近日，谷歌威胁情报团队（Google Threat Intelligence）在对网络犯罪基础设施进行深度调查过程中，揭露了一起针对Booking.com用户的大规模钓鱼攻击事件。该行动由谷歌安全工程师Joseliyo主导，通过对一封钓鱼邮件的追踪，逐步揭开了一个高度组织化、分层作业的网络诈骗生态系统，波及全球数以千计的旅游用户。

Joseliyo表示：“该骗局最具迷惑性的地方在于，攻击者通过Booking官方平台的消息系统，直接向用户发送钓鱼信息，甚至利用了用户已有的预订订单进行信息伪装。”

据悉，攻击者通过Booking.com系统中的真实预订聊天界面发送警示信息，如“您的预订存在风险”，诱导用户点击链接并更新信用卡信息，以避免订单被取消。由于Booking.com会将站内消息同步至用户邮箱，受害者实际上在两个渠道同时收到了钓鱼信息，进一步提升了诈骗成功率。

与Booking.com相关的钓鱼网站上发现的信息示例

谷歌在此次调查中发现，这一钓鱼活动背后运作着一个“双层域名架构”的网络体系：

第一层域名（Tier 1）：主要用于伪装与跳转，仿冒真实酒店官网域名（如 hostelmandarinkauxeh.eto-la[.]com），用于重定向至第二层；
第二层域名（Tier 2）：实际承载钓鱼内容，呈现伪造的Booking.com网页界面（如 booking.confirmation-id9918[.]com），以骗取用户信息。

谷歌报告指出：“这些第一层域名采用与Booking近似的命名方式，具有极强的欺骗性，使用户误以为正在访问官方平台。”
通过使用VirusTotal平台与Google Colab工具，谷歌团队成功追踪并识别出该网络中的钓鱼网址，特征包括：

• 页面标题如“One moment…”“AD not found (captcha2)”；
• 源代码中包含真实Booking站点的标签（如cf.bstatic[.]com）；
• 页面中嵌入真实酒店名称和图片，增强伪装性。

调查还显示，从2023年11月至2025年6月，该钓鱼网络已建立起逾1500个活跃网址，2025年初以来活跃程度大幅上升。
在进一步的取证过程中，谷歌还发现了一个压缩文件（RAR档案），内容包括：

• 4727条钓鱼受害者信息：包含姓名、预订信息、钓鱼链接；
• Excel文件：详细列出旅客入住时间、付款方式、订单金额等；
• Telegram聊天记录：涉及118个诈骗者账号（如@onlycashvvs、@wtmoneko、@cashcali），用于受害者跟进及支付处理。

Joseliyo指出：“这些文件不仅包含交易编号、酒店名称、银行卡号及发卡行信息，还记录了诈骗分子的Telegram用户名，显示出这是一个专业化分工明确的诈骗团伙，背后配有专人负责受害者管理、支付追踪和技术支持。”

值得注意的是，大多数涉案网址在病毒检测平台VirusTotal上的识别率极低，其中相当比例为“零”或“仅一项”被识别，反映出该网络的高度隐蔽性与反侦察能力。

Joseliyo警示道：“这一犯罪网络展示出极高的运作效率和隐蔽能力，普通用户在未加防范的情况下极易中招，相关平台与安全机构需高度警惕。”