江苏
关键词
恶意软件
Sekoia(赛科亚)网络威胁检测与响应机构近日披露了一起正在持续蔓延的网络诈骗行动,研究报告将其命名为“I Paid Twice”。这一诈骗最初针对酒店业者展开攻击,随后再直接侵害旅客。
事件起因是一家合作伙伴报告称,有钓鱼邮件正大规模袭击酒店客户。诈骗邮件主题往往为“I Paid Twice”,受害者被诱导重复支付一次房费——一次付给酒店,另一次则落入犯罪分子之手。研究人员指出,这一犯罪团伙组织严密。攻击者首先通过网络搜索或在地下论坛(如俄语论坛LolzTeam)购买酒店管理员邮箱名单,从而获得未公开的酒店管理者联系方式。这类数据库的价格极低,往往只需几十美元即可批量购得。
自2025年4月以来,该诈骗活动一直活跃,并在同年10月仍持续运行。攻击通常从向酒店系统发起的邮件入侵开始。酒店员工会收到伪装成客户咨询的邮件,邮件中往往带有Booking.com的标志,显得十分真实。这些邮件被发送至酒店的预订或行政邮箱,并包含一个恶意链接。点击后便会触发“ClickFix”技术安装恶意程序PureRAT(又名PureHVNC或ResolverRAT)。该木马由开发者“PureCoder”以“恶意软件即服务”的形式出售,能够窃取酒店工作人员用于访问Booking.com等预订平台的专业登录凭证。
一旦感染,PureRAT可让攻击者远程全面控制受害者设备,从而窃取酒店账户。部分情况下,攻击者还会利用恶意广告或伪造搜索结果页面,使酒店人员误入被植入恶意代码的网站,导致系统在不知情的情况下被感染。被盗取的酒店账户随后常被转售于地下市场。
在掌握真实的Booking.com账户后,诈骗者便开始针对旅客展开第二阶段攻击。他们利用获取的客户姓名、预订信息和联系方式,以极具迷惑性的方式联系旅客,常通过WhatsApp或电子邮件发送消息,谎称客户的付款存在安全问题,需按照“Booking.com的新安全程序”重新支付,以防止订单被取消。攻击者还会附上一个伪造的支付网站,诱导受害者输入银行信息,从而完成资金盗取。
Sekoia的调查发现,截至2025年10月,已有数百个与此骗局相关的恶意域名仍在活跃运行,表明这一诈骗模式极具盈利性。更令人担忧的是,犯罪分子不仅冒充Booking.com,也开始仿冒Expedia等其他在线预订平台,显示他们正扩大在旅游与酒店行业的攻击范围。
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
