「飯店復仇者」鎖定飯店PoS竊取客戶信用卡個資

卡巴斯基揭露駭客發動網釣郵件攻擊，專挑飯店PoS（Point of Sales）系統及知名訂房網站植入木馬程式，以竊取消費者信用卡號碼，已有歐洲及南美洲等20家飯店受害。

卡巴斯基GReAT研究小組在2015年首次發現的木馬程式RevengeHotels，在2019年有活動升高趨勢。RevengeHotels主要以飯店、青年旅館、民宿和觀光業為目標，透過電子郵件散佈假造Word、Excel或PDF文件，像是報價單。一經員工開啟，附件中的惡意程式即開採微軟Office一個舊有CVE-2017-0199漏洞，利用VBS和PowerShell scripts載入PoS系統，並安裝RevengeRAT、NjRAT、NanoCoreRAT、888 RAT或ProCC等惡意程式。這波攻擊目的在從受害者的PoS系統，竊取住客留下或來自Booking等熱門訂房網站的資訊及信用卡資料。

研究人員分析後，認為這波攻擊來自三個駭客組織。其中二個分別被命名為RevengeHotels及ProCC，他們向來鎖定旅行觀光業，冒充政府單位或民間公司佯稱要大量訂房來釣取受害者、並使用動態DNS服務導向其他代管業者或無辜伺服器散佈假文件。除了植入遠端存取木馬（RAT），他們也會出售受害系統資訊，讓其他犯罪組織可以輕鬆存取這些電腦。

研究人員還辨識出第三個駭客組織，但不確定是否只對觀光業下手，以及是否進行其他型式的攻擊。

最新的一波攻擊中已有20家飯店遭到毒手，其中8家位於巴西，其他則散見於歐洲、南美等國，包括阿根廷、玻利維亞、智利、哥斯大黎加、墨西哥、義大利、西班牙、葡萄牙、泰國和土耳其。

為了避免出國旅遊後信用卡等資料外洩，研究人員建議用戶在線上訂房或入住旅館時，最好使用Apple Pay、Google Pay等虛擬信用卡，因為通常付過一次款後就會失效，不然就刷較不重要的卡。

駭客盯上飯店已經不是新聞。知名連鎖飯店如洲際（IHG）、萬豪（Marriott）、凱悅（Hyatt）、希爾頓，也都發生過PoS遭植入木馬，導致數百萬甚至上億筆住客信用卡資料外洩。