酒店客服收「相片 ZIP」要小心:Calendly 同 Google redirect 都可以包裝釣魚
Tech News

酒店客服收「相片 ZIP」要小心:Calendly 同 Google redirect 都可以包裝釣魚

圖片:via iThome — https://www.ithome.com.tw/news/177145
TechLab 編輯部(譯)·

Microsoft 指歐亞酒店業受攻擊,收附件流程要重整

發生咗咩事

iThome 報道引述 Microsoft Threat Intelligence,話由 2026 年 4 月開始,有攻擊者針對歐洲同亞洲酒店業落手,範圍包括前台、訂房、接待呢類每日都要處理客人訊息嘅電腦。Microsoft 未話同任何已知組織有關,亦冇講有香港個案;所以唔好講成「香港酒店爆鑊」。但做酒店、民宿、客服同中小企收投訴相片,都值得照住檢查流程。

Microsoft Security Blog 嘅釣魚攻擊示意圖,有魚鈎代表社交工程釣魚攻擊

圖片:Microsoft Security Blog

Calendly 同 Google 點樣俾人借力

攻擊者冇爆入 Calendly 同 Google;佢哋係用合法服務外殼裝住釣魚內容。Microsoft 話有 email 顯示名係 Booking Manager (via Calendly),主題扮客人投訴、房間問題、住宿評價,按入去先經 Calendly,再經 Google redirect,最後去新開嘅 photo-*.cfd 頁面下載 ZIP。麻煩位係封 email 睇落似由可信服務發出,前線職員就好易放低戒心。

SPF pass 只係證明條路,唔證明封信安全

Microsoft 用「authentication laundering」形容呢種做法:email 真係經 Calendly 相關基建送出,所以直接 Calendly 路徑可以 pass SPF、DKIM、DMARC 同 CompAuth。講白啲,呢幾個檢查主要睇寄件 domain 同發信 server 有冇對上,唔會判斷「入面個 ZIP 係咪想害你」。公司如果當 DMARC pass 係安全章,就會漏咗呢類 SaaS 通知包裝過嘅釣魚信。

ZIP 入面嗰張「相」係開門匙

下載落嚟嘅檔名似相片 ZIP,入面其實係 IMG-*.png.lnk 或者 PHOTO-*.png.lnk 呢類 Windows shortcut。職員以為開相,實際會起 PowerShell,跟住拉落 script,再用 Node.js 跑 TonRAT。Microsoft 仲見到雙重 registry persistence:HKCU\Run 掛住 Node.js,HKCU\RunOnce 指去 ProgramData 入面嘅 EXE;佢哋亦見過一條路俾擋之後,Node.js implant 約兩日後又連返 C2,所以清機時只掃走一個 EXE 唔夠。

收客人投訴相片,可以即刻改三件事

第一,客服 inbox 唔好用「Calendly/Google 連結」做白名單,見到投訴、床蝨、劣評、帳戶停用呢啲高壓字眼,要回到訂房平台原 thread 或者官方後台核對。第二,壓縮檔入面有 .lnk.js.ps1、雙副檔名,直接當高危處理;Windows 要開顯示副檔名,唔好畀 photo.png.lnk 扮相。第三,共用前台電腦唔好畀一般帳戶跑 PowerShell script、安裝 Node.js,附件最好丟入隔離環境或者 EDR sandbox 先睇。ThaiCERT 6 月底亦用同一方向提醒酒店同住宿業,前線人員見到 ZIP 入面嘅 shortcut,要當作高危訊號。

IT 同外判 MSP 要搵咩痕跡

Microsoft 建議防守唔好淨係追 domain 同 hash,因為 photo-*.cfd 會輪換,PowerShell 混淆亦會換殼。穩陣啲嘅訊號係行為鏈:ZIP 入面 LNK 啟動 PowerShell、%TEMP% 跑 script、node.exeAppData\Local\Nodejs 出現、HKCU\Run / RunOnce 指向 user path 或者 ProgramDatacsc.execvtres.exe 喺奇怪路徑編譯 DLL,甚至有 --headless--no-sandbox 或者強制關機指令。收投訴最多嗰批電腦,應該排先睇。

香港場景點樣睇

Microsoft 只講歐洲同亞洲,冇點名香港;呢點要講清楚。但係香港酒店、服務式住宅、民宿、旅行社同一般中小企,都會日日收客人相、收退款資料、收投訴截圖。HKCERT 5 月亦提醒過,釣魚網站會扮旅遊平台同常見品牌,靠相似 domain、新開 domain、高壓理由引人交資料。放返同一條線睇,最實際嘅做法係:凡係收附件,一律當高風險工序;要減低風險,就要同時管好員工處理附件嘅習慣、收件流程同 endpoint 防護,唔好淨係靠郵件驗證結果。


參考來源

本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。

分享:WhatsAppThreadsTelegramFacebook