订酒店小心！钓鱼网用“ん”扮“/”伪装Booking.com网址骗取资料

很多人都会在旅行前，先在网上订好机票、酒店，而想找到最便宜的机酒，就要在各个平台网站上格价。可是，有曾想过找到的平台网站有机会是假网呢？最近，国际安全研究人员揭发一宗新型钓鱼攻击，诈骗者透过 Unicode 字元伪装 Booking.com 的网址，利用日本平假名“ん”来充当“/”符号，营造出与官方网站几乎一模一样的网址，诱使用户误信并输入信用卡资料。

真假难辨的网址陷阱

事件最早由网安专家 JamesWT 公开，他发现一封伪装成 Booking.com 官方通知的电邮。邮件中写著“https://admin.booking.com/hotel/hoteladmin/…”这样看似正常的连结，但实际上却暗藏玄机，真正指向的网址是“https://account.booking.comんdetailんrestric-access.www-account-booking.com/en/”。在一般浏览器的字体显示下，那个“ん”几乎与斜线“/”难以分辨，普通人一眼望去，很容易就以为是官方的子网域，进而点击并输入资料。

这手法背后的原理为同形文字攻击。所谓同形文字，就是不同字元集之间，存在外观极为相似的符号，例如西里尔字母“О”与拉丁字母“O”，在人眼看来几乎一样，却是完全不同的编码。诈骗分子正是利用这种细节，制造出以假乱真的网址。

不只是 Booking.com

值得注意的是，这次曝光的案例虽然涉及订房平台 Booking.com，但类似的攻击方式早已广泛存在。外媒《Bleeping Computer》就曾揭露过 Intuit 相关的钓鱼活动，骗徒仅把“I”替换成“L”，就足以让不少人受骗。对于网民来说，当看到熟悉品牌的名称，往往会下意识放松警惕，殊不知自己已经踏入陷阱。

这也让事件的危险性进一步放大。因为在旅游与订房情境下，用户通常急于确认订单或付款，时间压力会降低他们对细节的警觉。一旦输入了信用卡资料或登入帐号，便可能让诈骗者获得完整的个资与支付凭证。

如何提防钓鱼网站？

面对这类攻击，最基本也是最有效的方法，是养成检查网址的习惯。虽然字元看起来再像，真正的注册域名仍然会出现在第一个“/”之前，例如“booking.com”才是官方域名，其后无论多长的路径或子网域，都不能掩盖假冒的本质。其次，尽量透过官方 App 或在浏览器手动输入网址进入，不要随意点击电邮或简讯中的连结。对于涉及付款或登入的情境，更应该谨慎再三，宁可多花几秒确认，也不要贪快。