Agoda嚴謹對待合作夥伴和顧客資料的安全。我們重視合作夥伴和顧客對我們的信賴和信用,並致力保障其資料和私隱。因此,Agoda運用最先進的技術監控、偵察和封鎖潛在的可疑活動。
我們觀察到有針對性的詐騙電郵和惡意軟件攻擊我們的住宿合作夥伴。雖然該安全漏洞並非發生在Agoda平台,我們的後台系統和基建亦沒有受到損害,但我們部分住宿夥伴受到了影響。隨著網絡攻擊手段變得精密,請遵從簡單有效的方法減低風險,避免成為針對住宿平台的網絡騙案和詐騙的目標。
在下方文章中,你會認識如何保護你的住宿和住客,避免受資安威脅者 (即透過網絡詐騙、勒索軟體或惡意軟件並利用電腦系統漏洞的人) 的網絡攻擊。
目前影響旅遊業及其他行業的詐騙是甚麼?
最新的網絡攻擊透過安裝間諜軟件,損害住宿的資訊科技基礎設施。然後,資安威脅者會竊取住宿的登入資訊以存取其他平台,並偽裝成該住宿來發送欺詐電郵連結來詐騙客戶以勒索金錢。
資安威脅者如何進行網絡攻擊?
- 住宿收到來自資安威脅者的虛假預訂 (透過值得信賴的合作夥伴或直接預訂) 。
- 資安威脅者利用此虛假預訂作為掩護來聯絡住宿,發送包含惡意連結的訊息。
- 當住宿點擊此連接時,惡意軟件就會自動下載到住宿的IT系統。該惡意軟件是一種間諜軟件,會記錄和竊取住宿的登入資訊,包括可存取Agoda (或任何其他第三方) 的訊息平台以及YCS系統的登入資訊。
- 資安威脅者使用竊取的登入資訊存取第三方 (例如 Agoda) 的訊息平台,並充當住宿來聯絡已預訂該住宿的客人。
- 資安威脅者利用第三方訊息平台向預訂的客人發送訊息,要求他們點擊惡意連結並提供付款資料,並常用威脅的方式,告訴客人若不使用該惡意連結付款,就會取消預訂。
- 當客人點擊惡意連結時,他們會登陸一個假扮Agoda或第三方網站的虛假網站。
若客人透過惡意連結提供付款資料,資安威脅者就可以存取該資料並利用其進行欺詐交易,欺騙客人。
- 作為住宿經營者,你可能沒有意識到這些情況正在發生。由於這些交易並不是在Agoda平台上進行,因此我們也沒有實際目擊這些情況。我們只是在客人聯絡我們的客服團隊時才知道有關情況。
如何保護你的住宿及住客資料?
- 提高警覺,並教育你的團隊成員了解詐騙或網絡威脅 ,以保障業務運作正常。
- 在你的IT系統上安裝並執行最新的防毒掃描軟件。
- 在手機而不是電腦上啟用YCS多重身份驗證 (MFA)。因為當資安威脅者控制了你的電腦,他們也能夠找到發送到你電郵信箱的OTP (即作確認的密碼)。但是,如果OTP是發送到你的手機,資安威脅者就無法取得該OTP,從而進一步阻止他們存取YCS平台。
- 如果你收到可疑訊息或電郵,請勿點擊任何連結或下載任何附件。最近的偽冒電郵主題包括:
- 住客投訴住宿造成過敏
- 住客因涉嫌歧視而威脅提出訴訟
- 住客聲稱對輪椅使用者存在歧視
或者客人想尋找住宿的實際位置,指因為年紀老邁需要幫助。雖然以上都會是真實客人發出的訊息主題,但主要差別在於,這些「客人」會在解釋有關情況後要求住宿從Google Drive、Mega Dot NZ或Dropbox等常見雲端系統,下載並開啟.zip或.rar格式檔案。
- 如果你懷疑住宿收到詐騙訊息,請直接聯絡你的Agoda客戶經理
如受詐騙或網絡騙局影響,該怎麼解決?
我們強烈建議你採取所有相關措施,保護你的Agoda帳戶資料。但是,如果你的帳戶已遭洩漏,我們建議:
- 透過你的Agoda客戶經理通知Agoda
- 重設你的電郵密碼和Agoda帳號密碼
- 避免在多個帳戶使用相同的密碼
- 在你的不同系統上執行病毒/惡意軟件掃描
- 確保你的帳戶不會發送偽冒或垃圾郵件
如果我們偵測到你有異常登入活動,或/以及不尋常地使用我們的訊息平台,我們將重設你的密碼並暫時禁止你存取YCS平台作為預防措施。我們會在收到你的確認後,恢復你的存取權限。
如發現VCC/UPC卡被他人使用,該怎麼辦?
- 正如「資安威脅者如何進行網絡攻擊?」一節所述,當資安威脅者成功登入住宿的YCS 帳戶,他們可能會使用帳戶中的VCC/UPC卡向欺詐商家付款。
- 結果導致住宿試圖從VCC/UPC卡扣款時,卻因為資金不足而導致交易失敗。
- 如果你發現VCC/UPC卡被他人使用,請按照「如受詐騙或網絡騙局影響,該怎麼解決?」一節所列的步驟操作,並聯絡你的市場經理。
常見問答
是,你應通知你的客人。
根據相關資料私隱法,並根據你與Agoda的合約義務 (請參閱最新的資料保護附錄),你有責任管理PII (個人識別資訊) 事件 (如果安全事件源自或與你或你的軟件或業務合作夥伴、承判商或代理商對PII的處理和/或違反Agoda條款和細則) 。
因此,在這種情況下,我們相信你將履行作為獨立資料控制者的有關適用私隱法的義務。
當Agoda發現我們的合作夥伴UPC出現未經授權的收款時,Agoda將嘗試發起還款以撤銷UPC下的交易。對於每次提出的還款申請,Agoda都必須遵循Mastercard規定中列出的流程和時間表,因此我們無法控制處理的時間。提出還款申請後,商家 (在本案件中為網絡攻擊者) 可能會對還款提出異議並提供該方的證明文件,這會進一步提高案件的複雜性並可能導致整個流程延遲。如果Agoda在第一階段成功取得款項,還款流程將在45天內完成。如果Agoda在第一階段中無法取回款項,Agoda將會根據商家提交的證據,可能向Mastercard提出預先仲裁,而此舉將會進入還款流程的第二階段。在我們知道還款結果之前,此階段將需時長達120天。因此,雖然我們會竭盡所能地協助我們的合作夥伴取回其UPC卡下的扣款,但還款流程複雜,並且很大程度上超出Agoda的控制範圍。
雖然我們會竭盡所能協助我們的合作夥伴取回其UPC卡下的扣款,但我們無法保證還款結果,因為商家 (在本案件中為網絡攻擊者) 可能會對還款提出異議並提供其證明文件,這會進一步提高案件的複雜性,並可能影響還款結果。由於我們的合作夥伴需對其UPC卡的所有使用負責,包括未經授權的費用,因此很遺憾地我們的合作夥伴將需要承擔與未經授權費用相關的損失。
根據Mastercard規定,如果我們合作夥伴的UPC卡 是由啟用了3D安全身份驗證的商家收取,Agoda將無法成功為合作夥伴提出還款申請 (即本案情況)。
住宿內部員工詐騙的可能性的確存在。當Agoda偵測到我們合作夥伴UPC進行了可疑交易,Agoda將調查交易資料並尋找可能的詐騙跡象。如果Agoda發現住宿員工或外部人士有任何詐騙跡象,Agoda將通知合作夥伴。我們可以確認的是,最近Agoda和住宿發現的案件都與外部人士有關,而非住宿內部詐騙。因此,請保持警覺,並只向少量員工提供UPC卡詳細資訊的存取權限,務求最大程度降低內部詐騙的風險。請參閱這篇文章以了解如何保障YCS和UPC的安全。
我們留意到針對酒店行業的詐騙電郵和惡意軟件攻擊愈來愈多。我們相信部分合作夥伴已成為攻擊目標,根據我們持續的保安監察系統顯示,我們了解到攻擊者的犯罪意圖是透過向合作夥伴傳送詐騙電郵,試圖以惡意軟件控制住宿的電腦系統。在某些情況下,這些「不法分子」成功冒充我們的合作夥伴並透過電郵或其他通訊方式與住客溝通。透過這些網絡攻擊,攻擊者更獲取我們合作夥伴的 YCS存取權限並對其UPC進行收款。
請參閱第7條問題的回覆。
很遺憾的是,Agoda無法阻止發生在合作夥伴的惡意軟件和網絡釣魚的攻擊。不過,Agoda正在尋找加強UPC和YCS保安的方法 – 更多細節將會公佈。同時,我們建議合作夥伴提高網上安全意識,並採取本文中重點列出的步驟來保護住宿和住客的資料。
Agoda非常重視我們合作夥伴和客人資料的安全。最重要的是,誠信是我們經營業務的核心價值。Agoda不會做任何有損我們與合作夥伴和客戶關係的行為。
我們建議在用於登入你YCS帳戶的所有電腦上執行最新的惡意軟件和病毒掃描。如果有不止一個YCS用戶,則其中一位用戶可能點擊了惡意連接,導致合作夥伴的YCS帳號密碼被盜取。
聯絡我們
還是需要我們協助解決疑難?你可透過YCS的「需要幫手?」按鈕,或以其他方式聯絡我們。
Was this article helpful?
%
%
感謝您的意見!