• 新聞來源： 綜合資安威脅情資

• 威脅對象： 近期有旅遊規畫或使用訂房平台之教職員生

1. 它是怎麼發生的？

想像您在辦公室收到一個「學校專用公文袋」，裡面放著一份關於您之前採購案件的補件通知，要求您再次掃描信用卡正反面。因為這個袋子是學校官方的，您通常不會懷疑。現在的詐騙手法正是如此：駭客攻破飯店端的管理後台，直接利用訂房平台的「官方聊天室」傳送訊息。因為對話發生在官方 App 內部，這種「假傳聖旨」的方式讓許多警覺性高的同仁也容易放下戒心。

2. 漏洞嚴重性

這類威脅最危險的地方在於它破壞了「信任鏈」。當攻擊者成功滲透進受託管理的後台時，所有的防護軟體都難以偵測。這反映出我們對資料處理權限與來源驗證的重要性：如果我們過度依賴單一平台的通訊紀錄，一旦該節點失守，您留在平台上的所有個人敏感資訊都將成為駭客精準打擊的素材。這種損失不只是金錢，更涉及個人隱私資產的全面曝露。

3. 簡單三招，保命守則

• 第一招：警惕 App 內的「外部連結」 即便是在官方 App 對話框內，只要對方要求點擊「外部分流網址」進行付款或確認資料，請一律視為風險連結。建議直接撥打飯店官網電話，而非透過 App 對話框確認。

• 第二招：落實「雙重驗證」的帳號保護 對於所有金融與訂房平台，務必開啟兩步驟驗證（2FA）。這能確保即便您的帳號密碼外洩，駭客也無法輕易登入您的後台讀取資料或變更設定。

• 第三招：建立「資料暴露最小化」習慣 完成旅程或公務採購後，建議移除存放在平台上的信用卡資訊與身分證件圖檔。縮短這些資產在網路上的「存放時間」，就是降低風險最徹底的做法。