始访问媒介主要是利用对公共可访问服务的攻击，占61.5%。

其次是网络钓鱼（23.4%）和有效账户（15.1%）。其中大多数网络钓鱼手段采用通用化策略，通过指向外部网站的社会工程链接实施欺诈。其高发性与环境中大量的电子邮件通信和高员工流动率密切相关。同时，内部威胁风险也在上升，在采用特许经营模式或雇佣大量季节工、临时工的组织中尤为显著。

最后，还有未公开的犯罪模式，自2018年以来，一些恶意运营商一直活跃在暗网上，提供大幅折扣的“一体化”旅行套餐，声称在酒店预订、国际航班、汽车租赁甚至导游游览方面节省50%至70%。这些地下“旅行社”向顾客承诺一切，从豪华酒店住宿、商务舱机票到完整的假日行程，价格仅为市场的零头。这类服务的市场一直在稳步增长，客户从网络犯罪分子到个人，都在有意或无意地参与欺诈活动。尽管这些组织没有公开披露他们的运作方式，但他们的作案手法可能涉及窃取信用卡数据、破坏账户或劫持旅行和预订平台的管理权限。

四．攻击中所利用的漏洞和技术

1.不安全的Wi-Fi和物联网

不安全的公共Wi-Fi和物联网设备是酒店业的关键风险点。访客Wi-Fi网络常因配置不当成为攻击媒介，威胁行为者利用中间人攻击或伪造热点窃取数据、部署恶意软件；威廉姆斯警告，旺季客流量激增会放大此类风险，增加系统和人员压力及漏洞。同时，酒店广泛部署的物联网设备（如智能温控器、门锁系统）安全性堪忧，Trustwave报告指出60%的不安全物联网设备已在网络事件中被利用。

2.攻击技术聚焦

攻击中的凭据访问技术以暴力破解尝试和一般暴力攻击为主，禁用多因素认证（MFA）、利用DCSync和NTLM哈希盗窃转储操作系统凭证也被使用。

尽管整体凭据窃取技术数量有所下降，但暴力破解仍居主导地位。受感染组织大量凭证在地下流通，为攻击者提供即时访问。执行阶段的技术则主要依赖用户执行恶意文件/链接，其次是恶意使用PowerShell脚本/命令以及通过Windows管理规范（WMI）进行远程命令执行。

五．酒店企业如何应对威胁

为了应对面临的这些挑战，保护运营和客户信任，企业必须将其网络安全态势从被动转变为主动。以下是减轻风险和建立长期韧性的主要建议：

1.盘点、评估和修补

创建一个定期的网络清单，包括网络地址、操作系统和操作系统版本、开放端口和已安装的应用程序。一旦建立了清单，您就可以继续进行漏洞评估，优先考虑最有价值或公开暴露的系统。最后，设置从安全补丁发布到在生产环境中安装的预期补丁周期。敏捷补丁将帮助您保持安全。

2.加强身份和访问控制

1）跨所有系统实施MFA，特别是远程访问（RDP、VPN、管理仪表板和云平台）。

2）实现最低特权策略，将用户访问权限限制在绝对必要的范围内。

3）定期审计用户角色，特别是那些具有提升权限或第三方访问权限的用户角色。

3.监控和控制远程访问工具

盘点和控制远程监控和管理（RMM）软件（AnyDesk, Atera, ScreenConnect）的使用并默认。

4.阻止未经批准的工具

1）为在端点上安装或执行远程访问软件设置警报。

2）使用应用程序允许列表和EDR解决方案来检测和隔离未经授权的访问活动。

5.确保第三方和供应链关系

对供应商和服务提供商进行风险评估，特别是那些可以访问客户数据或核心基础设施的供应商。监控涉及供应商的暗网泄漏，如果凭证或数据暴露，立即采取措施。

6.备份和业务连续性

1）维护关键系统（PMS、POS、HR、财务）的加密、脱机和不可变备份。

2）在模拟攻击场景下定期测试备份恢复过程。对所有员工进行网络安全培训，针对不同的角色进行培训：前台、财务、营销、IT。

3）运行网络钓鱼模拟和社会工程演练，以建立对现实世界威胁的认识。

4）教育团队了解泄露凭据、弱密码和公共Wi-Fi暴露的影响。

7.监控威胁形势

1）订阅特定行业的威胁情报，并定期审查与酒店系统相关的漏洞。

2）实施暗网监控工具，以识别您的组织或其域何时出现泄露数据或访问市场。