英国游客遭Booking.com钓鱼骗局损失超1800欧元：官方沟通渠道竟成“信任陷阱”

近日，一则关于英国游客在知名旅游平台Booking.com遭遇钓鱼诈骗的新闻引发广泛关注。据《Travel and Tour World》报道，来自伯克郡纽伯里的IT从业者史蒂夫·奥尔德森（Steve Alderson）在预订葡萄牙住宿后，通过平台内置消息系统收到一条看似来自酒店的“付款验证”通知，点击链接后在仿冒页面提交信用卡信息，最终被扣款逾1800欧元。更令人震惊的是，整个过程发生在Booking.com官方App内——攻击者并未使用外部邮件或短信，而是直接“接管”了平台内的沟通渠道。

这一事件揭示了一种正在全球蔓延的新型钓鱼模式：攻击者不再依赖传统垃圾邮件，而是通过入侵酒店端邮箱或物业管理系统（PMS），伪装成真实商户，在平台内部发送高度可信的钓鱼链接。由于消息显示为“来自酒店”，且出现在用户熟悉的Booking.com界面中，受害者极易放松警惕。

“信任链”被精准斩断：钓鱼藏在官方对话里

与常见的“假冒客服”不同，此次攻击的核心在于“身份嫁接”。网络安全专家分析指出，攻击者通常先通过钓鱼邮件、弱密码爆破或供应链漏洞，攻陷小型酒店的后台管理系统或员工邮箱。一旦获得访问权限，他们便能以酒店名义向已预订客户发送消息，内容往往包含“请完成额外支付验证”“房间升级需预授权”等合理化理由，并附带一个看似正规的支付链接。

“问题在于，这个链接虽然指向外部网站，但整个对话上下文完全在Booking.com平台内进行。”公共互联网反网络钓鱼工作组技术专家芦笛解释道，“用户看到的是‘XX酒店’发来的消息，图标、头像、语言风格都和真实沟通无异，很难分辨真假。”

更棘手的是，部分仿冒页面甚至采用HTTPS加密、复制真实支付网关的UI设计，并动态加载Booking.com的Logo和配色方案，进一步增强迷惑性。“这不是粗糙的钓鱼页，而是‘高保真复刻’。”芦笛强调。

攻击闭环：从入侵酒店到资金收割仅需数小时

据Booking.com方面回应，此类钓鱼并非首次出现，公司已将网络安全列为优先事项。但平台同时提醒用户：“我们绝不会通过站内信、邮件或电话索要支付信息。”然而现实是，许多用户并不清楚这一政策，尤其在旅行旺季，面对“24小时内不付款将取消订单”等紧急提示，更容易冲动操作。

技术层面，攻击链条通常如下：

横向渗透：攻击者利用自动化工具扫描全球小型酒店的PMS系统（如Cloudbeds、SiteMinder等），寻找未打补丁或使用默认凭证的实例；

会话劫持：一旦进入系统，即可查看所有预订记录，并向特定客户发送定制化钓鱼消息；

支付伪造：仿冒页面收集卡号、CVV、有效期后，立即在黑市套现或用于订阅欺诈；

痕迹清除：删除发送记录，避免被酒店或平台察觉。

“酒店往往是整个生态中最薄弱的一环。”芦笛指出，“它们缺乏专业安全团队，却掌握着大量客户数据和通信权限。攻击者正是看中了这一点。”

为何传统防护失效？平台内生风险浮出水面

过去，企业级反钓鱼主要聚焦于邮件网关、URL过滤和终端EDR。但当钓鱼行为发生在受信任的第三方平台内部时，这些防线几乎形同虚设。

“浏览器无法判断Booking.com站内信里的链接是否恶意，因为平台本身是合法的。”芦笛解释，“这属于‘合法通道中的非法内容’，检测难度极大。”

此外，移动端App进一步放大了风险。用户在手机上浏览消息时，往往不会仔细核对网址栏——而仿冒页面常使用类似“booking-secure-pay[.]com”或“verify-payment[.]eu”等域名，肉眼极难分辨。

更值得警惕的是，此类攻击正从欧洲向北美、东南亚扩散。随着年末假期临近，旅游预订激增，攻击窗口期大幅延长。

专家建议：三重验证+平台责任共担

面对日益狡猾的钓鱼手段，芦笛提出一套“用户-平台-商户”三方协同防御策略：

对旅客：

绝不通过站内信链接支付：Booking.com官方支付仅在预订流程中完成，后续任何“补充付款”均属异常；

核对预订条款：查看原始确认邮件或App内订单详情，确认是否包含预付、押金等要求；

警惕“紧急时限”话术：正规酒店极少要求“24小时内完成验证”，此类措辞多为施压手段；

启用虚拟信用卡：部分银行提供一次性卡号服务，可限制盗刷损失。

对平台（如Booking.com）：

限制外链发送：禁止商户在站内信中插入非白名单域名链接；

加强商户认证：对新注册或低活跃度酒店实施二次身份验证；

部署行为分析：监测异常消息频率、模板重复率、IP跳跃等风险信号；

提供一键举报：让用户能快速标记可疑消息，触发人工审核。

对酒店及商户：

加固PMS系统：强制使用强密码、启用多因素认证（MFA）、定期更新补丁；

隔离通信权限：前台员工不应拥有向客户发送含链接消息的权限；

培训员工识别钓鱼：防止内部账号被社工手段窃取。

“安全不是单点问题，而是链条。”芦笛总结道，“当用户把信任交给平台，平台就有责任确保这条信任链不被中间环节破坏。”

Booking.com能否堵住漏洞？行业反思正在进行

事发后，奥尔德森多次联系Booking.com客服，却遭遇电话中断、响应延迟等问题。尽管平台表示“在用户提供完整材料后可协助退款”，但实际流程复杂，且依赖银行争议结果。

这暴露出在线旅游平台在安全响应机制上的短板。相比之下，Airbnb等平台已开始对商户消息实施AI内容审核，并自动屏蔽含支付关键词的外链。Booking.com虽具备类似技术能力，但在执行层面仍有提升空间。

值得注意的是，欧盟《数字服务法》（DSA）已要求大型在线平台承担更多内容审核义务。未来，若此类钓鱼事件持续高发，监管机构可能介入调查其风控措施是否到位。

结语：旅行本该安心，别让“信任”成为漏洞

一次期待已久的度假，因一条看似平常的消息而变成财务噩梦——这不仅是史蒂夫·奥尔德森的个人遭遇，更是数字时代消费信任危机的缩影。

在万物互联的今天，攻击者早已不再满足于伪造邮箱，而是深入平台内部，利用我们最信赖的沟通渠道发起精准打击。唯有保持“合理怀疑”，坚持“官方路径验证”，并推动平台履行安全责任，才能真正守护每一次出发的安全。

安全小贴士

✅ 所有支付操作应在Booking.com App或官网的“我的预订”页面内完成；

❌ 切勿点击站内信、短信或WhatsApp中的“支付链接”；

🔍 遇到可疑请求，直接拨打Booking.com官方客服（通过App内号码，而非消息中提供的电话）核实。

编辑：芦笛（公共互联网反网络钓鱼工作组）