根據 IT Home 報導 :「最近駭客針對Booking.com房客發動攻擊的情況不時傳出,其特別之處在於,駭客並非直接對房客下手,而是先對旅館發動網釣攻擊,再假借這些旅館的名義對房客行騙,房客一不注意對方提供的網址是假冒的就點進去查看,很容易上當。值得留意的是,這樣的情況日益惡化,甚至已經在網路犯罪圈發展成上下游分工的情況──有人專門收集旅館的Booking.com帳密供打手運用。」
本文整理訂房網近年相關詐騙,及防範訂房網站詐騙六要點。
日韓永遠去不膩,旅行永遠不嫌多
機票買好了,就上訂房網好好規劃下一次的旅程
但不只考慮要訂哪間房,還有一件事你該好好注意
近期駭客會透過訂房網駭入旅宿對話訊息
讓你還沒出國花旅費,信用卡就被盜刷欲哭無淚
別讓自己在訂房時落入詐騙連結陷阱!
手機電腦防毒防詐 讓你規劃下趟旅程更安心!
立即免費下載 PC-cillin常見的訂房網站詐騙手法
近年來,訂房網站相關詐騙案件層出不窮,以下整理近年來常見的訂房網站詐騙手法:
- ⛔️ 假訂單詐騙:詐騙集團會冒用訂房網站名義,向民眾發送假訂單確認信件,信件中要求民眾點擊連結,並輸入信用卡資訊,以完成訂房。民眾點擊連結後,就會被導向詐騙集團的網站,並輸入信用卡資訊,進而被盜刷。
- ⛔️ 假客服詐騙:詐騙集團會冒用訂房網站客服名義,向民眾發送電話或簡訊,稱民眾的訂單有異常,需要更新信用卡資訊或付款。民眾信以為真,便會在電話或簡訊中提供信用卡資訊,進而被盜刷。
- ⛔️ 假折扣詐騙:詐騙集團會在社群媒體或網路論壇上,發布訂房網站的假折扣活動,吸引民眾點擊連結。民眾點擊連結後,就會被導向詐騙集團的網站,並要求民眾輸入信用卡資訊,以完成訂房。民眾點擊連結後,就會被導向詐騙集團的網站,並輸入信用卡資訊,進而被盜刷。
- ⛔️ 假網站或應用程式詐騙:有些詐騙者會建立看似正規的訂房網站或應用程式,但實際上只是用來騙取用戶的個人訊息和付款資訊。消費者應確保使用官方授權的網站或應用程式,避免進入不明來源的網站。
- ⛔️ 偽造的評價和評論:詐騙者可能會創造偽造的評價和評論,使得低質量的住宿場所看起來好像很受歡迎。消費者在選擇住宿時應留意評價的真實性,可以參考多個來源的評價。
- ⛔️ 提前付款要求:一些詐騙網站可能會要求提前支付,但正規的訂房網站通常在入住時才會收取款項。請警惕提前付款的要求,以免受騙。
訂房網近年相關詐騙:
以下是一些相關的年限和具體新聞事件,涉及訂房網站相關的詐騙:
- 2019年:偽造網站詐騙
- 2019年,有報導指出一些詐騙者建立了偽造的訂房網站,模仿知名品牌,試圖引誘消費者提供個人和金融訊息。
- 2020年:疫情期間的虛假訂房訊息
- 在COVID-19大流行期間,出現了一些虛假的訂房訊息,宣稱提供特殊的安全保障,詐騙一些受疫情影響的旅客。
- 2021年:價格詐騙和虛構評價
- 2021年,有報告指出一些訂房網站顯示虛高的價格,同時也存在偽造的評價和評論,旨在誘使消費者做出不理智的選擇。
- 2022年:電子郵件詐騙和提前付款
- 2022年,出現了一些針對旅客發送的虛假電子郵件,聲稱需要提前支付以確保訂房,進而騙取付款訊息。
- 2023年:來電或來信稱訂單異常,需更新信用卡資訊或付款
- 有民眾收到假客服詐騙電話,電話中稱民眾的訂單有異常,需要更新信用卡資訊或付款。民眾信以為真,便會在電話中提供信用卡資訊,進而被盜刷。警方調查後,發現詐騙集團是利用訂房網站的客服電話漏洞,撥打假客服詐騙電話。
- 知名旅遊部落客林氏璧於日本自助旅遊中毒者粉絲頁提醒讀者,有讀者訂房網預訂日本旅館,之後卻收到對話框提示「付款認證出了問題」,需要點擊網址進行確認。林氏璧表示:「這樣的詐騙手法在台灣至少從今年二月就有被提到,後來有許多案例發生,九月還上過新聞。這個資料外洩是發生在飯店端,駭客取得飯店帳號進訂房平台和客戶通訊。有網友稱呼這是近期最強的信用卡詐騙,因為他就是從APP裡面直接以旅館的名義發訊給你,許多旅客不疑有他,怕被取消就這樣受騙了。」
以上新聞事件只是近年來訂房網站詐騙案件的冰山一角,提醒民眾在訂房時,務必提高警覺,避免成為詐騙集團的目標。
防範訂房網站詐騙六要點
以下提供一些防範訂房網站詐騙的措施:
- 📌 不要點擊不明連結:收到不明連結時,不要點擊,以免被導向詐騙網站。
- 📌 不要提供個人資料:不要向陌生人提供個人資料,包括信用卡資訊、身分證字號等。
- 📌 與旅宿業者直接聯繫:如果收到訂房網站的異常通知,應直接與旅宿業者聯繫確認,不要輕信陌生人。
- 📌選擇信譽良好的訂房網站:確保在進行任何付款前仔細檢查訂單訊息。
- 📌注意保護個人和金融訊息:避免在不安全的網站上輸入敏感訊息。
- 📌 使用防毒防詐軟體: PC-cillin 搶先攔截詐騙網址,防止誤上惡意網站,別讓自己在訂房時落入詐騙連結陷阱!立即免費下載 PC-cillin
提醒民眾在訂房時,務必提高警覺,避免成為詐騙集團的目標。
(以下文章發表於 2019年9月)
手機訂房者請注意:信用卡側錄器正鎖定連鎖旅館訂房網站
《延伸閱讀》:
最近有兩起跟訂房網站有關的新聞,一則是知名訂房網「Booking.com」驚傳疑似會員個資外洩,有醫師被騙164萬 , 刑事警察局165反詐騙專線從今年5月起,陸續接獲民眾通報 累計至9月底,被騙人數已達228人,財損金額達台幣3362萬元 。
另一起是趨勢科技發現了一連串的Magecart信用卡側錄攻擊針對連鎖旅館的訂房網站, 可能是為了避免被電腦上的安全軟體偵測到,這波攻擊者似乎只針對行動用戶, 該側錄器可能經由地下論壇取得, 用以收集線上訂房者的姓名、電子郵件地址、電話號碼、旅館房間偏好和信用卡詳細資訊。側錄器會檢查客戶使用哪種語言進入網站,並注入相對應的偽造信用卡表單。
為了確保取得完整的信用卡資訊,攻擊者會將訂房網頁原始表單替換成包含信用卡背面三碼CVC(Card Validation Code)號碼欄位的表單。
BankBot 專偷銀行帳密,偽裝 27 個銀行應用程式,攔截手機簡訊雙重認證
「3分鐘被盜刷35萬」網友嘆:收到銀行簡訊已來不及
最近有兩起跟訂房網站有關的新聞,一則是知名訂房網「Booking.com」驚傳疑似會員個資外洩,詐騙集團按圖索驥打電話給消費者,冒充網站客服行騙,刑事警察局165反詐騙專線從今年5月起陸續接獲民眾通報,表示在「Booking.com」消費後遭遇詐騙,累計到9月底被騙人數已達228人,財損金額達新台幣3362萬元。
刑事局呼籲民眾:接到陌生電話,不要因為對方說得出你之前的交易細節,或來電顯示號碼為金融機構就輕信,詐騙集團常用的詐騙術語不外乎是「誤設為經銷商、批發商」、「誤設為付費會員」、「信用卡遭人盜刷重複下單」、「須配合操作ATM、網路銀行」等等,民眾要提高警覺,有疑問可撥打165反詐騙專線查證ˇ。
相關報導: 訂房網疑洩個資醫師被騙164萬
另一則是Magecart卡片側錄攻擊,針對連鎖旅館訂房網站的行動用戶
趨勢科技發現了一連串的Magecart信用卡側錄攻擊針對連鎖旅館的訂房網站,這是我們第二次看到Magecart駭客集團直接攻擊電子商務服務商,而非個人商店或第三方供應鏈。早在5月時,我們就發現了名為Mirrorthief的新Magecart駭客集團入侵美國和加拿大大學所用的一家電子商務服務商。
在 9月初,我們發現兩個旅館網站(來自不同的連鎖旅館)被注入JavaScript程式碼,從8月9日開始就會在付款頁面上載入遠端腳本。當我們第一次檢查腳本連結時,它下載了普通的JavaScript程式碼。但當我們從Android或iOS手機等行動裝置進行測試時,同一個連結會下載不同的腳本。下載到行動裝置的腳本是信用卡側錄器,會竊取在訂房網頁上輸入的資訊並送到遠端伺服器。
我們發現這兩個受影響的旅館網站都是由一家西班牙公司(Roomleader)所開發,該公司協助旅館建立網路訂房網站。惡意程式碼並不是直接注入網站,而是注入Roomleader所提供給客戶的ViewedHotels模組,兩家不同連鎖體系的訂房網站都有用此模組。儘管受影響的網站數量似乎很少,但其中一家連鎖旅館在14個國家/地區擁有107家旅館,而另一家在14個國家/地區擁有73家旅館,所以我們仍然認為此次攻擊相當值得注意。我們也已經就此問題聯繫了Roomleader。
腳本注入訂房網頁
圖1. 針對網路訂房網站的Magecart卡片側錄攻擊鏈
如前所述,攻擊是注入Roomleader所提供ViewedHotels模組的JavaScript程式庫,位在hxxps://[hotel website]/modulos/viewedHotels/templates/public/js/history_setter[.]js。這程式庫用來將訪客瀏覽過的旅館資訊存到瀏覽器cookie。攻擊者將惡意程式碼注入原始腳本中間。
注入的程式碼會先檢查網頁是否有包含ID customerBookingForm的HTML元素,確保自己在訂房網頁執行。如果發現注入的程式碼不是在訂房網頁執行,就會進入休眠狀態一秒鐘,然後重複檢查步驟。如果程式碼偵測到訂房網頁,它會檢查瀏覽器除錯器是否已關閉,然後從網址hxxps://googletrackmanager[.]com/gtm[.]js載入另一個JavaScript,這是真正的卡片側錄程式碼。值得注意的是,網址樣式是要偽裝成Google Tag Manager所用的網址。
圖2. 訂房網站所用JavaScript程式庫的注入腳本(紅色框內)
信用卡側錄器分析
當我們第一次連到側錄器網址時,它返回從GitHub專案detect-mobile-browser複製來的普通JavaScript程式碼。但我們懷疑這並非真正的惡意程式碼,因為受影響網站實際上並未使用該程式碼。
進一步測試該網址時,我們發現當使用行動裝置的HTTP User-Agent發出連線請求時,它會下載不同的腳本。而此腳本是一個信用卡側錄器。雖然我們發現側錄器可以在電腦和行動瀏覽器上執行,但攻擊者似乎只針對行動用戶。這很可能是因為攻擊者想避免被電腦上的安全軟體偵測到。這側錄器並非新的版本,也有其他駭客集團使用過。所以它很有可能是經由地下論壇分享的一般側錄器。
圖3. 電腦和行動裝置從側錄器網址下載的不同腳本
信用卡側錄器被用來從付款表單竊取資料。側錄器將函數掛入JavaScript事件Submit和Click,這些事件通常會在人們提交付款或訂單時觸發。當事件觸發時,側錄器會檢查瀏覽器除錯器是否關閉。接著它會複製訂房網頁上所有輸入或選擇HTML元素的名稱和值。在此案例中,收集的資訊包括姓名、電子郵件地址、電話號碼、旅館房間偏好和信用卡詳細資訊。
側錄器會用內嵌金鑰F8C5Pe4Q對複製的資訊進行RC4加密。接著側錄程式會產生隨機字串來用XOR再次對加密資料進行編碼。再將資料用HTTP POST送到遠端網址https://googletrackmanager[.]com/gtm.php?id=,會隨機產生字串加到末尾。收到資訊後,攻擊者可以解開資料並收集信用卡資訊。
圖4. 從訂房網頁竊取資訊的信用卡側錄程式碼
Magecart用假網頁替換原始訂房網頁
雖然側錄器本身並不特別,但我們發現它會刪除訂房網頁原本的信用卡表單並注入另一個由駭客準備的信用卡表單。我們認為這有兩個可能原因。首先,有些旅館不會要求客戶進行線上支付,而是讓他們在抵達旅館時付款。在這種情況下,訂房表單會詢問信用卡資訊但沒有CVC號碼。為了確保取得完整的信用卡資訊,攻擊者將原始表單替換成包含CVC號碼欄位的表單。
第二個可能原因是,有時訂房網頁會為了安全而用HTML iframe元素將信用卡表單託管在不同網域。在這種情況下,一般的JavaScript側錄器無法複製安全iframe內的資料。因此,攻擊者移除安全信用卡表單iframe並注入自己的表單,好讓側錄程式可以複製資訊。
圖5. 訂房網站上的原始信用卡表單(上)和側錄器注入的表單(下)
圖6. 用來從訂房網頁移除原始表單並替換成假表單的側錄器腳本
為了看起來更有可信度,攻擊者還準備了八種語言的信用卡表單:英文、西班牙文、義大利文、法文、德文、葡萄牙文、俄文和荷蘭文。這些語言會符合目標旅館網站所支援的語言。側錄器會檢查客戶使用哪種語言進入網站,並注入相對應的偽造信用卡表單。
圖7. 側錄器內假的八種語言信用卡表單
我們無法根據此次攻擊所用的網路基礎設施或惡意程式碼找出跟之前Magecart駭客集團的強大關聯。但此波攻擊背後的駭客可能也參與過之前的攻擊活動。
結論
最近像Magecart這樣的信用卡側錄攻擊強調了企業需要透過安全最佳實作來保護自己的網站抵禦潛在攻擊,包括定期更新軟體到最新版本並做好網路分割以確保盡可能地不會暴露客戶資料。
此外,使用者也可以考慮使用Apple Pay或Google Pay等支付系統,這些支付系統提供額外的身份認證機制,即使攻擊者取得了信用卡資訊,也可以最大程度地降低信用卡被盜用的可能性。
趨勢科技PC-cillin 可以封鎖腳本並防止連到惡意網域來保護使用者:
入侵指標(IoC)
| SHA-256/ 網址 | 檔案名稱 | 詳細資訊 | 偵測名稱 |
| ac58602d149305bd2331d555c15e6292bd5d09c34ade9e5eebb81e9ef1e7b312 | gtm.js | 信用卡側錄器 | TrojanSpy.JS.MAGECART.B |
| googletrackmanager[.]com | Magecart網域 |
特別要感謝abuse.ch和The Shadowserver Foundation的夥伴協助關掉Magecart網域
⦿原文出處:Magecart Skimming Attack Targets Mobile Users of Hotel Chain Booking Websites 作者:Joseph C Chen(網路詐騙研究員)