Booking.com 用户正成为新一轮网络钓鱼攻击的目标，黑客企图窃取登录凭据、财务信息等敏感数据。Microsoft Threat Intelligence 发现，这一攻击活动仍在全球范围内活跃，主要针对个人用户和酒店行业，但它也有一些明显的特征可以帮助我们识别骗局。

黑客正在伪装 Booking.com 进行网络钓鱼攻击

Microsoft Threat Intelligence 早在 2024 年 12 月 就发现了这起Booking.com 网络钓鱼攻击，但它至今仍在全球范围内造成用户受害。这次攻击采用了一种名为 ClickFix 的社工攻击手法，利用人类的“问题解决”心理，引导受害者点击虚假错误消息，从而运行恶意代码。

微软在报告中解释道：

在 ClickFix 技术 中，攻击者会利用人类习惯性解决问题的心理，显示虚假的错误提示或弹窗，指导目标用户“修复”问题，要求他们手动复制、粘贴并运行某些命令，这些命令最终会导致恶意软件下载并运行。

这次攻击的初始阶段与普通网络钓鱼诈骗类似：受害者会收到一封看似来自 Booking.com 的电子邮件，其中包含一个恶意链接或一个带有嵌入式链接的 PDF 文件，声称用户需要点击链接来解决账户问题。

然而，这次攻击与传统钓鱼邮件的不同之处在于，点击该链接后并不会直接下载恶意软件，而是会引导用户到一个伪造的 CAPTCHA 验证页面，声称需要验证身份。

CAPTCHA 诱导用户手动执行恶意命令

CAPTCHA 本应用于验证“用户是否为人类”，但此次攻击却利用它来引导受害者手动执行恶意代码。

当受害者进入假冒的 CAPTCHA 页面时，页面会显示一条指令，要求用户打开 Windows“运行”窗口（Win + R），然后输入黑客提供的代码。

⚠ 危险之处在于：

• 该命令会自动复制到你的剪贴板，当你粘贴并运行它时，它会直接下载并执行恶意软件。
• 黑客利用受害者的手动操作绕过安全机制，避免被杀毒软件、系统防火墙等自动检测拦截。

当受害者按照指示运行该命令后，系统会下载并执行多个恶意程序，包括：

• XWorm（远程访问木马）
• Lumma Stealer（信息窃取木马）
• VenomRAT（远程控制工具）
• AsyncRAT（远程管理木马）
• Danabot（银行木马）
• NetSupport RAT（远程桌面控制工具）

如何防范这类网络钓鱼攻击？

这已经不是 Booking.com 第一次遭遇网络钓鱼攻击了。2024 年的 Telekopye 诈骗事件 就曾利用类似手法欺骗成千上万的游客。

因此，在遇到可疑邮件时，请牢记以下几点：

✅ 核查发件人地址：官方邮件应来自 @booking.com 结尾的域名，而假冒邮件往往使用类似 @booking-security.com 之类的伪造域名。

✅ 不要随意点击邮件中的链接：如果你收到 Booking.com 的“紧急通知”，请直接打开浏览器，访问 Booking.com，在官方网站查询账户状态，而不是通过邮件中的链接。

✅ CAPTCHA 绝不会要求你运行系统命令：
⚠ 如果一个 CAPTCHA 让你手动输入命令、下载文件，100% 是骗局！

✅ 使用强密码和双重认证（2FA）：即使黑客获取了你的密码，双重认证仍可提供额外保护。

总结：警惕伪造的 CAPTCHA 页面！

这次 Booking.com 网络钓鱼骗局之所以危险，正是因为它利用了 CAPTCHA 这一看似“正常”的验证机制，诱导受害者手动执行恶意命令，从而绕过传统的安全防护。

📌 关键点回顾：
🔹 这次钓鱼攻击使用了 ClickFix 技术，通过假冒的 Booking.com 电子邮件 诱导用户点击链接。
🔹 受害者会被引导至虚假 CAPTCHA 页面，并被要求运行一条“解决问题”的系统命令。
🔹 运行该命令后，系统将下载多个恶意程序，用于窃取密码、财务信息甚至控制设备。
🔹 如果收到可疑邮件，不要点击其中的任何链接，请直接访问官方网站核实情况。

💡 请记住：CAPTCHA 从来不会要求你输入系统命令！ 如果遇到这种情况，直接关闭页面，不要执行任何操作。