【安全资讯】旅行者成为目标：Booking.com钓鱼骗局揭露

概要：

OSINTMATTER最新报告揭示了一起针对Booking.com的复杂钓鱼攻击。这次攻击采用多阶段策略，首先攻破酒店经理的账户，然后通过Booking.com应用直接诈骗酒店客户。这一双重策略使得该骗局在网络犯罪界中极为成功，对行业和客户造成了严重影响。

主要内容：

此次钓鱼攻击的第一阶段是攻破Booking.com酒店经理的账户，攻击者得以进入管理客户预订和交易的系统。接下来，攻击者通过官方的Booking.com应用直接诈骗酒店客户。这种双重策略使得该骗局在网络犯罪界中极为成功，对行业和客户造成了严重影响。

攻击的核心是一个巧妙伪装的域名“extraknet-booking.com”，它模仿了Booking.com酒店经理使用的合法子域名“extranet-booking.com”。通过微妙地改变域名，攻击者成功欺骗了许多警惕性高的用户，将他们引导至一个假冒的Booking.com界面。这个伪造的门户网站被精心设计用来收集敏感信息，包括登录凭证、个人数据和财务细节。

为了吸引受害者访问这个门户网站，攻击者使用了多种策略，从传统的伪造邮件到高级的SEO中毒技术，操纵搜索引擎结果使恶意网站看起来合法。该钓鱼网站的一个显著特点是使用了JavaScript混淆技术，这种技术使恶意代码难以被安全工具检测到。进一步分析显示，该网站与Ninja Trojan恶意软件有关，这种恶意软件允许多个操作员同时控制被攻陷的系统。

此外，调查还发现了238个STUN绑定请求，这些请求指向与开放WebRTC VoIP服务相关的多个域名。虽然STUN请求在合法应用中很常见，但这里观察到的异常流量和非标准端口使用表明可能存在恶意意图，如数据外泄或与被攻陷系统保持隐蔽通信。