全球知名訂房平台Booking.com近日再爆資安風波,多間日本酒店及旅客接連揭發,疑有大批訂房資料遭不法分子掌握,騙徒隨即鎖定赴日旅客發動精準詐騙,不少人因收到與訂單內容「完全對得上」的假訊息而中招,事件引起旅遊界及消費者高度關注。
據日媒及港台報道,自今年5月日本「黃金週」假期起,陸續有遊客反映,透過Booking.com預訂日本酒店後不久,便收到自稱「酒店前台」或「訂房部」發出的短訊、電郵甚至WhatsApp訊息,內容除準確列出住客姓名、入住日期、酒店名稱及訂房編號,亦附上看似官方的連結,聲稱「預訂資訊有誤」或「信用卡授權失敗」,要求旅客在24小時內重新輸入信用卡號碼及安全碼,否則訂單會被自動取消。
由於資料高度吻合,不少旅客誤信對方真是酒店職員,按指示在釣魚網頁輸入信用卡資料,結果帳戶其後出現多筆可疑交易,有人損失折合數萬港元;日本帝國酒店、大阪新大谷酒店、東京京王廣場酒店等多家大型酒店集團已在官網緊急發公告,明確表示從不會透過WhatsApp等外部通訊程式索取付款資料,呼籲住客提高警覺。
今次日本旅客被鎖定的詐騙潮,亦被懷疑與Booking.com早前確認的資料外洩事件有關。平台今年4月已向全球部分用戶發出電郵,承認有「未經授權的第三方」可能存取了用戶的個人資料及訂房細節,包括姓名、電郵地址、電話號碼、住址及預訂行程內容,部分與住宿方的對話與備註亦可能外洩,雖然暫未見信用卡資料被直接讀取,但已足以讓黑客精準冒充酒店聯絡旅客。Booking.com其後強制更新受影響訂單的PIN驗證碼,並於5月9日在日本發表「重要公告」,坦言近期有跨國網絡犯罪集團,專門以日本旅客及赴日訂房為目標,利用WhatsApp等渠道發送釣魚訊息,強調公司及合作酒店絕不會透過這類途徑要求客人重新輸入完整信用卡資料,並呼籲用戶如有懷疑,須直接登入官網或App查核訂單,而非點擊陌生連結。
旅遊業界指出,日本長年是港人及亞洲旅客最熱門目的地之一,疫情後報復式旅遊帶動Booking.com等訂房平台使用量大增,今次騙案「專攻赴日旅客」,明顯是黑客掌握到龐大而集中的目標數據後,有策略地出手行騙;有業者直言,對不少習慣「一條龍」在訂房平台處理付款的旅客來說,只要對方叫得出酒店名、入住日、房型,幾乎很難立即起疑,因此建議遊客遇到任何要求補交款項或提供卡資料的訊息,一律應視為「高危」,只透過官方渠道重新登入查證。
資安專家提醒,雖然目前並無證據顯示Booking.com的核心支付系統被直接攻破,但只要個人身份資料與行程詳情落入騙徒手中,相當於被「半裸」,後續不論是假冒酒店、航空公司或旅行社,都能炮製高度真實的釣魚劇本;他們建議旅客啟用信用卡交易即時通知功能,縮短發現異常的時間,亦應避免在不明連結輸入任何一次性密碼或安全碼,一旦懷疑中招,應即時致電銀行凍結卡戶及報警備案。
記者:Ceci
閱讀更多: