民航系統公安局去年10月開始了一輪“打擊防范非法侵入民航信息系統犯罪”專項行動,能否深入、持續地打擊民航系統內倒賣信息的頑疾,從源頭上終結信息泄露,關系著整個行業的安全和聲譽。另外,利用南航、東航、國航平臺進行短信詐騙者的案例明顯增多,這些國內主要航空公司亦有責任持續加大警示提醒力度,以降低消費者遭遇詐騙的風險。
每年暑期開始的三個多月都是航空公司旺季,最近幾年則成為了短信詐騙者狂歡旺季。
8月以來,機票退改簽詐騙再一次呈現高發態勢.21世紀經濟報道記者多次接到各種投訴,不斷有乘客在出行前不久接到航班被取消的短信,被要求與“客服”聯系進行退改簽,涉及南航、東航、國航最多。
從2013年下半年開始,機票退改簽詐騙突然爆發,甚至搶走了冒充國家工作人員、冒充電信運營商官方等傳統詐騙方式的風頭,在龐大的電信騙局體系里自成一派,受害者遍布全國。21世紀經濟報道記者此前曾經多次對航班短信詐騙做過報道,然而幾年時間過去了,這類詐騙并未銷聲匿跡。
在此期間,全國多地警方破獲了多起此類案件,其中不少數額已經達到特大詐騙案件的級別。綜合來看詐騙者獲得的乘客信息都是從網上購得,而泄露乘客個人信息的渠道卻較為復雜。
對此航空公司、OTA、票代、中航信等相關方各有說法。如何消除這一依附民航業而生的頑疾?各方仍在見招拆招。
多個渠道泄露乘客信息
機票退改簽詐騙再次進入高發期。
由于信息完善,且詐騙短信往往是在航班起飛前一兩天,甚至起飛前兩三個小時發送,不少收到短信的乘客都信以為真。根據這些乘客的描述,詐騙者不僅知道其航班號、座位號碼,還知道其手機號碼、身份證等個人證件信息。記者曾經采訪過一個案例:一位在大陸居住的臺胞接通所謂“客服”電話后,對方甚至準確地報出了其臺胞證的號碼。
這些信息到底是從什么渠道泄露而出?乘客首先想到的是訂票方,一是航空公司的官網、APP、官方熱線電話,二是攜程、去哪兒等OTA。
不過從記者搜集的情況來看,機票退改簽詐騙現身以來,國內絕大多數航空公司的乘客都有遭遇過,在去哪兒、攜程等不同的OTA購票也都出現過有乘客中招,理論上并非單獨某一家航空公司或者OTA的信息泄露。
事實上,無論乘客是在哪一渠道訂票,其訂票信息都會匯總至中航信的系統。國內僅有春秋航空(107.97,-0.30,-0.28%)、九元航空等低成本航空選擇自建訂座系統,而至今這兩家航空幾乎沒有出現過遭遇短信詐騙的乘客案例,因此外界一直質疑中航信的系統可能存在安全隱患。
中航信系統之前也曾經面臨過濫用。曾經有大量未獲得中航協資質的黑票代利用技術手段外掛到中航信的B系統,抓取訂座系統的信息。為此中航信曾經大力進行過清理,但至今黑票代并未完全杜絕。
航空公司或者票代的網站也同樣存在隱患。國航、東航、南航等航空公司的網站都曾被曝出漏洞,攜程此前也曾被指出安全漏洞。各家航空公司和OTA官方都一一做出解釋,并強調并沒有乘客信息泄露。
相比航空公司、OTA的官網,還有一類做B2B業務的票代網站。他們往往處于機票分銷鏈條的中段,并不會直接接觸一般乘客。這類網站同樣面臨被黑客攻擊、泄露信息的危險。
以上提到的都是被動泄露乘客信息的幾大渠道。值得一提的是,中航信的B系統是面向航空公司,理論上航空公司內部員工有機會直接接觸到乘客信息,這一點也遭到過一些詐騙受害者的質疑。
民航業升級安防
盡管記者接觸的多家國內航空公司都表示有嚴格的內控,不可能主動泄露乘客的信息。不過山東濟南警方今年破獲的一起案件卻給出了相反的實證。
今年4月,濟南歷城區警方破獲了一起特大民航旅客乘機信息泄露案,十多名犯罪嫌疑人中就包括三名分屬三家航空公司的員工。他們利用職務權限獲得了中航信B系統的賬號,然后以幾萬至幾十萬不等的價格倒賣給他人。獲得B系統賬號后,詐騙者每天可以提取數千個乘客信息實施詐騙。
警方的通報并未透露三家航空公司的具體名稱,但這一案件解釋了詐騙者獲得的中航信B系統的來源,說明了國內航空公司的內控仍然存在問題。
21世紀經濟報道記者此前也報道過,網絡上已經存在機票退改簽詐騙的產業鏈,獲得B系統賬號的犯罪嫌疑人還使用技術手段復制系統功能,繼續對外租售,導致B系統的使用權進一步泛濫。
在機票退改簽詐騙最早出現時,中航信旗下的航旅縱橫曾出面強調有嚴格內控,并否認主動泄露信息的質疑。不過就在今年5月開始,航旅縱橫公告稱,將對客票提取功能進行改進,改進后將限制票代的客票查詢資格,票代僅能查詢自己出票的旅客信息。不過,以上改進能否斬斷上述產業鏈還有待觀察。
對于前述B2B網站,也有航空公司意識到了風險。21世紀經濟報道記者了解到,東航今年8月出臺了新的規定,要求所有銷售東航機票的B2B平臺也要至少獲得相當于銀行網站水平的三級信息安全等級認證。東航方面人士稱,出臺這一規定就是希望減少東航乘客信息暴露的風險點,避免乘客遭遇詐騙。
需要指出的是,這僅僅是一家航空公司的要求,由于乘客信息可能泄露的環節較多,記者接觸過的不止一位航空公司人士都認為泄露乘客信息的責任在于黑票代。對于自身網站和合作方網站的信息安全隱患,行業內還未形成足夠的重視。
作為行業主管部門,民航系統公安局去年10月開始了一輪“打擊防范非法侵入民航信息系統犯罪”專項行動,前述今年山東破獲的特大案件也是這一輪行動的重大成果之一。這一輪專項行動能否深入、持續地打擊民航系統內倒賣信息的頑疾,從源頭上終結信息泄露,將關系著整個行業的安全和聲譽。
還有業內人士表示,近期利用南航、東航、國航平臺進行短信詐騙者的案例明顯增多,這些國內主要航空公司亦有責任持續加大警示提醒力度,以降低消費者遭遇詐騙的風險。