今年初以来，一场针对全球酒店行业的大规模、高度组织化的钓鱼攻击行动浮出水面。一个威胁团伙利用高度自动化的钓鱼基础设施，搭建了超过4300个伪装成主流旅游平台的虚假网站，以系统化方式精准窃取酒店住客的信用卡数据。这些伪造网站凭借多语言界面、逼真的品牌克隆和动态定制页面，让旅客防不胜防，几乎难以分辨真伪。

1

大规模伪造网站锁定全球旅客

Netcraft研究员Andrew Brandt披露，这项恶意行动自2025年2月起骤然放量，呈现出规模化与持续性的显著特点。研究团队共识别出4344个关联域名，其中685个包含“Booking”关键词，其余域名则巧妙伪装成Expedia、Agoda、Airbnb等全球主流旅行与住宿平台，其目的显然是为了最大化覆盖潜在的目标用户群体。

攻击者的核心手法是向酒店住客发送主题为“需在24小时内确认预订”的钓鱼邮件。此类邮件利用了旅游预订场景中常见的紧迫性，引导收件人访问伪造网站并输入信用卡信息，从而实现即时盗刷。由于预订、确认和支付在旅游场景中属于高频操作，且流程往往伴随时间压力，这类钓鱼攻击具有极高的成功率。

2

动态伪装、多语言与假验证构成攻击链

本次行动中涉及的所有虚假网站，在结构、流程和界面上都呈现出高度的一致性，这表明其背后使用了统一且成熟的钓鱼套件。其攻击链条环环相扣，设计精密，主要包含以下关键环节：

AD_CODE动态定制：低成本伪装任意酒店

每封钓鱼邮件中的访问链接都嵌入了一个独特的AD_CODE。当受害者首次点击链接访问时，钓鱼页面会根据该AD_CODE动态生成高度个性化的界面，其中包括对应酒店的名称、品牌标志乃至页面布局，使其看起来与真实的酒店预订确认页面毫无二致。AD_CODE会以Cookie的形式写入受害者浏览器，确保其在后续操作中看到的页面保持一致的伪装外观。

更为狡猾的是，若用户未通过包含AD_CODE的链接而直接访问该域名，则只会看到空白页面，这一设计极大降低了网站被安全研究者或普通用户意外发现的风险。这种动态生成机制，使得攻击者无需维护海量静态页面，就能以极低的成本伪装成任意酒店的预订页面，从而显著放大了攻击的规模和覆盖面。

43种语言适配：全球化欺骗能力

该钓鱼套件内置了多达43种语言版本，能够精准适配欧洲、亚洲和美洲等各主要旅游市场。无论受害者的语言偏好如何，系统都能自动呈现与其匹配的本地化界面，包括文本、日期格式、货币单位等，这使得整个骗局显得更加专业、正规且值得信赖，极大地消除了不同地区用户的语言隔阂与警惕心理。

伪造验证流程：多步骤诱导支付信息

伪造网站首先会展示一个模仿Cloudflare的CAPTCHA页面，让受害者误以为正在进行常规的“安全检查”流程，从而降低其戒备心。

通过这一“安全检查”后，页面会“顺理成章”地要求受害者输入完整的信用卡信息，包括卡号、有效期以及CVV码。在受害者提交这些敏感信息后，攻击者后台会立即尝试发起真实的交易。与此同时，页面会弹出一个伪造的“客服聊天窗口”，以“交易异常”、“需要进一步验证”等借口，引导用户按照所谓的“3D Secure验证步骤”继续操作，如输入手机验证码或银行发送的动态口令等。

这一系列操作，实际上是为了掩盖其正在进行的盗刷行为，并骗取更多用于完成盗刷或绕过银行安全机制的关键信息。研究指出，这类流程巧妙利用了旅客在预订过程中习惯进行多次确认与验证的心理，从而显著提高了受害者的上当概率。

3

酒店行业重灾，欧洲受波及明显

事实上，在Netcraft公布此次大规模伪造旅游网站行动之前，法国网络安全公司Sekoia已经披露了另一波针对酒店行业的攻击行动。在那起事件中，攻击者首先向酒店管理人员发送钓鱼邮件，引导其访问模仿ClickFix风格的仿冒页面，进而植入PureRAT等恶意软件，以窃取酒店后台系统的登录凭据。

获取凭据后，攻击者便冒充酒店官方渠道，通过WhatsApp或电子邮件主动联系住客，利用从酒店后台窃取的真实预订信息作为诱饵，诱导受害者点击恶意链接，最终达到窃取支付信息或实施其他诈骗的目的。

值得高度警惕的是，Sekoia披露的一个攻击域名“guestverifiy5313-booking[.]com”，与Netcraft在本次调查中发现的域名模式（如“verifyguets71561-booking[.]com”）极为相似，均采用了“随机字符串+品牌名”的结构。这种高度相似性暗示，这两波看似独立的攻击行动，可能隶属于同一犯罪生态体系，或者至少使用了相似的基础设施、工具集乃至运营模式。

与此同时，欧洲多国近期也报告了多起大规模HTML附件钓鱼攻击。攻击者冒充Microsoft、Adobe、WeTransfer、FedEx、DHL等知名品牌，通过在邮件中附加恶意HTML文件，当用户打开附件时，会在本地浏览器中加载伪造的登录页面，诱使用户输入账号密码，随后通过JavaScript将窃取到的凭据实时上报至攻击者控制的Telegram Bot。根据安全专家的分析，这类攻击主要集中在捷克、斯洛伐克、匈牙利与德国等欧洲国家，目标不仅涵盖当地企业、分销商、政府合作伙伴，还特别针对了与酒店行业频繁进行供应链沟通的组织，这从侧面反映了酒店行业作为攻击目标的高价值性。

此外，意大利大型托管服务商Aruba S.p.A的用户近期也遭遇了类似的钓鱼攻击。Group-IB指出，该行动所使用的钓鱼平台具有“完全自动化、多阶段”的特点，集成了CAPTCHA过滤（以区分人机访问，避免被自动化扫描工具发现）、受害者信息自动预填（利用已窃取信息增加可信度）、Telegram实时外传数据等功能，显然是为工业化、规模化盗取用户凭据而专门构建的。

这些接踵而至的事件共同表明，酒店行业以及特定区域的企业，正日益成为当前欧洲乃至全球范围内钓鱼攻击浪潮中的重点打击目标。

4

PhaaS推动钓鱼全面工业化

尽管上述各项攻击事件的发起者可能具有不同的技术背景和组织属性，但其展现出的发展趋势却高度一致：钓鱼攻击正朝着系统化、模块化、规模化的方向迅猛发展，其背后的核心驱动力之一便是“钓鱼即服务”（Phishing-as-a-Service, PhaaS）模式的兴起与普及。具体表现为：

● 低技术门槛的自动化工具普及：现代钓鱼套件已高度集成化，包含自动语言适配、品牌UI克隆、动态内容生成、自动数据外传管道（如Telegram Bot）与多阶段人工验证模拟等复杂功能，使得攻击的策划、实施、监控和数据收集等几乎所有步骤都可自动完成。这极大降低了发起此类攻击的技术门槛，即使是技术能力有限的攻击者，也能通过租用或购买此类服务，轻松发起大规模、高质量的钓鱼攻击。

●攻击流程更像“用户体验设计”：攻击者越来越注重“用户体验”，精心设计从CAPTCHA验证、登录页面、支付流程到客服交互的每一个环节，模仿真实网站的安全体验和操作逻辑，使用户在熟悉的流程中逐渐放松警惕，一步步陷入圈套。

●攻击场景选择更具策略性：攻击者不再盲目撒网，而是精准选择具有天然紧迫性（如酒店预订确认、物流通知）、高价值（如金融交易、企业内部系统登录）或高频率（如文件共享、邮件服务）的场景。这些场景下，用户往往因时间压力或操作习惯，更容易忽略细节并点击可疑链接，从而具有更高的转化率。

●攻击生态趋向平台化与服务化：无论是针对酒店预订的钓鱼、企业邮件凭据的盗取，还是针对特定托管服务商客户的定向攻击，其背后都显现出模块拼装、服务化租用、自动化部署的共同特征。攻击者可以像搭积木一样组合不同功能模块，快速生成定制化的钓鱼解决方案，并通过地下市场进行交易。这种PhaaS产业链的形成，使得钓鱼攻击的资源获取、技术更新和风险分摊更加高效，也使得打击此类犯罪变得更加复杂和困难。

此次事件是近年来规模最大、技术最系统化的旅游行业钓鱼事件之一。其暴露的不仅是酒店行业在跨平台沟通、支付确认流程中的系统性弱点，也再次证明：钓鱼攻击已进入工业化时代，不再是零散事件，而是长期、持续的生态级威胁。

所有处理用户预订、支付与身份信息的组织——包括酒店、OTA 平台、物流企业、供应链参与方、托管服务商、企业邮件系统等——都需将此类攻击视为常态风险，并对验证流程、邮件安全、支付链路及供应链安全进行系统化审视与加固。

消息来源：The Hacker News

文章来源 ：安全客