
酒店客服收「相片 ZIP」要小心:Calendly 同 Google redirect 都可以包裝釣魚
Microsoft 指歐亞酒店業受攻擊,收附件流程要重整
發生咗咩事
iThome 報道引述 Microsoft Threat Intelligence,話由 2026 年 4 月開始,有攻擊者針對歐洲同亞洲酒店業落手,範圍包括前台、訂房、接待呢類每日都要處理客人訊息嘅電腦。Microsoft 未話同任何已知組織有關,亦冇講有香港個案;所以唔好講成「香港酒店爆鑊」。但做酒店、民宿、客服同中小企收投訴相片,都值得照住檢查流程。

圖片:Microsoft Security Blog
Calendly 同 Google 點樣俾人借力
攻擊者冇爆入 Calendly 同 Google;佢哋係用合法服務外殼裝住釣魚內容。Microsoft 話有 email 顯示名係 Booking Manager (via Calendly),主題扮客人投訴、房間問題、住宿評價,按入去先經 Calendly,再經 Google redirect,最後去新開嘅 photo-*.cfd 頁面下載 ZIP。麻煩位係封 email 睇落似由可信服務發出,前線職員就好易放低戒心。
SPF pass 只係證明條路,唔證明封信安全
Microsoft 用「authentication laundering」形容呢種做法:email 真係經 Calendly 相關基建送出,所以直接 Calendly 路徑可以 pass SPF、DKIM、DMARC 同 CompAuth。講白啲,呢幾個檢查主要睇寄件 domain 同發信 server 有冇對上,唔會判斷「入面個 ZIP 係咪想害你」。公司如果當 DMARC pass 係安全章,就會漏咗呢類 SaaS 通知包裝過嘅釣魚信。
ZIP 入面嗰張「相」係開門匙
下載落嚟嘅檔名似相片 ZIP,入面其實係 IMG-*.png.lnk 或者 PHOTO-*.png.lnk 呢類 Windows shortcut。職員以為開相,實際會起 PowerShell,跟住拉落 script,再用 Node.js 跑 TonRAT。Microsoft 仲見到雙重 registry persistence:HKCU\Run 掛住 Node.js,HKCU\RunOnce 指去 ProgramData 入面嘅 EXE;佢哋亦見過一條路俾擋之後,Node.js implant 約兩日後又連返 C2,所以清機時只掃走一個 EXE 唔夠。
收客人投訴相片,可以即刻改三件事
第一,客服 inbox 唔好用「Calendly/Google 連結」做白名單,見到投訴、床蝨、劣評、帳戶停用呢啲高壓字眼,要回到訂房平台原 thread 或者官方後台核對。第二,壓縮檔入面有 .lnk、.js、.ps1、雙副檔名,直接當高危處理;Windows 要開顯示副檔名,唔好畀 photo.png.lnk 扮相。第三,共用前台電腦唔好畀一般帳戶跑 PowerShell script、安裝 Node.js,附件最好丟入隔離環境或者 EDR sandbox 先睇。ThaiCERT 6 月底亦用同一方向提醒酒店同住宿業,前線人員見到 ZIP 入面嘅 shortcut,要當作高危訊號。
IT 同外判 MSP 要搵咩痕跡
Microsoft 建議防守唔好淨係追 domain 同 hash,因為 photo-*.cfd 會輪換,PowerShell 混淆亦會換殼。穩陣啲嘅訊號係行為鏈:ZIP 入面 LNK 啟動 PowerShell、%TEMP% 跑 script、node.exe 喺 AppData\Local\Nodejs 出現、HKCU\Run / RunOnce 指向 user path 或者 ProgramData、csc.exe 同 cvtres.exe 喺奇怪路徑編譯 DLL,甚至有 --headless、--no-sandbox 或者強制關機指令。收投訴最多嗰批電腦,應該排先睇。
香港場景點樣睇
Microsoft 只講歐洲同亞洲,冇點名香港;呢點要講清楚。但係香港酒店、服務式住宅、民宿、旅行社同一般中小企,都會日日收客人相、收退款資料、收投訴截圖。HKCERT 5 月亦提醒過,釣魚網站會扮旅遊平台同常見品牌,靠相似 domain、新開 domain、高壓理由引人交資料。放返同一條線睇,最實際嘅做法係:凡係收附件,一律當高風險工序;要減低風險,就要同時管好員工處理附件嘅習慣、收件流程同 endpoint 防護,唔好淨係靠郵件驗證結果。
參考來源
- iThome — 駭客鎖定歐亞飯店展開網釣攻擊,濫用Calendly與Google轉址植入TonRAT後門 — original report
- Microsoft Security Blog: Photo ZIP campaign targeting hospitality industry delivers Node.js implant for persistent access — 官方技術分析,用嚟核對攻擊時間、受影響地區、Calendly/Google redirect、SPF/DKIM/DMARC 同 TonRAT 細節。
- ThaiCERT: Phishing Campaign Impersonates Customer Complaint Emails to Target Hotels and Hospitality Businesses — 亞洲 CERT 背景提醒,重申酒店業要小心假投訴 email、ZIP 同 .lnk 檔。
- HKCERT: Phishing Alert - Beware of Phishing Websites Impersonating the Anti-Deception Coordination Centre and Multiple Well-Known Brands — 本地背景:HKCERT 2026 年提醒釣魚頁會扮旅遊平台同常見品牌,幫文章限定香港只係風險場景。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







