随着疫情趋缓，各国开放边境，加上暑假将近，不论是在台湾或世界各地，越来越多人开始踏上疫情後的第一次长途旅行，或正积极进行出国规划。然而这样的趋势，也让恶意份子有机可乘，越来越多骇客以旅游为主题，试图利用网路钓鱼窃取资料，包含帐户凭证、财务资讯等，再将这些资讯透过黑市贩售。举例来说，美国联邦调查局（FBI）日前才发出警告，提醒消费者不要在机场、商场、旅馆等公共场所使用USB接囗充电，避免让骇客有机会在装置中载入恶意软体，进而窃取资料，让使用者沦为USB 充电陷阱攻击（Juice Jacking）的受害者。

以旅游为主题的网路钓鱼不断增加

骇客为了进行社交工程攻击，常常会利用恶意网域和网址，假扮成消费者熟知的品牌和网站，用这些恶意网域或网址的内容来误导消费者，因为它们看起来、感觉起来都很像之前熟悉的网域或网址。

骇客也可能将网路钓鱼电子邮件传送给消费者，诱骗他们下载恶意附件或点选恶意内容连结，可能是网页或附件。他们还会使用带有急迫感的主题（如未支付的帐单）或针对使用者情感诉求的主题（如当全球边境开始开放，送出以旅游主题的电子邮件）。

涉及旅游主题的网路钓鱼网址不断增加

Unit 42分析了2019年10月至2021年8月间，以旅游为主题的网路钓鱼网址。恶意的网路钓鱼网址注册数量在2021年初逐渐增加，到2021年6月开始大幅成长。尽管後来新注册的网路钓鱼网址不像6月份数量如此之多，2021年整个夏季，骇客新创造以旅游为主题的网路钓鱼网址，还是远多於2020年任何时候。

根据Unit 42的观察，新的网路钓鱼网址除了使用特制或新网域外，恶意份子也会利用bit.ly和bit.do等短网址服务，以及Google Cloud Storage上的Firebase服务等。Google是Firebase的提供者，Firebase支援行动装置或网页应用程式的开发者。Firebase提供包括云端储存功能，让开发者可以储存和提供使用者生成内容。由於Firebase使用Google Cloud Storage，网路钓鱼网址就可能利用它绕过Google信任评级的邮件保护机制。

Unit 42也注意到，并非所有网路钓鱼网址都被恶意分子用来做定向攻击；部分网址被用在恶意邮件攻击活动，用来管理恶意内容，Dridex就是一例。

Dridex运用以旅游为主题的网路钓鱼网址

Dridex是一种典型透过恶意电子邮件大量传播的恶意软体，目的要窃取资料。背後的骇客通常利用发票或帐单为主题的电子邮件，这也是多数大量传播恶意软体的常用策略。被入侵或带有恶意的网址托管了Dridex初始安装程式，目的是建立後门存取。如果最初感染没被发现，Dridex会透过建立的後门开始散布後续的恶意软体攻击，包括勒索软体。Dridex利用的网域通常是合法但已受病毒感染的网站。

恶意份子不当使用Firebase

骇客已经攻击了多个旅游机构，骇客也使用Firebase来管理网路钓鱼页面，用来针对旅游业员工及其客户。受害机构包括旅游租赁线上平台、高级连锁饭店、渡假村管理公司和Tui（英国途易)等航空公司。

恶意攻击者如何运用网路钓鱼窃取资料

网路犯罪份子通常希??从攻击取得「资料」中获利，对於搜集到的旅客和旅游机构的资料也不例外。我们注意到，恶意份子会透过兜售窃取来的帐户凭证、客户资料或付款资讯来牟利。

Unit 42研究人员也注意到疫情期间，网路罪犯在黑市贩卖旅游相关的产品与服务大幅减少，或许是由於全球旅游限制的缘故，但我们预期供需将会随着全球旅游市场开放而增加。

窃取帐户凭证

下面两个原因将说明为何窃取来的使用者名称、email与密码，对犯罪者极具吸引力。首先，恶意份子取得被害者的里程数或饭店点数，可以轻易兜售牟利。其次，恶意份子可轻易地利用这些身分凭证，入侵或控制被害者在其他平台上的帐户，如果这些平台也使用相同凭证的话。由於被窃取的登录凭证，可以产生潜在的财务收益，强烈的黑市需求也促使恶意份子积极透过社交工程、暴力破解或攻击较脆弱的系统，获取相关资料。

窃取客户资讯

旅游机构有机会接触大量资料，包括旅客的个人识别资讯 （PII）、付款资讯和联络资讯。最近一波SITA passenger 服务系统攻击，全球共有450万名受害者的资料被入侵。虽然研究人员认为攻击发起者为APT 41，但迹象也显示有财务诱因的罪犯份子，对这些资料也很感兴趣。

网路罪犯份子常透过以下三种方式不当使用此类窃取来的资料。

1.盗用身份：运用从网站A窃取的个人资料在网站B上建立新帐户。因为受害者对於网站B的帐户不知情，日後也较不会被发现。

2.搜集情?：利用资讯搜集情报并替网路钓鱼攻击做准备。

3.兜售资料：资料可轻易转卖给其他罪犯份子、诈欺犯或不法行销服务业者，做进一步利用。

窃取付款资讯

网路罪犯长年提供「影子旅行社」相关服务。他们透过各种社群媒体或Telegram等即时通讯平台接触散客，提供超优惠的机票预订、饭店、租车、共乘和出团服务。旅客将乾净的钱付给「影子旅行社」，「影子旅行社」却用窃取到的付款资料，支付实际服务供应商，如饭店或航空公司等。由於付款处理有时间差，服务供应商要等到数星期後，看到有争议的信用卡交易或退费，才知道受骗。

旅游业和国际旅客一直是网路罪犯的长期目标，他们容易成为财务和商誉上的受害者。骇客不仅贩售伪造资讯，也兜售透过网路钓鱼攻击窃取来的资讯。我们注意到疫情期间，黑市里以旅游为主题的相关产品与服务显着减少，可能是由於需求下降的缘故。然而，随着旅游业逐渐复苏，骇客们也开始将目光投向这个高利润的领域，这也意味着全球旅客和旅游业者将再度面临骇客攻击，必须更加留心网路钓鱼。

Palo Alto Networks针对个人与组织提出以下几种防御作法

针对个人：

●点击任何可疑邮件中的连结或附件时要格外小心，特别是和个人帐户设定或个人资讯有关，或试图传达急迫感的邮件。

●验证收件匣中任何可疑邮件的寄件人地址。

●输入登入凭证前，再三确认各网站的网址和资安认证。

●回报任何可疑的网路钓鱼攻击。

针对组织：

●强化SASE部署，无论使用者、应用及装置从何处连网，都能为组织提供安全存取、保护网路安全。

●实施资安意识训练课程，提高员工识别诈骗电子邮件的能力。

●定期备份资料，防御透过钓鱼邮件进行的勒索软体攻击。

●针对所有业务相关登入进行多因子认证，多一层资安防护。

针对不断推陈出新的网路攻击，Palo Alto Networks台湾区总经理尤惠生表示：「未来，我们也将持续思考如何在保障安全性、扩充性、可用性，兼具生产力与最隹体验的前提下，透过快速识别与修正，有效阻止零时差威胁，为积极布局全球永续成长的台湾企业，提供强大的安全後盾。」