自去年 12 月，Microsoft 威脅情報觀察到一系列利用 ClickFix 社交工程技術，冒充網上旅行社 Booking.com 進行網絡釣魚活動。

酒店業者會收到訛稱來自 Booking.com 的電郵，提示他們處理客戶負面評論或類似情況，並要求他們打開 PDF 或按下連結，以完成 CAPTCHA 驗證其帳號真偽。然而，一旦按指示開啟附件或連結，系統即因而受到攻擊，讓網絡罪犯取得登入帳號和財務資料。

Microsoft 威脅情報安全研究高級總監 Jeremy Dallman 指出：「我們注意到，自 2023 年起出現以 Booking.com 為目標的一連串網絡釣魚活動。最近數月開始，更採用 ClickFix 社交工程技術調整其攻擊策略，顯示出網絡威脅形勢的變化。」

針對旅遊業的網絡釣魚攻擊，在香港同樣造成一定影響。去年 11 月，本地一間知名旅行社因客戶收到 Instagram 上仿冒其品牌的虛假促銷廣告，而接獲超過 1,000 宗與詐騙相關的查詢。

復活節連假將至，意味著旅遊旺季即將來臨。Microsoft 建議酒店業界（及消費者）採取以下步驟，以保護自己免受網絡釣魚詐騙：

▪️驗證寄件者的電郵真確性：將滑鼠懸停在電郵地址上檢查是否真確。合法機構不會發送未經請求的電郵，或致電要求索取個人或財務資訊。

▪️聯絡服務供應商：若收到可疑的電郵或訊息，應透過官網列出的官方聯繫方式直接與服務供應商聯絡。

▪️ 提防緊急的行動要求或威脅：釣魚攻擊和詐騙通常會製造一種虛假的迫切感。因此，對要求立即點擊連結、撥打電話或開啟附件的電郵通知宜保持警惕。

▪️將滑鼠懸停在連結上以查看完整的 URL：惡意連結可能會將惡意軟件下載到用戶的裝置上。直接在瀏覽器中搜尋公司網站會比較安全。

▪️檢查拼寫錯誤：釣魚電郵經常包含錯別字或非常細微的域名拼寫錯誤。例如，「micros0ft[.]com」，其中第二個「 o」 被替換為「 0 」，或「 rnicrosoft[.]com」，正正是詐騙訊息的信號。

▪️教育員工有關網絡釣魚詐騙的最新資訊，以及如何識別攻擊。