Booking.com诈骗利用真实预订数据窃取客人付款

业界来源：Botcrawl 2026-04-20 22:27:18

Booking.com诈骗如今已波及旅客，其手法基于真实的预订数据、已被入侵的酒店或合作伙伴账户，以及看似普通的到店前沟通的付款验证信息。这一骗局已演变成更广泛的网络安全问题，因为受害者往往并非面对普通的垃圾邮件。在许多情况下，该消息包含正确的酒店、准确的日期，有时甚至包括与预订相关的金额。

Booking.com已通知受影响的用户，部分预订数据遭未经授权的第三方访问，且预订密码正被重置。这些警报是真实的，而Booking.com数据泄露事件正是导致当前诈骗浪潮如此危险的原因之一。攻击者利用真实的预订背景发送虚假付款请求和伪装成正常旅行流程的验证诱饵。

正是这一点改变了欺诈行为的性质。一条随机索要卡片信息的短信很容易受到质疑；而一条与你实际预订相关联的短信则不然。已经知晓预订存在的旅客，更有可能将后续联系视为日常事务处理，而非攻击行为。

关于Booking.com诈骗的背景

目前的Booking.com诈骗案正处于预订数据泄露、酒店端账户被攻破以及支付欺诈三者交汇的节点。旅客在即将抵达前不久会接到联系，被告知预订、支付方式或所需的身份验证出现了问题。该消息通常会设定一个较短的截止日期，通常是24或48小时，并提醒客人尽快采取行动，以免被取消。

请求的措辞听起来很熟悉。有时，客人被告知卡片必须再次验证；有时，解释则是一次例行的安全检查、临时授权问题或账单不一致。虽然每次的具体表述有所不同，但目的却始终如一。攻击者需要客人接受一个不属于真实预订流程的额外步骤。

在许多情况下，受害者会被引导至一个伪装成正常预订流程一部分的虚假支付页面或访客门户。有些页面会借用酒店的品牌标识，有些则模仿Booking.com的风格，还有一些则采用通用的预订或前台用语，完全依靠信息内容本身来传递误导性信息。客人被告知，此请求属于常规操作，预订需要确认，或者必须更新卡片信息以确保住宿有效。一旦输入了付款详情或批准了转账，诈骗便已得逞。

更严重的变种并不依赖于简单的外部冒充。攻击者似乎首先会破坏酒店或合作伙伴端的工作流程，然后利用这种访问权限，从已与预订关联的渠道联系真正的客人。在这些情况下，受害者看到的可能不仅仅是一个看似逼真的假消息。他们可能通过真实的预订线程、与酒店关联的账户，或已包含其预订历史的合法消息传递环境收到该请求。

预订劫持诈骗的运作方式

攻击者并非从头开始虚构旅行场景。攻击者是利用真实的预订，然后在其中插入一个虚假的管理步骤。

典型的链路如下：

酒店员工或合作伙伴账户遭到网络钓鱼攻击，或与酒店系统相关的凭据被盗。

攻击者获取了真实的预订数据，包括酒店名称、客人联系方式、入住日期，有时还包括付款相关信息。

已联系旅客，并告知其在抵达前存在需要处理的预订问题。

该消息会将访客引导至一个看似属于正常流程的虚假门户、支付页面或辅助文档。

受害者输入卡片信息、批准付款，或提供足够的信息，以便诈骗得以继续。

正因如此，这种骗局并不像普通的网络钓鱼那样令人警觉。随机的付款请求会让人觉得莫名其妙，而与你已预订的行程挂钩的请求则显得很“行政化”。正确的酒店名称和准确的入住日期几乎就能起到说服作用。当预订本身已经完成了大部分说服工作时，攻击者根本无需使用华丽的措辞。

传播与媒体研究

最强版本会使用多个页面。旅行者可能先收到一条WhatsApp或短信，随后被引导至一张看似酒店通知的PDF文件，接着又被重定向到支付页面。在一些针对这一广泛模式所记录的案例中，PDF文件充当了初始消息与窃取银行卡信息页面之间的缓冲器。这一额外的层级使整个流程显得更加慎重和正式，而非仅仅是一条随手丢进短信里的简单网络钓鱼链接。

更强的酒店端变种更难被发现，因为攻击者并不总是站在预订流程之外。如果真实的合作伙伴或酒店账户遭到入侵，欺诈请求可能会以看似现有对话的形式出现，而非来自全新的伪造发件人。到那时，旅行者不再仅仅被品牌标识所蒙骗。旅行者真正上当受骗的是通过已与预订绑定的渠道所传递的真实情境。

酒店与合作伙伴账户如何被牵入

客人通常看到的是诈骗的最后阶段。而较早阶段往往发生在酒店一方。

酒店业员工正成为网络钓鱼电子邮件的 targeted 对象，这些邮件伪装成预订平台、酒店软件供应商或运营安全通知。与此更广泛诈骗模式相关的一个例子是假冒的Booking.com安全电子邮件已发送给住宿合作伙伴。该通知警告称，必须安装强制性更新，以保护客人数据并确保访问不受中断。随后，附件或后续步骤会将目标引入恶意工作流程，从而窃取凭据或使攻击者获得远程访问权限。

这种做法之所以奏效，是因为酒店业讲究速度与重复性。员工每天都要频繁处理预订系统、合作伙伴仪表板、客人消息工具以及软件通知。在这种环境下，一封伪装成平台邮件的更新或安全任务通知并不会显得奇怪。看起来又是一次操作请求。

一旦这些凭据被盗，攻击者便可畅通无阻地访问真实的酒店业务流程。根据所涉及的系统不同，这可能使攻击者获取预订名单、客人联系方式、未来预订数据、通信记录，有时甚至包括与支付相关的背景信息。在某些情况下，攻击者还可能通过与该酒店关联的合法或半合法渠道与客人取得联系。

旅行社与服务

与Cloudbeds相关的案例表明，当酒店员工首先遭遇网络钓鱼攻击、随后客人的通信信息遭到滥用时，酒店软件便可能成为这一链条中的一环。同样的模式也可能蔓延至合作伙伴工具、物业管理系统、预订仪表板以及任何客户联系数据与预订详情紧密共存的环境中。

正因如此，Booking.com诈骗事件不应仅仅被视为旅客的问题。它同时也是酒店账户安全问题以及合作伙伴工作流程问题。客人看到的是欺诈信息，但真正的信任破裂可能早已发生——早在几天前，酒店方面就有人被诱骗交出了访问权限。

诱饵为何看似合法

旅行恰恰创造了攻击者所期望的种种条件。酒店和预订平台通常会在客人抵达前，就付款方式、抵达时间、预订变更、房间详情以及入住须知等事宜与客人取得联系。旅客们也期待收到与即将入住相关的电子邮件、短信、WhatsApp消息和应用通知。这意味着攻击者无需编造离奇的故事。攻击者可以直接借用已属于酒店业工作流程的措辞。

常见的诱饵包括：

与预订相关的付款验证

可能在24或48小时内取消预订的警告

要求确认持卡人身份的请求

入住前的常规安全检查

临时授权或账单更新说明

邀请旅客查看预订详情的访客门户链接

基础设施的设计也力求显得平易近人。一些链接隐藏在类似于酒店通知或确认文件的PDF背后；另一些则使用让人联想到前台、预订系统或宾客门户的域名；还有一些通过WhatsApp或短信发送，人们在这些渠道中行动更快，验证也比平时在浏览器或电子邮件客户端中更少。

旅行与交通

这条信息无需语法完美，只需包含足够多的真相，就能让人感到安心。如果一位旅客在即将抵达前，恰好看到正确的房源、合适的时间段，以及看似合理的请求，那么他已踏入骗局的一半了。

对旅行者和公众的风险

第一个风险是支付被盗，但问题并未就此结束。

一位在虚假验证流程中输入卡片信息的客人可能面临：

未经授权的卡片扣款

用于在更大规模滥用前验证卡片的小额测试交易

稍后使用相同信息重复欺诈尝试

如果姓名、地址、电话号码和支付信息被合并，将导致身份盗用

如果虚假流程要求输入登录名或验证码，账户将面临被入侵的风险

此外，还存在更广泛的信任问题。多年来，人们一直被告知要留意通用信息、拼写错误以及明显可疑的链接。然而，当消息内容已知预订详情、使用了正确的日期，且通过熟悉的渠道发送时，这些提示便显得没那么管用了。旅行频道。那些老旧的警示标志并未消失，但它们已不再是问题的全部。

正因如此，这不仅仅是一场令人恼火的旅游诈骗。它揭示了被盗取的商业背景如何被转化为看似正常的客户服务的支付欺诈。攻击者不仅在投放诱饵，他们还利用真实的行程数据来降低受害者的警惕性。

酒店、住宿平台及预订流程面临的风险

酒店和预订平台将面临一系列不同的后果。

电子邮件与消息

一旦欺诈性付款请求开始通过看似正常预订沟通的渠道流转，酒店自身的品牌也会成为骗局的一部分。客人开始对真实消息产生怀疑。支持团队收到的问询增多。员工花费更多时间来区分真实请求与虚假请求。拒付增加，信任下降。

如果攻击者通过已被入侵的酒店或合作伙伴账户实施攻击，造成的损害将更加严重。届时，企业不仅成了诈骗的受害者，从旅客的角度来看，它还成了诈骗行为的传递媒介。旅行者看到的不再是某个随机的陌生人。旅行者看到的是看起来像酒店或预订工作流程本身的内容。

这一问题也暴露了酒店业技术领域的一个更大漏洞。预订、客人留言、合作伙伴门户、物业管理系统以及支付流程之间联系紧密。这种高度集成虽然让酒店运营更加便捷，但也为攻击者提供了更多途径——一旦某个账户被攻破，他们便可轻松地展开横向渗透。被盗的员工登录凭证可能导致基于真实旅行数据和真实业务背景的客联营销活动。

针对旅客的推荐行动

旅客应对任何抵达前的付款验证请求保持警惕，即使该请求包含准确的预订信息。

有用的步骤包括：

请勿点击通过电子邮件、短信、WhatsApp 或与您的预订相关的聊天消息发送的付款或验证链接。

请自行打开官方预订网站、酒店网站或应用程序，而非点击消息中的链接。

如果您需要致电该物业，请使用原始确认单上的电话号码或经验证的网站上的电话号码，而非短信中提供的号码。

检查同一请求是否出现在官方预订应用或账户仪表板中。

尤其要对那些声称24小时或48小时内必须取消并设定截止日期的短信保持高度警惕。

如果您已经输入了信用卡信息，请立即联系您的银行，挂失或冻结该卡，并留意是否有额外扣款。

如果您下载了文件或打开了可疑附件，请使用可信的安全工具（如Malwarebytes.

旅客还应停止将正确的预订信息视为消息安全的证据。在这类诈骗家族中，这些信息本身就是作案工具的一部分。

传播与媒体研究

酒店和预订平台的缓解措施

酒店和预订平台需要将此问题既视为账户安全问题，也视为客人信任问题来应对。

具体措施包括：

为与预订、宾客留言和合作伙伴系统关联的员工账户实施防网络钓鱼身份验证

培训酒店员工，将平台安全通知和软件更新请求视为高风险，直至经过独立验证

审计哪些系统可以查看客人联系数据和与支付相关的预订信息，然后减少不必要的访问

监控异常导出、可疑登录以及与即将进行的预订相关的全新消息活动

在预订流程中内置警告，提醒旅客聊天、短信和电子邮件中的付款验证链接可能为诈骗

改进对合作伙伴账户行为异常的检测，尤其是在消息营造付款紧迫感或链接至不熟悉域名时

为收到可疑预订信息的客人提供快速报告途径

对于Booking.com这样的平台而言，挑战远不止于发送通知。一旦告知客人预订数据已被未经授权的方访问，攻击者便能以此为掩护。每一条真实的通知都可能让随后出现的虚假通知显得更加可信。清晰沟通以及更紧密的合作伙伴安全措施，一旦发生这种情况，其重要性反而会增加，而非降低。

对旅游行业的更广泛影响

Booking.com诈骗事件反映出网络犯罪正在发生更广泛的变化。攻击者不再仅仅依赖大规模网络钓鱼和明显的冒充手段，而是越来越多地利用窃取的商业背景信息，制造出看似与目标服务天然契合的欺诈行为。

酒店业尤其容易受到攻击，因为它依赖于持续的沟通、高度信任的工作流程以及相互连接的运营系统。旅客期望收到预订更新、付款提醒、入住通知以及预订变更信息。这为攻击者提供了充足的空间，让他们能够隐藏在看似日常旅行中再平常不过的语言里。

这也改变了对预订数据事件的理解方式。预订泄露不仅是一个隐私问题，更是一个助长欺诈的问题。一旦攻击者掌握了足够的预订信息，真正的危害可能并非发生在首次访问之时，而是在那之后——当这些信息被转化为可信的支付诱饵和账户劫持尝试时。

正因如此，当前的Booking.com诈骗远不止于简单提醒警惕可疑链接这么简单。旅游行业正面临一种基于真实信息、可信流程以及人们对于即将到来的旅行普遍抱有的紧迫感而精心策划的欺诈行为。只要预订系统、酒店通讯以及合作伙伴门户依然是极具吸引力的攻击目标，这种诈骗模式就很可能继续通过电子邮件、短信、WhatsApp及其他旅行者早已习以为常且毫不迟疑使用的渠道广泛传播。

要持续关注网络诈骗、网络钓鱼活动以及与旅行相关的欺诈行为，核心教训其实很简单：一条信息并不因为知道你的预订就变得可信。在当前的威胁环境中，这或许正是你在采取任何其他行动之前，独立核实该信息的最有力理由。