隨著網路釣魚技術不斷演進，駭客的詐騙手法也變得更加精密。近期，資安界發現一波針對全球知名訂房平台 Booking.com 用戶的惡意攻擊，其核心手法是利用一個不起眼的 Unicode 字元，創造出足以以假亂真的釣魚連結。這起事件再次提醒我們，網路世界的每一個細節都可能成為駭客的攻擊武器，消費者必須時刻保持警惕。

這場釣魚活動的技術細節，是由資安研究員 JAMESWT 所揭露。駭客利用了日文平假名「ん」（Unicode U+3093）這個字元。在某些字體顯示下，這個字元的外觀與英文字母「n」或是一個正斜線「/」極為相似。駭客正是利用這種視覺上的混淆，將 Booking.com 的官方網址（例如 booking.com/account）偽裝成一個看似正常的子目錄，但實際上，連結的網址卻是惡意的，例如 www-account-booking[.]com。由於這個日文字元的隱藏性，許多使用者在瀏覽器上看到網址時，會誤以為自己仍在 Booking.com 的官方網頁上，從而放下戒心。

這類利用視覺相似字元進行欺騙的攻擊，在資安領域被稱為「同形異義字攻擊」（Homograph Attack）。同形異義字（Homoglyph）指的是外觀相似但屬於不同字元集的文字，駭客正是利用這些字元來創造欺騙性的網址或郵件內容。這種手法的成功率很高，因為大多數使用者習慣於快速掃視網址，而非逐字檢查。當他們看到一個包含「booking.com」字樣且看似結構正常的網址時，很容易就會點擊。

這波釣魚攻擊通常是透過釣魚電子郵件發送。駭客會精心設計郵件內容，使其看起來像是 Booking.com 官方發出的通知，例如「您的訂單已更新」、「請確認您的付款資訊」等，誘使受害者點擊郵件中的連結。一旦使用者點擊這個看似無害的連結，便會被導向一個惡意的 MSI 安裝程式。這個安裝程式會隨後在受害者的電腦中植入更惡劣的惡意酬載，例如竊取資訊的木馬（infostealers）或遠端存取木馬（RAT），這些惡意軟體能夠遠端監控使用者的電腦活動，竊取儲存在瀏覽器中的密碼、信用卡資訊等敏感資料，甚至完全控制受害者的電腦。

值得一提的是，這類同形異義字攻擊並非 Booking.com 獨有。文章中也提及，駭客曾利用類似手法，將「Intuit」中的「i」替換為小寫的「L」，來建立一個看似合理的釣魚網址。這顯示駭客在進行社交工程攻擊時，對於字體排版與視覺心理學的運用越來越高明，使得傳統的防範措施變得更具挑戰性。

為了應對這類新型態的釣魚詐騙，使用者必須養成更謹慎的網路使用習慣。首先，當收到任何聲稱來自官方機構的電子郵件，特別是涉及個人資料或付款資訊的信件時，切勿直接點擊信中的連結。正確的做法應該是手動在瀏覽器中輸入官方網址，或從官方應用程式登入帳號進行確認。其次，在點擊任何連結前，務必將滑鼠游標停留在連結上，檢查其真實的目標網址。特別要注意網址的右側，因為那才是真正的註冊網域名稱。此外，定期更新作業系統和瀏覽器，並安裝可靠的端點安全防護軟體，也能有效抵禦這類攻擊。這些軟體能夠在惡意軟體被下載前就予以攔截，提供額外的防護。

資料來源：https://www.bleepingcomputer.com/news/security/bookingcom-phishing-campaign-uses-sneaky-character-to-trick-you/