Agoda秉持嚴謹的態度對待合作夥伴和顧客的資料安全。我們重視住宿合作夥伴和顧客的信任和忠誠度,並致力於保護他們的資料和隱私。因此,Agoda採用業界領先的技術,監控、偵測並阻止潛在的可疑活動。
我們觀察到,針對一些住宿合作夥伴的網路釣魚郵件和惡意軟體攻擊的可疑活動。儘管安全漏洞並非發生在Agoda平台上,我們的後端系統和基礎架構亦無受到損害,但我們的一些住宿合作夥伴卻因此受到影響。隨著網路攻擊越趨複雜,採取簡單的最佳作法有助於降低網路攻擊風險,免於成為針對住宿平台網路詐騙和欺詐的受害對象。
以下文章將帶您了解,如何保護您的住宿和顧客免受「資安威脅者」(即透過網路釣魚、勒索軟體或惡意攻擊電腦系統漏洞的不法人士)的網路攻擊。
目前影響旅遊業及其他產業的欺詐行為是什麼?
最新的網路攻擊是透過安裝間諜軟體,侵害住宿的IT基礎架構。 接著,資安威脅者會竊取住宿的密碼憑證,存取其他平台,並偽裝成住宿,透過發送網路釣魚連結對顧客敲詐金錢。
資安威脅者如何進行網路攻擊?
- 住宿收到來自資安威脅者的虛假訂單(透過可靠的合作夥伴或直接預訂)。
- 資安威脅者利用此虛假訂單作為掩護,聯絡住宿並發送包含惡意連結的訊息。
- 如果住宿點擊此連結,惡意軟體便會自動下載到住宿的IT系統。 該惡意間諜軟體會記錄並竊取住宿的密碼憑證,包括存取Agoda(或任何其他第三方)通訊平台和YCS系統的憑證。
- 資安威脅者使用竊取的憑證存取第三方(例如Agoda)的通訊平台,並冒充住宿聯絡已預訂該住宿的顧客。
- 資安威脅者利用第三方通訊平台向預訂的顧客發送訊息,要求他們點擊惡意連結並提供付款資訊,且經常威脅對方若不使用惡意連結付款,就會取消預訂。
- 當顧客點擊惡意連結時,他們會進入到仿照Agoda或第三方網站的假網站。
- 如果顧客透過這些惡意連結提供付款資訊,資安威脅者便可以存取該資訊並利用其進行欺詐交易,進而詐騙顧客。
- 請注意,作為住宿經營者,您可能還未意識到諸如此類的情況正在發生。 由於這些交易並非在Agoda平台上進行,因此我們也無法察覺, 只有在顧客聯絡我們的客服團隊時,才知道發生了這種情況。
如何保護您的住宿和顧客的資訊安全?
- 保持警惕並讓您的團隊成員了解有關這些詐騙/網路威脅,有助於保護您的業務。
- 在您的IT系統上安裝運行最新的防毒掃描軟體。
- 在手機而非電腦上啟用YCS多重身分驗證 (MFA)。 如果資安威脅者控制了您的電腦,他們也能夠取得發送到您電子郵件的OTP(確認密碼); 但如果OTP發送到您的手機,資安威脅者便無法取得OTP,進一步阻止其存取YCS平台。
- 如果您收到可疑的訊息或電子郵件,請勿點擊任何連結或下載任何附件。 近期的網路釣魚郵件內容包括:
- 顧客抱怨住宿導致其過敏
- 顧客因涉嫌歧視而威脅提起訴訟
- 顧客聲稱住宿歧視輪椅使用者
- 顧客想尋找住宿的實際位置,聲稱因為其年老需要幫助。 雖然這些訊息也可能是來自合法預訂的顧客,但主要區別在於,在說明了相關情況後,「假顧客」會要求住宿從 Google Drive、Mega Dot NZ、Dropbox等常見雲端服務提供商下載並開啟.zip或.rar檔案。
- 如果您懷疑您的住宿收到了詐騙訊息,請直接聯絡您的Agoda業務經理。
若您受到相關欺詐/網路竊盜的影響,您應如何應對?
我們強烈建議您採取一切相關措施以保護您的Agoda帳號資訊。 然而,如果您的帳號資訊遭到洩漏,我們建議您:
- 透過您的Agoda業務經理通知Agoda
- 重設您的電子郵件密碼和Agoda帳號密碼
- 避免多個帳號使用相同的密碼
- 在您的系統上進行病毒/惡意軟體掃描
- 確保您的帳號不會發送網路釣魚和/或垃圾郵件
如果我們偵測到您的登入嘗試次數和/或使用我們訊息平台有異常的模式,作為預防措施,我們將重設您的密碼並暫時禁止您存取YCS平台。 收到您的確認後,我們將恢復您的存取權限。
如果發現我的VCC/UPC卡被盜用該怎麼辦?
- 正如「資安威脅者如何進行網路攻擊?」一文中所述,一旦威脅者設法進入住宿的YCS帳戶,他們可能會使用這些帳戶中的VCC/UPC卡付款以詐騙商家。
- 因此,當住宿嘗試向VCC/UPC卡扣款時,交易就會因款項不足而失敗。
- 如果您發現您的VCC/UPC卡被盜用,請按照「若您受到相關欺詐/網路竊盜的影響,您應如何應對?」文中所列的步驟進行操作,並聯絡您的業務經理。
常見問答
是的,您應該通知您的顧客。
根據相關資料隱私法,並根據您與Agoda的合約義務(請參閱最新的資料保護補充條款),您有責任義務管理PII(個人識別資訊)事件(如果安全事件是因您、您的軟體或業務合作夥伴、分包商或代理商對PII的處理,和/或違反Agoda條款與規範使用或存取Agoda系統而引起或與之相關)。
因此,我們需要您,於此情況下履行作為獨立資料控制者對於相關適用隱私法的義務。
當Agoda發現合作夥伴的UPC出現未授權扣款時,Agoda會嘗試啟動退款程序來解除UPC的交易。每次發起退款要求時,Agoda都必須遵循萬事達卡規定的流程和時程,因此無法自行控制時程。在提交退款申請後,商家(在此案例中為網路攻擊者)可能會提出爭議並提供證明文件,這將增加程序的復雜性和可能的延遲。如果Agoda在第一階段贏得退款,則退款流程將在45天內結束。如果Agoda在第一階段未能達成退款,則根據商家提出的證據,Agoda可能會向萬事達卡申請預仲裁,並進入退款流程的第二階段,這一階段最長需120天以確定結果。因此,雖然我們正盡力協助合作夥伴收回他們UPC下的款項,但退款過程複雜,且大多不在Agoda的控制範圍內。
請參閱問題2的解答。
雖然我們正在盡力協助合作夥伴收回他們UPC下的款項,但無法保證退款結果。因為商家(在此案例中即為網路攻擊者)可能會對退款提出爭議,這會增加退款過程的複雜性和可能的延遲,並影響退款的最終結果。由於我們的合作夥伴需要對他們所有的UPC使用情況負責,包括未經授權的扣款,因此很抱歉,合作夥伴必須承擔其UPC下未經授權扣款所帶來的損失。
根據萬事達卡規則,如果我們合作夥伴的UPC是由啟用3D安全身分驗證的商家所收取,那麼Agoda將無法向合作夥伴提出退款申請(本案例即為此情況)。
飯店內部員工欺詐行為的可能性始終存在。當Agoda調查到合作夥伴的UPC有可疑交易時,Agoda將會調查交易數據,並尋找可能的欺詐跡象。如果Agoda發現飯店員工或外部行為者有任何欺詐跡象,Agoda將會通知合作夥伴。我們可以確認Agoda和飯店調查到的近期案件,都與外部行為者有關,而非飯店內部的欺詐行為。因此,我們建議您保持警覺,僅將UPC的詳細資料授予少數員工,以減低內部欺詐的風險。請參閱本文,以了解有關「如何確保YCS和UPC安全」的更多資訊。
我們觀察到,針對住宿產業的網路釣魚郵件和惡意軟體攻擊日益增加。我們認為一些合作夥伴已成為攻擊目標。透過持續的安全監控,我們發現這些合作夥伴收到了網路攻擊者發送的釣魚郵件,攻擊者意圖利用惡意軟體侵入當地電腦系統。在某些情況下,這些「惡意人士」能夠藉此偽裝成我們的合作夥伴,透過郵件或其他通訊管道與他們的住客進行交流。透過這些網路攻擊,攻擊者甚至還能取得我們合作夥伴的YCS權限,並對其UPC進行扣款。
請參閱問題7的解答。
不幸的是,Agoda無法阻止發生在合作夥伴方的惡意軟體和網路釣魚攻擊。不過,Agoda正在研究加強UPC和YCS安全性的方法—更多詳情將在近期公布。同時,我們建議您提升網路安全意識,並依照本文建議的安全措施來保護您和顧客的資料。
Agoda秉持嚴謹的態度對待我們的合作夥伴和顧客的資料安全。最重要的是,誠信是我們經營業務的關鍵。Agoda不會做任何有損我們與合作夥伴和顧客關係的事情。
我們建議對所有用來登入YCS帳戶的電腦,進行最新的惡意軟體和病毒掃描。若YCS有多位用戶,可能某位用戶點擊了惡意連結,進而導致合作夥伴的YCS憑證遭竊。
聯絡我們
需要其他解決方案嗎? 透過YCS的「小幫手」按鈕或以其他方式聯絡我們。
這篇文章對您有幫助嗎?
%
%
感謝你分享對這篇評鑑的看法!