随着高考落幕,2026年暑期旅游旺季正式开启。第三方数据显示,今年暑期国内游报名人数较去年同期增长323%,整体出游人次同比上涨37%,高考结束后毕业旅行需求迎来集中释放,出游高峰将持续至7月上旬。与此同时,出境游市场同样火热,2026年预计出境游旅客规模将突破2.2亿人次,欧洲、东南亚、北美等热门目的地预订量全线走高。数以亿计的旅行者正在密集搜索、比价、预订,这是全年最大规模的人口流动窗口之一。
然而,每一个旅游旺季的背后,都有另一批人在精心备战——网络犯罪分子。
攻击量三年翻倍,旅游行业成定向猎场
Check Point Research的监测数据显示,2026年5月,酒店、旅游及休闲行业每家机构平均每周遭受2,291次网络攻击,同比增长24%。作为参照,同期全行业全球同比增幅仅为2%。该行业的攻击量自2023年5月以来已翻逾一倍,三年累计增幅高达122%。
这并非整体网络犯罪的自然上升所波及旅游行业,而是一场蓄意的、季节性的定向攻击。旅游旺季中,用户集中处理个人与财务信息,注意力分散、行程紧迫、急于抢占好价格——这些特点共同构成了攻击者精心选择的目标条件。
近5万个钓鱼域名正在候场
仅在2026年5月,就有47,318个新注册的旅行相关域名涌现,环比4月增长33%,同比去年5月增长19%。在这些域名中,每112个就有1个已被认定为恶意或可疑。更多域名目前仍处于休眠状态,等待暑期流量高峰到来时激活启用。大规模的钓鱼旅行基础设施,已在旅行者开始搜索之前就部署完毕。
中文旅行者也成为目标
2026年出境游旅客规模预计突破2.2亿人次,日本、泰国、韩国、欧洲等目的地是中国旅行者的热门选择,而这些恰好是Booking.com的核心覆盖范围。Check Point Research发现,攻击者对此心知肚明。
一个协同攻击活动专门针对中文旅行者,以本地化版本的Booking.com界面为诱饵,包含人民币定价和配合预订高峰推出的"年中暑期特惠"横幅。同一攻击者同时运营多个变体域名,形成完整的中文钓鱼矩阵,覆盖简体中文、繁体中文及日文用户。这不是粗糙的批量撒网,而是经过本地化定制、专门针对中国出境游旅行者的精准攻击。
Airbnb和Skyscanner(天巡)的仿冒网站同样已在线运行。一个以加拿大为主题的伪造Airbnb网站,以落基山脉风景图和主要城市的房源列表为诱饵,专门针对出境游用户。多个以Skyscanner为名的伪造网站则展示马来西亚度假村的"预售价"优惠,引导用户支付定金,而这些资金根本不会进入任何真实的预订流程。
出行前,这些习惯能有效降低风险
面对这些高度仿真的钓鱼网站,技术层面的识别越来越困难,但一些简单的使用习惯能够显著降低风险。
预订时直接在浏览器地址栏手动输入官方链接,而非点击邮件、短信或广告中的链接,是最直接有效的防护方式。在输入任何账号或支付信息之前,仔细核查完整域名——攻击者依赖的正是用户对一两个字母差异的忽视。对于价格异常低廉或带有强烈紧迫感的促销信息,保持适度警惕,因为这种压迫感通常是人为制造的。出境游用户建议优先使用信用卡而非借记卡完成预订,信用卡提供更强的欺诈保护和更便捷的争议处理机制。常用旅行平台账户开启双重身份验证,同样是一道不可忽视的基础防线。
旅行网络安全威胁遵循可预测的季节性规律。攻击者围绕暑期旺季提前布局的细致程度,并不亚于任何一家旅游平台。在出行计划已经启动的当下,安全意识也应同步进入旅行准备清单。
