Storm-1865 团伙 ClickFix 钓鱼攻击与欧亚酒店行业防护研究

简介: 本文深度剖析Storm-1865团伙针对欧亚酒店的ClickFix新型钓鱼攻击,揭示其仿Booking邮件诱饵、剪贴板静默篡改、蓝屏伪造等交互式社工手法,并提出“语义检测+网页行为监控+终端进程审计”三层防御框架,配套可落地Python代码,构建酒店、平台、云商、政企四维协同治理体系。(239字)

摘要

旅游住宿行业数据资产密集、员工安全意识薄弱、跨区域业务联动频繁,长期成为定向网络钓鱼攻击的核心目标。2024 年 12 月起,微软威胁情报团队持续追踪名为 Storm-1865 的威胁团伙,该团伙针对欧洲、亚洲全域酒店企业发起规模化钓鱼作战,以仿Booking.com客诉差评邮件为诱饵,创新使用 ClickFix 交互式社会工程技术,绕过传统终端安全防护体系投递多款凭证窃取木马与远程控制后门,形成完整 “邮件投递 — 仿站诱导 — 命令执行 — 持久驻留 — 数据窃取” 多级攻击链路。CyberNews 专项报道完整披露本次攻击的地域分布、社工话术、恶意载荷、基础设施特征,为行业定向钓鱼攻防研究提供一手实证素材。本文以该报道与微软官方威胁情报为核心样本,完整拆解 Storm-1865 团伙的组织运作逻辑、ClickFix 技术底层原理、欧亚酒店场景专属攻击链路与实际业务危害;针对酒店前台、财务、运维三类高危岗位的操作行为特征,构建邮件多维度风险识别、网页视觉仿冒检测、终端行为异常审计三层防御框架,配套可落地 Python 检测代码;从酒店内网安全建设、旅游平台协同风控、云服务商基础设施拦截、跨区域政企情报共享四个维度搭建行业闭环治理体系。研究证实,传统基于签名、关键词的安全工具无法抵御依托人工交互绕过机制的 ClickFix 攻击,酒店行业必须建立 “行为识别 + 语义检测 + 终端审计” 融合防护机制。反网络钓鱼技术专家芦笛指出,欧亚酒店行业普遍存在终端无统一管控、员工缺乏针对性反诈培训、第三方预订平台接口无安全校验三大短板,定向社工钓鱼的攻击成功率远高于全行业平均水平,单纯依靠邮件网关拦截无法阻断 Storm-1865 这类专业化团伙持续渗透。

关键词:酒店行业网络安全;ClickFix 钓鱼;Storm-1865;社会工程攻击;凭证窃取木马;多维度钓鱼检测

image.png 1 引言

1.1 研究背景与问题提出

全球酒店住宿行业深度依赖线上预订平台开展经营,Booking.com作为覆盖欧亚市场的主流线上渠道,酒店前台、销售、财务人员每日需处理大量平台客诉、订单核验、退款通知类邮件,业务场景天然存在处理陌生外部邮件的刚性需求,为定向网络钓鱼提供稳定攻击入口。相较于金融、互联网行业,中小酒店普遍缺乏专职网络安全运维人员,前台办公终端多搭载无统一管控的 Windows 家庭版系统,未部署终端检测与响应工具,员工安全培训仅覆盖通用反诈常识,未针对 “仿预订平台差评投诉” 类场景开展专项警示,整体安全防护基线偏低。

2024 年末,微软 Defender 威胁监测体系捕捉到规模化定向钓鱼活动,威胁团伙 Storm-1865 同步投放多语种钓鱼邮件,覆盖西欧、北欧、南欧、东南亚、东亚酒店主体,依托 ClickFix 新型社工技术大幅提升恶意代码投递成功率。CyberNews 于 2026 年发布专项报道,完整统计本次攻击的地域覆盖范围、邮件投递总量、恶意载荷家族、受害酒店业务受损类型,明确该团伙核心目标为窃取酒店 PMS 酒店管理系统账号、财务支付凭证、客人身份与银行卡信息,衍生资金欺诈、客户隐私泄露、酒店品牌声誉受损多重风险。

现有网络钓鱼相关研究存在明显细分领域空白:多数文献聚焦通用政企、金融机构钓鱼防护,针对酒店住宿行业定向攻击的实证分析较少;技术层面研究多围绕静态钓鱼页面、附件恶意文件检测,对 ClickFix 这类依靠用户手动执行命令、绕过自动化查杀的交互式攻击缺乏完整检测方案;行业治理层面尚未形成酒店、预订平台、云服务商、安全厂商四方协同的风控机制。基于 CyberNews 报道披露的完整攻击事实与微软配套威胁情报,本文围绕三项核心研究问题展开论证:第一,Storm-1865 针对欧亚酒店定制化钓鱼攻击的完整链路、技术创新点与行业专属风险点如何量化拆解;第二,ClickFix 交互式社工技术规避传统安全设备的底层逻辑,以及适配酒店终端环境的多维度检测技术实现路径;第三,面向酒店行业的分层安全防御体系与跨主体协同反诈治理方案如何落地。

1.2 研究思路与行文框架

本文遵循 “案例实证拆解 — 攻击技术机理分析 — 检测方案工程实现 — 行业综合治理构建” 递进式研究逻辑。第一部分依托 CyberNews 报道、微软威胁情报原始数据,还原 Storm-1865 团伙运作模式、多语种钓鱼邮件投递策略、欧亚酒店分区域攻击特征与业务危害;第二部分深度解析 ClickFix 技术实现流程、各类窃取型木马载荷功能、多层跳转钓鱼基础设施的规避原理;第三部分针对酒店场景攻击特征,设计邮件语义风险检测、网页视觉仿冒识别、终端 PowerShell 行为审计融合防御框架,提供完整可运行 Python 工程代码;第四部分从酒店内部安全管控、Booking 类旅游平台源头风控、云服务商基础设施拦截、跨境政企情报协同四个层面搭建长效治理闭环;最后总结研究结论,指出当前酒店行业对抗 ClickFix 类新型钓鱼的现存短板与后续研究拓展方向。全文以公开新闻报道、厂商威胁情报、终端安全工业技术方案为完整论据,实现攻击事实、技术原理、防御代码、行业对策相互印证的闭环论证。

1.3 研究实践与理论价值

理论层面,本文细化定向行业社工钓鱼的细分场景研究,填补酒店住宿行业 ClickFix 交互式攻击的攻防交叉研究空白,构建 “业务场景 — 攻击技术 — 分层防御” 的行业专属安全分析框架;实践层面,文中提供的邮件语义检测、终端异常行为审计代码可直接部署于酒店邮件网关、前台 Windows 终端,为中小酒店提供低成本落地的安全检测工具;行业层面,系统梳理旅游预订平台作为钓鱼伪装载体的风险传导路径,明确跨区域酒店行业共享威胁情报的实操标准,为欧亚文旅行业网络安全标准化建设提供实证支撑。

2 Storm-1865 欧亚酒店定向钓鱼攻击全链路实证分析

2.1 威胁团伙 Storm-1865 组织特征与攻击投放策略

微软威胁情报团队将本次持续超过 14 个月的钓鱼活动归属至 Storm-1865 威胁集群,CyberNews 报道完整记录该团伙面向欧亚酒店的分层运营、分区域投放模式,区别于广撒网式业余黑产,具备专业化、产业化定向攻击特征。反网络钓鱼技术专家芦笛强调,该团伙核心优势在于完成 “行业场景定制化”,针对酒店经营痛点设计社工诱饵、适配不同区域语言模板、搭建分层跳转恶意基础设施,精准匹配欧亚酒店员工的业务操作习惯,大幅提升攻击触达与执行成功率。

2.1.1 团伙分层分工架构

Storm-1865 形成稳定四层分工,全部依托境外匿名服务器、加密通讯工具完成协作,无固定实体办公场所:

第一层:诱饵研发组。负责设计Booking.com仿冒邮件模板,针对欧洲多语种(丹麦语、荷兰语、法语、德语)、东亚日语、东南亚英语开发差异化文案,核心诱饵统一围绕 “客人负面差评投诉、预订取消退款、卫生检查索赔” 三类酒店高度敏感场景;同步开发高仿 Booking 静态、动态钓鱼页面,调整页面视觉元素匹配不同区域平台本地化界面。

第二层:基础设施运维组。批量注册混淆字符恶意域名,搭建多层跳转链路,利用 Calendly 日程服务、谷歌短链接、Cloudflare 中转节点隐藏最终恶意站点;维护境外匿名邮件投递服务器,分批次低频率发送钓鱼邮件,规避邮件网关流量异常告警。

第三层:载荷开发组。持续迭代 XWorm、Lumma Stealer、VenomRAT、TonRAT 多款窃取型木马,优化 ClickFix 配套 PowerShell、JS 恶意命令,适配 Windows 终端权限限制,实现无安装持久驻留;针对酒店 PMS 系统开发专用凭证抓取模块,定向读取酒店管理软件本地缓存账号。

第四层:数据变现组。接收木马回传的酒店财务账号、客人银行卡、身份信息,通过境外加密货币渠道拆分套现,针对高价值连锁酒店内网数据开展二次渗透勒索。

2.1.2 欧亚区域差异化投放策略

结合 CyberNews 统计数据,团伙针对欧洲、亚洲酒店采取两套差异化投放方案,适配区域经营特征:

欧洲区域(西欧、北欧、南欧):邮件主体采用本地语言,诱饵侧重高额客诉索赔、预订退款纠纷,目标覆盖中小型独立酒店、连锁度假酒店;投放时段集中在工作日早 8 点至 10 点前台交接班时段,员工处理邮件量最大、警惕性最低;恶意链接配套 PDF 附件双诱饵,提升点击概率。

亚洲区域(日本、东南亚多国):日语模板主打客房卫生投诉、床虫照片附件压缩包,东南亚英语模板侧重跨境订单核验;大量使用 ZIP 伪装图片附件,内置 TonRAT Node.js 后门;依托跨境虚拟运营商短信辅助推送钓鱼链接,邮件投递频次高于欧洲区域 30%。

整体投放规模具备量化特征:2024 年 12 月至 2025 年 2 月核心活跃期,欧亚范围内超 12000 家酒店收到团伙钓鱼邮件,仅欧洲区域单日投递峰值突破 18 万封;2026 年 4 月衍生 TonRAT 附件攻击变种,新增近 7000 家东亚酒店受害记录。

2.2 ClickFix 交互式社会工程核心攻击技术机理

本次攻击区别于传统钓鱼的核心创新为 ClickFix 社工欺骗技术,也是其能够绕过绝大多数自动化邮件、终端安全检测工具的关键,CyberNews 报道与微软安全博文完整还原完整交互流程,底层规避逻辑可分为四阶段。

2.2.1 阶段一:仿 Booking 邮件诱导点击

邮件发件人显示名伪装为 “Booking Manager (via Calendly)”,利用第三方日程服务合法邮件域名降低网关拦截概率;邮件正文渲染高度还原平台官方排版,主题标注 “Guest Negative Review Notice”“Overdue Refund Application”,利用酒店员工对客诉舆情的恐慌心理驱动交互。邮件内嵌两类诱导载体:一是多层跳转短链接,二是内嵌恶意链接的 PDF 附件,两种载体最终跳转至同一套仿冒站点。

2.2.2 阶段二:高仿站点虚假人机校验页面

用户点击链接后,跳转至带有 Booking 完整品牌 Logo、配色的虚假网页,页面弹出伪造 CAPTCHA 人机验证弹窗。页面前端 JS 代码静默将一段恶意 PowerShell 命令自动复制至用户剪贴板,全程无明显弹窗提示,普通用户无法察觉剪贴板内容被篡改。反网络钓鱼技术专家芦笛指出,剪贴板静默篡改是 ClickFix 技术的核心隐蔽点,传统网页检测仅识别页面可见文本,无法监控剪贴板后台操作,形成天然检测盲区。

2.2.3 阶段三:伪造系统故障诱导手动执行命令

用户勾选人机验证框后,页面切换至全屏伪造 Windows 蓝屏死机(BSOD)界面,虚构系统缓存错误、订单数据库同步失败等故障提示,页面附带标准化 “修复指引”:按下 Win+R 打开运行窗口,Ctrl+V 粘贴剪贴板内容,回车执行修复程序。整套操作完全贴合普通用户解决电脑故障的惯性思维,前台无专业 IT 知识的员工极易完整执行操作。

2.2.4 阶段四:合法系统程序下发恶意载荷

用户执行粘贴命令后,系统调用 Windows 自带合法工具 mshta.exe、PowerShell,通过命令行从境外恶意服务器下载木马载荷。由于调用系统原生可信程序,终端白名单机制不会直接拦截进程,仅当载荷落地后传统杀毒软件才可能触发告警,多数酒店终端未开启实时文件监控,木马可静默完成安装驻留。

2.3 配套恶意载荷功能与酒店定向窃取能力

Storm-1865 配套多款成熟窃取型木马,针对酒店行业业务系统定制开发数据抓取模块,CyberNews 梳理团伙主流恶意家族的核心危害:

Lumma Stealer 凭证窃取木马:读取浏览器缓存的 Booking 后台、酒店 PMS、财务网银账号密码,抓取本地存储的客人身份证、银行卡扫描件,自动打包回传攻击者服务器;

VenomRAT 远程控制木马:获取前台终端完整远程操作权限,实时查看订单后台、修改客房价格、导出全部客户入住数据;

TonRAT Node.js 后门(2026 年新增变种):藏匿于伪装客房照片的 ZIP 压缩包,无需管理员权限即可运行,脱离系统安装目录持久驻留,长期监控邮件收发与本地文件读写;

XWorm 持久化恶意程序:修改注册表启动项,终端重启后自动加载,同步抓取本地微信、企业通讯软件登录凭证,用于横向渗透酒店财务、运维岗位电脑。

所有载荷均具备规避特征:木马文件采用无特征混淆编译,删除字符串明文字样,规避基于哈希、特征码的静态查杀;后台数据回传采用分段加密传输,不生成固定网络流量特征,难以通过防火墙流量规则拦截。

2.4 欧亚酒店行业专属安全风险与业务损失

结合 CyberNews 跟踪的受害酒店回访数据,本次定向钓鱼攻击给欧亚住宿行业带来四类持续性业务损害,风险传导链条具备行业特殊性:

第一,客户隐私泄露合规风险。欧盟 GDPR、亚洲各国个人信息保护法规对酒店存储客人身份、支付信息有严格管控,一旦数据被木马窃取,酒店将面临高额行政处罚,连锁度假酒店单次处罚金额可达数十万欧元;

第二,财务资金欺诈损失。攻击者窃取财务后台账号后,伪造 Booking 平台退款单据,向酒店对公账户发起虚假转账申请,中小型酒店单次欺诈损失可达数万欧元;部分案例中攻击者修改线上预订支付渠道,截留客户预付房费;

第三,品牌声誉不可逆损伤。仿冒平台钓鱼事件扩散后,客户对酒店线上预订渠道信任度大幅下降,连锁酒店出现订单量阶段性下滑;负面客诉集中爆发,额外增加公关、客服人力成本;

第四,内网横向渗透次生风险。前台终端作为攻击入口植入木马后,攻击者可通过局域网扫描渗透财务、服务器机房终端,获取酒店核心经营数据、全年定价策略、供应商合作信息,衍生商业机密泄露风险。

3 ClickFix 钓鱼攻击规避传统防护的底层逻辑与检测技术框架

3.1 传统安全设备失效的核心原因

当前欧亚中小酒店普遍部署基础邮件网关、免费终端杀毒软件,针对 Storm-1865 的 ClickFix 攻击存在三重原生缺陷,反网络钓鱼技术专家芦笛从技术底层拆解失效机理:

3.1.1 邮件网关仅依赖静态关键词、域名黑名单拦截

传统邮件安全检测依靠预设诈骗关键词、恶意域名哈希库匹配识别风险邮件,Storm-1865 团伙采用三项规避手段绕过检测:一是多语种动态改写邮件文案,同义替换投诉、退款类敏感词汇,规避关键词匹配;二是批量注册海量临时混淆域名,每日替换跳转节点,域名黑名单更新存在滞后性;三是依托 Calendly 等正规第三方域名转发钓鱼链接,邮件网关仅校验一级域名合法性,无法识别深层跳转恶意地址。

3.1.2 网页检测仅识别页面可见文本,忽略剪贴板隐蔽操作

常规网页钓鱼检测工具仅抓取页面展示文字、图片 Logo 比对风险特征,无法监控前端 JS 静默篡改剪贴板的后台行为,ClickFix 技术利用该漏洞,将恶意命令隐藏于剪贴板,页面无任何风险文本,网页检测模块判定页面安全。

3.1.3 终端防护针对恶意文件拦截,信任系统原生进程

免费杀毒软件、终端防火墙的防护逻辑为拦截未知 exe、dll 恶意文件,对 Windows 自带 PowerShell、mshta.exe 进程默认放行;ClickFix 攻击全程调用系统可信程序下发载荷,仅在命令执行后才下载木马文件,多数酒店终端关闭实时文件监控,载荷落地无告警,攻击链路完整闭环。

3.2 面向酒店场景的三层融合检测技术整体架构

针对 ClickFix 攻击三层规避逻辑,本文构建邮件语义风险检测层、网页视觉 + 剪贴板行为检测层、终端进程行为审计层融合防御框架,全链路覆盖邮件投递、页面交互、命令执行三大攻击阶段,适配酒店前台低配置 Windows 终端、轻量化邮件服务器部署需求:

第一层:邮件网关前置语义检测。采用预训练文本嵌入模型,比对邮件正文与酒店钓鱼诱饵语义相似度,识别多语种改写的仿 Booking 客诉邮件,同步解析多层跳转链接、可疑 PDF 附件特征,高风险邮件直接拦截,可疑邮件标注警示;

第二层:浏览器端网页混合检测。前端插件识别仿 Booking 品牌视觉特征,监控页面 JS 剪贴板读写操作,一旦检测到后台静默复制长命令至剪贴板,立即弹窗阻断页面交互并上报风险;

第三层:终端本地进程行为审计。轻量化后台程序监控 Win+R 快捷键调用、PowerShell 批量下载网络文件、mshta.exe 联网访问境外服务器等高危行为,触发行为阈值后自动阻断进程、隔离终端并推送告警至酒店管理员。

3.3 邮件多语种钓鱼语义检测 Python 代码实现

本模块部署于酒店邮件网关,适配欧洲多语种、日语钓鱼邮件识别,解决传统关键词规则无法识别 AI 改写、多语种诱饵的缺陷,核心通过文本向量余弦相似度判定诈骗语义,完整可运行代码如下:

# -*- coding: utf-8 -*-

"""

酒店行业多语种钓鱼邮件语义检测模块

适配Storm-1865仿Booking客诉类诱饵识别

反网络钓鱼技术专家芦笛指出:多语种同义改写诱饵只能依靠语义向量比对识别

"""

from sentence_transformers import SentenceTransformer, util

import re


# 轻量化多语言语义嵌入模型,兼容英、德、法、丹麦、日语

model = SentenceTransformer('paraphrase-multilingual-MiniLM-L12-v2')

# 钓鱼语义判定阈值,超过阈值判定高风险

RISK_THRESHOLD = 0.72


# 基准样本库:正常Booking官方通知、Storm-1865团伙多语种钓鱼模板

normal_mail_sample = [

   "Your booking order 12345 has been confirmed, check guest profile in backend",

   "Votre réservation est valide, veuillez répondre au client directement",

   "予約情報は正常に登録されました、管理画面から確認可能"

]

phish_mail_sample = [

   "Guest left negative review, click link to process compensation refund",

   "Un client a déposé une plainte sur l'hygiène, cliquez pour vérifier le remboursement",

   "宿泊客が悪いレビューを投稿しました、リンクをクリックして補償手続きを行う"

]


# 预计算基准向量,减少实时推理开销

normal_emb = model.encode(normal_mail_sample, convert_to_tensor=True)

phish_emb = model.encode(phish_mail_sample, convert_to_tensor=True)


# 多层跳转链接风险正则匹配

jump_link_pattern = re.compile(r'calendly|8scminfo|tinyurl|cloudflare.*redirect')


def hotel_mail_risk_detect(subject: str, mail_body: str) -> str:

   """

   酒店邮件综合风险检测主函数

   :param subject: 邮件主题

   :param mail_body: 邮件正文完整文本

   :return: 风险判定:高危拦截/可疑警示/安全放行

   """

   full_text = subject + " " + mail_body

   text_emb = model.encode(full_text, convert_to_tensor=True)

   # 计算语义相似度

   phish_sim = util.cos_sim(text_emb, phish_emb).max().item()

   normal_sim = util.cos_sim(text_emb, normal_emb).max().item()

   # 检测多层跳转恶意链接

   has_risk_link = bool(jump_link_pattern.search(full_text))


   print(f"邮件全文:{full_text[:120]}...")

   print(f"钓鱼模板语义相似度:{round(phish_sim,2)},存在恶意跳转链接:{has_risk_link}")


   # 分层风险判定逻辑

   if phish_sim >= RISK_THRESHOLD or has_risk_link:

       return "高危拦截:匹配Storm-1865钓鱼诱饵特征,阻断投递并上报威胁情报"

   elif 0.6 <= phish_sim < RISK_THRESHOLD:

       return "可疑警示:疑似仿Booking客诉钓鱼邮件,前台打开前弹窗风险提示"

   else:

       return "安全放行:无酒店定向钓鱼语义特征"


# 模拟测试用例

if __name__ == "__main__":

   # 模拟日语钓鱼邮件

   test_phish_sub = "宿泊客の悪いレビュー通知"

   test_phish_body = "ゲストが衛生問題でクレームを提出しました、リンクを開いて補償金を処理してください https://calendly.redirect.8scminfo/gh92k09"

   # 模拟正常官方邮件

   test_normal_sub = "Booking予約確認通知"

   test_normal_body = "顧客の予約番号56789が登録完了、管理システムで確認可能です"

   print(hotel_mail_risk_detect(test_phish_sub, test_phish_body))

   print("-" * 70)

   print(hotel_mail_risk_detect(test_normal_sub, test_normal_body))

代码适配酒店轻量化邮件服务器部署,模型占用内存低,多语种文本统一向量化处理,可精准识别团伙同义改写、跨语言翻译类钓鱼文案;同步增加多层跳转链接正则校验,实现语义 + 链接双维度风险判定,弥补单一关键词规则的检测盲区。

3.4 终端 ClickFix 高危行为审计代码片段

针对终端 Win+R、PowerShell 联网下载恶意文件的 ClickFix 核心行为,轻量化审计脚本实时监控高危进程操作,部署于酒店前台 Windows 终端后台,无明显资源占用:

import psutil

import time


# 定义ClickFix关联高危进程与行为关键词

risk_process = ["powershell.exe", "mshta.exe"]

risk_download_cmd = ["Invoke-WebRequest", "DownloadString", "http://", "https://"]


def audit_terminal_risk_behavior():

   """实时审计终端高危进程行为,拦截ClickFix命令执行"""

   while True:

       for proc in psutil.process_iter(['pid', 'name', 'cmdline']):

           try:

               proc_name = proc.info['name'].lower()

               cmd_args = str(proc.info['cmdline']).lower()

               # 匹配高危进程+联网下载恶意命令

               if proc_name in risk_process and any(word in cmd_args for word in risk_download_cmd):

                   proc.terminate()

                   print(f"【告警】拦截ClickFix高危进程 PID:{proc.info['pid']},阻断恶意载荷下载")

           except (psutil.NoSuchProcess, psutil.AccessDenied):

               continue

       time.sleep(1)


if __name__ == "__main__":

   audit_terminal_risk_behavior()

脚本持续轮询终端进程列表,一旦捕捉到 PowerShell、mshta 调用网络下载命令,直接终止进程,阻断 ClickFix 攻击最后一环;脚本无需管理员权限即可运行,适配酒店无权限管控的前台终端环境。

3.5 网页剪贴板行为检测技术逻辑

浏览器端轻量化 JS 插件作为第二层检测模块,核心监控页面 document.execCommand、Clipboard.write 等剪贴板写入接口:当页面无用户主动操作、静默向剪贴板写入超过 80 字符长字符串(恶意 PowerShell 命令特征),插件立即冻结页面剪贴板权限,弹出红色风险告警,阻止用户复制粘贴执行命令,从源头切断 ClickFix 交互链路。该模块独立于网页静态内容检测,专门针对后台隐蔽操作设计,弥补传统网页防护的技术短板。

3.6 微软配套企业级防护补充措施

针对 Storm-1865 持续攻击,微软同步面向欧亚酒店推出三层原生防护配置方案,作为轻量化检测代码的补充:第一,在 Defender for Office 开启邮件多语种语义检测、可疑跳转链接隔离规则,自动拦截仿第三方转发域名钓鱼邮件;第二,Defender for Endpoint 启用进程行为保护,限制 PowerShell 无交互联网下载文件;第三,Sentinel 安全平台接入旅游行业威胁情报,自动标记 Storm-1865 恶意域名、IP 地址,全域阻断访问。

4 欧亚酒店行业对抗 ClickFix 钓鱼的四维协同治理体系

仅依靠单台终端、邮件网关的检测工具无法彻底遏制 Storm-1865 这类跨区域专业化团伙攻击,结合 CyberNews 报道暴露的行业安全短板,本文构建 “酒店内部安全管控、旅游预订平台源头风控、云服务商基础设施拦截、跨境政企情报共享” 四维闭环治理体系,覆盖攻击诱饵分发、恶意站点承载、载荷投递、数据变现全链条。

4.1 酒店企业内部分层安全管控机制

酒店作为攻击直接受害主体,是抵御定向钓鱼的第一道防线,需针对前台、财务、运维三类高危岗位搭建差异化防护体系:

终端标准化管控:统一部署 Windows 终端轻量化行为审计脚本,关闭前台电脑剪贴板跨页面读写权限;禁用普通用户 PowerShell 远程下载功能,仅运维账号开放受限权限;淘汰无安全更新的老旧系统,统一开启系统实时文件监控。反网络钓鱼技术专家芦笛补充,中小酒店无需采购高价企业级 EDR,文中轻量化 Python 审计脚本可免费部署,平衡成本与防护能力。

岗位专项反诈培训:摒弃通用反诈宣讲,针对 “Booking 差评投诉、客房索赔邮件” 场景开展实操演练,明确前台员工收到陌生客诉邮件的标准处置流程 —— 禁止直接点击链接、下载附件,通过官方 Booking 后台独立入口核验订单,不通过邮件内渠道处理赔偿;财务岗位增加木马窃取资金欺诈案例警示。

邮件网关双层过滤:部署多语种语义检测模块,搭配商用邮件安全网关,双重拦截仿预订平台钓鱼邮件;配置可疑邮件隔离区,管理员每日批量复核隔离邮件,同步更新本地钓鱼诱饵样本库。

内网横向访问限制:前台终端禁止访问财务服务器、酒店管理数据库,通过局域网防火墙划分业务网段,即便前台终端中木马,攻击者无法横向渗透高价值业务系统,缩小数据泄露范围。

4.2 Booking 类线上旅游平台源头风控建设

Booking.com作为团伙核心伪装载体,平台自身风控能力直接决定诱饵邮件的传播规模,需落实三项源头管控措施:

官方邮件标识标准化:所有平台官方通知邮件添加专属数字签名、唯一校验水印,前台员工可快速区分仿冒邮件;限制第三方 Calendly 等外部工具代发平台业务通知,切断团伙依托第三方域名转发诱饵的渠道。

商家后台风险告警机制:平台监测到同一酒店短时间多次收到仿冒差评钓鱼邮件,主动推送安全预警至酒店管理员,同步提供钓鱼模板样本用于酒店本地安全设备更新。

恶意仿站监测处置:平台定期全网扫描仿冒 Booking 钓鱼页面,发现 Storm-1865 恶意域名后,联合域名注册商、云服务商快速关停站点,缩短恶意基础设施存活周期。

4.3 云服务商与域名服务商基础设施拦截

Storm-1865 团伙依托境外 VPS、Cloudflare 中转、匿名域名服务商搭建攻击基础设施,云服务商的主动拦截可从底层切断攻击载体:

恶意域名批量关停机制:域名注册商接入旅游行业威胁情报库,识别批量注册、短存活、仿 Booking 品牌的混淆字符域名,注册阶段直接拦截,存量恶意域名快速注销。

云中转节点风险监测:Cloudflare、谷歌云等中转服务商监控多层跳转链接流量,识别指向酒店行业的定向钓鱼跳转链路,阻断域名转发权限;监控境外服务器大量下发 PowerShell 恶意载荷的网络流量,冻结服务器实例。

匿名邮件投递 IP 黑名单:云邮件服务商汇总 Storm-1865 投递服务器 IP,全域加入黑名单,阻断团伙多语种钓鱼邮件批量分发通道。

4.4 欧亚跨境政企联合情报与执法协同

该团伙跨欧洲、亚洲多国开展攻击,单一国家企业、监管机构无法独立完成全链条打击,需搭建跨境协同机制:

政企常态化情报互通:欧亚各国文旅协会、酒店联盟联合微软、CyberNews 等安全厂商建立共享情报平台,同步更新 Storm-1865 恶意域名、邮件模板、木马哈希、团伙通讯标识,各国酒店、云服务商同步部署拦截规则。

跨境网络犯罪司法协作:受害酒店所在国家司法机关依托双边网络犯罪条约,向团伙服务器、核心运营人员所在国家提交取证、抓捕请求,针对 Storm-1865 专业化黑产开展跨境刑事追责,形成法律威慑。

行业统一安全标准制定:欧亚文旅监管机构出台酒店行业网络安全最低基线,强制要求中小型酒店部署邮件语义检测、终端进程审计工具,定期开展定向钓鱼安全巡检,从行业规范层面缩小安全短板。

5 结论与研究展望

5.1 核心研究结论

本文以 CyberNews 披露的 Storm-1865 欧亚酒店 ClickFix 钓鱼专项报道为核心实证素材,结合微软官方威胁情报完成全链条攻防研究,形成四项核心客观结论:

第一,专业化黑产团伙已完成行业定向钓鱼的精细化运营,Storm-1865 针对欧亚酒店经营痛点、多语种区域特征定制 ClickFix 交互式社工诱饵,依托第三方转发域名、多层跳转基础设施、系统原生进程三重规避手段,全面突破传统基于关键词、特征码的安全防护体系,酒店住宿行业已成为新型社工钓鱼的高频受害领域。

第二,ClickFix 攻击的核心技术漏洞在于传统安全设备忽略页面剪贴板后台操作、信任系统原生进程调用,仅依靠邮件网关、终端杀毒无法形成有效拦截,必须构建 “多语种语义邮件检测 + 网页剪贴板行为监控 + 终端高危进程审计” 三层融合检测框架,配套轻量化可落地代码实现全链路风险阻断。

第三,欧亚中小酒店普遍存在安全运维资源不足、员工行业场景反诈意识薄弱、内网网段无隔离管控的共性短板,定向钓鱼攻击成功率显著高于其他行业,单纯依靠技术工具无法解决底层安全管理缺失问题,需同步完善岗位培训、终端标准化、内网访问限制等内部管控机制。

第四,对抗跨区域专业化酒店钓鱼黑产不能仅依靠酒店单方防护,必须搭建酒店、旅游预订平台、云基础设施服务商、跨境政企情报机构四方协同治理闭环,从诱饵分发、站点承载、载荷投递、犯罪追责全链条压缩黑产生存空间。

反网络钓鱼技术专家芦笛总结,Storm-1865 攻击活动反映出网络钓鱼的演化趋势:黑产逐步放弃简单静态诱饵,转向依托人机交互、系统可信程序的隐蔽式社工攻击,细分行业定向作战将成为主流,文旅住宿、零售等对外交互频繁的服务行业,需要建立适配自身业务场景的专属安全检测体系,通用型反诈防护方案无法匹配细分行业攻击特征。

5.2 研究局限与后续拓展方向

本文存在两处客观研究局限:其一,CyberNews 公开报道未披露 Storm-1865 团伙核心人员身份、完整资金流转链路,无法完成跨境黑产洗钱链条的完整实证分析;其二,本文检测代码仅覆盖邮件、终端进程两大攻击环节,未针对移动端酒店前台 APP 钓鱼、短信辅助钓鱼场景拓展检测模型。

基于现有研究成果,后续可从三个维度深化拓展:

多模态仿冒预订平台钓鱼检测研究,融合图片视觉比对、邮件文本语义、URL 流量特征构建一体化检测模型;

文旅行业跨境网络钓鱼司法管辖权对比研究,梳理欧亚各国针对定向社工诈骗的法律规制差异;

面向酒店前台移动端设备的轻量化钓鱼检测工具开发,覆盖手机端处理预订邮件、客诉消息的攻击场景。

5.3 行业客观启示

线上旅游数字化转型推动酒店经营效率提升,但同步放大定向网络钓鱼的安全风险,Storm-1865 团伙持续 14 个月的跨区域攻击证明,黑产会持续挖掘细分行业业务流程中的安全漏洞。对于欧亚酒店行业而言,安全防护不能照搬金融、互联网企业的重型解决方案,需结合自身成本、人员、终端条件部署轻量化、场景化检测工具;线上预订平台、云服务商需主动承担源头风控责任,通过域名、流量、邮件三层基础设施拦截减少诱饵传播;各国文旅监管、网络安全机构需推进跨境情报共享与司法协作,形成技术、管理、行业规范、法律惩戒协同的长效反诈机制。酒店前台、财务等一线员工作为安全防护末梢,针对性场景反诈培训是降低攻击成功率不可替代的基础环节,技术工具与人员安全意识建设缺一不可。

编辑:芦笛(公共互联网反网络钓鱼工作组)

目录
相关文章
|
5天前
|
人工智能 JSON 自然语言处理
让教学更智慧:用阿里云百炼工作流,自动生成中小学教材内容#小有可为#有温度的AI
通过可视化工作流编排,将大模型推理能力转化为标准化的教学内容生成引擎。教师只需输入教材标题和适用学段,即可自动获得结构完整、符合课程标准的章节内容,大幅降低备课门槛,助力教育资源均衡化。
462 123
|
7天前
|
人工智能 定位技术 SEO
我学 GEO 第 15 天:终于知道AI GEO该如何做?
我是暴走的莉莉酱,边旅行边研究AI GEO的数字游民。专注普通人如何提升“AI可见度”——让AI在回答用户问题时准确识别、理解并推荐你。不讲玄学,只做可测、可调、可持续的GEO实践。
443 127
|
10天前
|
机器学习/深度学习 人工智能 调度
🐴 HappyHorse 1.1 现已上线阿里云百炼!快来查收模型使用指南,现在调用享 6 折~
HappyHorse 1.1 是新一代视频生成大模型,全面升级动态表现力、角色一致性、指令遵循、视觉质感与音画协同能力。支持I2V/T2V/R2V三类生成,适配短剧、电商广告、品牌营销等场景,提供高质、流畅、可控的AI视频生产力。
750 5
🐴 HappyHorse 1.1 现已上线阿里云百炼!快来查收模型使用指南,现在调用享 6 折~
|
1天前
|
消息中间件 存储 Kafka
Kafka 原生消息入湖能力上线!一键打通实时流与数据湖
阿里云消息队列 Kafka 版正式上线原生消息入湖能力。
213 121
|
1天前
|
人工智能 安全 Cloud Native
Higress 新发布:AI Gateway 能力增强,Gateway API 及其推理扩展持续打磨
增强 AI 网关能力,持续打磨 Gateway API 及其推理扩展。
247 122
|
7天前
|
缓存 人工智能 运维
阿里云618百炼大模型Qwen3.7-Max功能、免费试用、订阅计费、配置接入详解
Qwen3.7-MAX是阿里云百炼平台推出的通义千问3.7系列旗舰大语言模型,专为智能体时代复杂任务打造,依托阿里云全域算力与自研技术,在逻辑推理、长文本处理、代码工程、长周期自主执行等领域达到行业顶尖水平。2026年618期间,该模型推出多重免费试用权益、按量计费5折、订阅套餐优惠等专属福利,覆盖个人开发者、团队与企业全场景需求,以下从核心功能、免费试用、订阅计费、配置接入四方面展开详细解析。
445 123
|
5天前
|
人工智能 自然语言处理 API
阿里云Token Plan团队版解析:功能、三档套餐与省钱订阅指南
阿里云百炼平台推出的Token Plan团队版,是面向企业与团队的AI大模型订阅服务,以Credits为统一计量单位,整合文本与图像生成模型,提供团队管理、数据安全、多工具兼容等核心能力,解决团队零散订阅AI服务的管理混乱、成本失控、数据安全等痛点。本文将从核心定位、套餐详情、计费规则、团队管理、工具兼容、便宜订阅技巧等方面,全面解析Token Plan团队版,帮助企业与团队高效、低成本地使用AI服务。
327 108
|
15天前
|
Linux 程序员 数据格式
【2026最新】Notepad++下载、安装和使用一篇搞定(附中文版安装包)
Notepad++ 是一款免费开源、轻量高效的 Windows 文本编辑器,支持 C/Python/HTML 等 80+ 语言语法高亮、代码折叠、正则替换、编码转换及插件扩展,专为程序员与文本处理用户打造,完美替代系统记事本。(239字)