暗网黑客兼职旅游代理:网络犯罪新形态
黑客们正在利用信用卡、忠诚度积分等被盗物品为有时毫不知情的客户预订旅行服务,远程工作者、中小企业、旅游品牌等面临风险。
作者:Alexander Culafi,Dark Reading 高级新闻撰稿人
2025年7月23日 · 6分钟阅读
图片来源:Image Professionals GmbH via Alamy Stock Photo
如果旅游优惠好得令人难以置信,那很可能就是骗局。
Trustwave于7月21日详细描述了一种被称为"暗网旅游代理"的威胁行为者。这些威胁行为者使用盗取的信用卡、企业门户凭证、忠诚度计划账户以及伪造身份证明文件,在暗网市场和留言板上为客户预订折扣旅行服务。在一个提供的示例中,某"代理"提供Skyscanner航班价格40%折扣和Booking.com酒店价格45%折扣。虽然这里存在明显的消费者风险,但这也可能影响寻求降低成本的中小型企业(SMB)、居家工作者或被指派自行安排商务旅行的员工。当然,被用于预订欺诈性旅行的合法网站也面临品牌滥用的风险。
尽管这种做法并不新鲜,但Trustwave表示,随着被盗个人数据更广泛可用,这些操作在过去两年中"显著扩大"。这种增长也与自动化攻击技术的兴起同时发生。
Trustwave的Nikita Kazymirskyi(他撰写了昨日的研究博客文章)将这些代理描述为"数字犯罪链的最终环节"。
暗网旅行服务兴起
预订暗网旅行的道路充满了欺诈和盗窃。正如Kazymirskyi解释的那样,威胁行为者通过网络钓鱼活动、恶意软件和数据泄露获取凭证。凭证盗窃仍然是网络领域的持续关注点,攻击者技术日益先进。
相关阅读:
朝鲜IT工作者在司法部行动中继续肆虐
“这些地下服务有时(但不总是)伪装成专业外观的界面,接受多种支付方式,以合法企业和消费者为代价提供折扣航班、酒店预订甚至汽车租赁服务,“Kazymirskyi写道。“为了应对这些威胁日益复杂化,航空和酒店业的主要参与者已开始扩大其网络安全努力。”
视频摘要: Dark Reading高级新闻撰稿人Alex Culafi解析暗网旅游代理这一日益增长的现象,即网络犯罪分子使用盗取的信用卡和忠诚度计划账户以大幅折扣为客户预订旅行。
客户在论坛和基本登录页面上与旅行"公司"接洽,表达兴趣后,“代理"通过Telegram和TOX等消息平台直接与买家协调旅行安排。客户请求旅行详细信息,经销商像真正的预订代理一样回复价格和可用性。
相关阅读:
微软紧急修补被主动利用的SharePoint ‘ToolShell’漏洞
“这种结构为网络犯罪分子提供了灵活性和匿名性。通过将操作转移到加密聊天应用,他们避免了托管犯罪基础设施并减少了对执法部门的暴露,“Kazymirskyi解释道。“同时,被深度折扣和’不问问题’承诺吸引的客户往往忽略参与完全建立在被盗数据和金融欺诈之上的供应链的更广泛影响。”
“代理"使用盗取的财务和个人数据预订旅行,客户不久后收到确认。根据Trustwave的博客文章,这些确认"通常是合法的,因为预订是通过真正的航空公司或酒店系统进行的”。在支付方面,Sigler表示旅行通常通过加密货币或礼品卡而非支付卡等方式预订。
Recorded Future支付欺诈情报总监Ilya Volovik表示,这种做法已经存在"很长时间”,但随着全球在线交易的持续增长(例如COVID-19封锁期间),这种做法变得更加突出。客户不仅将其用于度假和商务旅行。
“它不仅可以用于休闲旅行,一些网络犯罪分子还将其纳入犯罪操作,为’骡子’(无论是金钱骡子还是毒品骡子)购买旅行,“他说。Volovik补充说,Recorded Future的支付欺诈情报团队(当时的Gemini Advisory)于2020年10月首次报告了这些服务,此后几年中"变化不大”。
相关阅读:
‘PoisonSeed’ FIDO攻击原来是转移注意力
凭证盗窃货币化的广阔世界
尽管威胁行为者的标准做法是在暗网市场上向买家单独或捆绑出售凭证,但暗网旅行预订为货币化受害者提供了新途径。正如Sophos现场CISO John Shier解释的那样,凭证销售"是一个日益拥挤的市场,因此威胁行为者试图区分自己并开发新的收入流也就不足为奇了。”
Shier表示,除了直接预订旅行和出售凭证外,不良行为者还可以利用被盗个人数据进行身份盗窃、欺诈性创建"合成身份”、购买和转售商品以及制作高度个性化的社会工程攻击。
安全供应商Halcyon研究总监Anthony Freed补充说,威胁行为者还使用凭证接管银行账户、投资平台和加密钱包;购买可以兑换现金的实物和数字礼品卡;转移工资存款等等。
“最终,威胁行为者将被盗财务信息视为灵活商品,“Freed说。“目标始终是以创造最少摩擦和最大回报的方式提取尽可能多的价值。旅行欺诈只是庞大、适应性强的犯罪生态系统中的一条路径。”
打击欺诈性飞行:供应方努力至关重要
为了应对这个问题,Trustwave指出需要增加航空和酒店业的安全投资,这些行业为不良行为者提供预订服务。在航空业,这意味着生物识别ID管理、更强大的威胁检测和安全API。对于酒店业,则是欺诈检测和员工培训。
尽管这应该使威胁行为者的工作更加困难,而且在某种程度上确实如此,但打击暗网旅行社更像是一场打地鼠游戏:防御者关闭预订漏洞或实施更好的凭证盗窃保护,然后威胁行为者找到绕过方法。即使忠诚度计划添加多因素认证(MFA)或信用卡公司实施令牌,这也不是终点。
“当一扇窗户关闭时,另一扇窗户悄悄打开——通常是在不同的服务类别或通过另一个平台,“Kazymirskyi解释道。
在更广泛的酒店和旅行方面,常见的危险信号包括在新账户下进行的最后一刻高价值或国际预订、频繁失败的支付尝试、来自休眠账户或外国IP地址的意外忠诚积分兑换以及入住时信息不匹配。
Trustwave建议相关防御者监控暗网和Telegram渠道的品牌滥用情况,培训一线员工识别欺诈迹象,审查API访问权限,加入信息共享网络,并与受影响的客户透明沟通。
这种攻击类型的一个可取之处是,由于其复杂性,与简单地出售凭证相比,扩展和自动化将更具挑战性,根据Rapid7高级威胁情报研究员Jeremy Makowski的说法。
“旅行预订欺诈需要更高水平的操作知识,包括预订平台的专业知识、绕过欺诈检测系统的技术以及与客户互动的能力,所有这些都带来更大风险并需要更多努力,“Makowski说。
他继续说:“出售凭证是一种低风险方法,需要最少努力。此外,威胁行为者可以以很少的技术技能或暴露出售大量被盗数据。提供旅行预订服务以更高的风险和努力换取更大的经济回报;欺诈性预订的旅行服务每张票可以从单个客户产生数百美元。”
关于作者
Alexander Culafi
Dark Reading 高级新闻撰稿人
Alex是一位驻波士顿的作家、记者和播客主持人。
保持最新网络安全威胁、新发现漏洞、数据泄露信息和新兴趋势。每日或每周直接发送到您的电子邮件收件箱。
更多洞察
网络研讨会
解决ICS/OT修补和漏洞管理难题
2025年7月29日
创建更有效安全合作伙伴关系的路线图
2025年8月13日
更多网络研讨会
活动
[虚拟活动] 现代企业的战略安全
2025年6月25日
[虚拟活动] 数据泄露剖析
2025年6月17日
[会议] Black Hat USA - 8月2-7日 - 了解更多
2025年8月1日
更多活动
您可能还喜欢
编辑选择
一群人学习
网络安全运营
网络职业机会:权衡认证与学位
网络职业机会:权衡认证与学位
作者:Kristina Beek, Tara Seals
2025年7月25日
火蚁特写
漏洞与威胁
‘火蚁’网络间谍入侵隔离的VMware系统
‘火蚁’网络间谍入侵隔离的VMware系统
作者:Rob Wright
2025年7月25日 · 5分钟阅读
网络研讨会
解决ICS/OT修补和漏洞管理难题
2025年7月29日
创建更有效安全合作伙伴关系的路线图
2025年8月13日
更多网络研讨会
白皮书
Cortex XSIAM:机器主导、人力赋权的安全平台
Omdia Universe:选择下一代安全信息和事件管理解决方案,2024-25
Cortex XSIAM:机器主导、人力赋权的安全平台
XSIAM买家指南:如何为AI时代转型SOC
SOC转型的5个基本步骤
更多白皮书
活动
[虚拟活动] 现代企业的战略安全
2025年6月25日
[虚拟活动] 数据泄露剖析
2025年6月17日
[会议] Black Hat USA - 8月2-7日 - 了解更多
2025年8月1日
更多活动
探索更多
Black Hat
Omdia
与我们合作
关于我们
广告
重印
加入我们
新闻通讯注册
关注我们
版权所有 © 2025 TechTarget, Inc. d/b/a Informa TechTarget。本网站由Informa TechTarget拥有和运营,这是一个通知、影响和连接世界技术买家和卖家的全球网络的一部分。所有版权归他们所有。Informa PLC的注册办公室是5 Howick Place, London SW1P 1WG。在英格兰和威尔士注册。TechTarget, Inc.的注册办公室是275 Grove St. Newton, MA 02466。
关于本网站的Cookie
我们和我们的合作伙伴使用cookie来增强您的网站体验,了解我们网站的使用方式,提供个性化功能,衡量我们服务的有效性,并在您浏览网页或跨设备与我们互动时根据您的兴趣定制内容和广告。点击"继续"或继续浏览我们的网站,即表示您同意我们和我们的合作伙伴使用cookie。更多信息请参见隐私政策。
Cookie政策
当您访问任何网站时,它可能会在您的浏览器上存储或检索信息, mostly以cookie的形式。这些信息可能关于您、您的偏好或您的设备, mostly用于使网站按您预期的方式工作。这些信息通常不会直接识别您,但可以为您提供更个性化的网络体验。因为我们尊重您的隐私权,您可以选择不允许某些类型的cookie。点击不同的类别标题以了解更多信息并更改我们的默认设置。但是,阻止某些类型的cookie可能会影响您对网站的体验和我们能够提供的服务。
严格必要的Cookie
始终激活
这些cookie对于网站功能是必要的,无法在我们的系统中关闭。它们通常仅响应您提出的服务请求而设置,例如设置您的隐私偏好、登录或填写表格。您可以将浏览器设置为阻止或提醒您这些cookie,但网站的某些部分将无法工作。这些cookie不存储任何个人身份信息。
性能Cookie
始终激活
这些cookie允许我们计算访问量和流量来源,以便衡量和改进我们网站的性能。它们帮助我们了解哪些页面最受欢迎和最不受欢迎,并查看访问者在网站上的移动情况。所有这些cookie收集的信息都是汇总的,因此是匿名的。如果您不允许这些cookie,我们将不知道您何时访问了我们的网站,也无法监控其性能。
功能Cookie
始终激活
这些cookie使网站能够提供增强的功能和个性化。它们可能由我们或我们添加到页面的第三方提供商设置。如果您不允许这些cookie,那么这些服务中的部分或全部可能无法正常工作。
定向Cookie
始终激活
这些cookie可能由我们的广告合作伙伴通过我们的网站设置。它们可能被这些公司用于建立您的兴趣档案并在其他网站上向您显示相关广告。它们不直接存储个人信息,而是基于唯一标识您的浏览器和互联网设备。如果您不允许这些cookie,您将体验较少的定向广告。
返回按钮
Cookie列表 搜索图标
筛选图标
清除复选框标签 label
应用 取消
同意法律利益复选框标签 label 复选框标签 label 复选框标签 label
确认我的选择