航班诈骗频发或因信息泄露成本低

“姓名,时间还有航班号,短信上的信息都是对的,这让人怎么识别?”继一位女大学生学费被骗事件后,重庆又现航班信息诈骗事件。是何原因造成航班诈骗信息屡禁不止?旅客的个人信息被不法分子倒卖已形成链条。
 
骗子手段太高超?倒卖信息成链条
 
自2013年以来,航班诈骗短信层出不穷,尤其是谎称航班取消的短信,让旅客防不胜防。
 
近年来,不法分子的诈骗手段也逐渐多元化,除了电话外,他们还会利用伪基站信息、短信内含钓鱼链接木马病毒、窃取验证码等方式实施诈骗。同时,电信诈骗呈现出在某一地区扎堆儿的特点。公安机关打击电信诈骗专项行动中将广东茂名电白区、广西宾阳、河北丰宁、福建龙岩新罗区、江西余干县、湖南双峰县和海南省儋州市列入第一批重点整治地区。无论诈骗的手段如何变化,想要让旅客信以为真的重要条件就是旅客个人信息泄露。
 
是因为晒登机牌获得的旅客信息么?外出旅游时,很多人除了在朋友圈“晒”美景、“晒”自拍,有时还会“晒”机票,却很少有人会对不起眼的条形码进行遮挡。虽然条形码只有通过专业机器才能识别。对黑客来说,识别条形码或二维码并非难事。如果被破译,旅客的个人信息及行程将被泄露,不法分子可能会利用这些信息进行诈骗。近期出现的批量电信诈骗事件,显然不是偶然被不法分子盯上的结果。据公安机关公布的最新调查结果,倒卖信息已经成为了链条。
 
在搜索引擎上以“机票数据”、“航班数据”、“内部数据”等关键词进行搜索,结果显示大量公然出售航班信息的QQ群。记者以购买订票信息为由,联系上了群中的一位信息贩卖人。信息贩卖人说,信息四元钱一条,无论哪个航空公司都能弄到,信息包括客户姓名、身份证号、手机号和登机号。这些信息是从哪里泄露出来的?
 
2015年初,国内最大的漏洞发布平台乌云网披露了多起航空公司旅客个人信息泄露漏洞。乌云网显示,仅1月29日一天就有5条涉及航空公司的漏洞得到公司确认,内容涉及航空公司B2C系统沦陷,千万机票信息可以查看;民航出入境API系统逻辑缺陷,导致出入境实时数据泄露;航空公司内部员工邮箱账号和密码泄露,可登录公司内部邮件系统。
 
但信息泄露并非仅仅是航空公司导致的。无论是机票代理商还是可以购买机票的旅游网站,或是航空公司,在订票时都需要将旅客信息输入至中航信系统,这些环节都可能因漏洞导致旅客关键信息被盗。
 
更多与航班相关服务的出现,也会导致旅客信息泄露。比如许多网上约车平台的接送机服务中会让用户输入所乘坐航班的信息。这种“意想不到”的渠道往往成为骗子获取信息的重要来源。
 
呼吁立法的同时还应加强执法
 
所谓日防夜防,家贼难防。除了黑客漏洞外,内部人员信息倒卖也是旅客个人信息留出的重要途径。2015年4月,济南地区检察院对高某等18名犯罪嫌疑人提起公诉,罪名就是其利用在航空公司工作之便,通过中航信息系统倒卖旅客信息获利。
 
专家介绍,我国并非没有相关立法规定。《中华人民共和国刑法修正案(九)》规定,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
 
2013年9月1日起施行的《电信和互联网用户个人信息保护规定》中也规定,电信业务经营者、互联网信息服务提供者对在提供服务过程中收集、使用的用户个人信息没有进行严格保密,出现个人信息泄露、篡改或者毁损,出售或者非法向他人提供等情况,由电信管理机构依据职权责令限期改正,予以警告,可以并处一万元以上三万元以下的罚款,向社会公告;构成犯罪的,依法追究刑事责任。
 
不过由于取证难等原因,倒卖个人信息的事件屡见不鲜。犯罪成本低是个人信息倒卖的重要原因。特别是网络交易盛行后,登记个人信息很普遍,交物业费、住院、在酒店消费、办理商家会员卡等,个人信息暴露在许多地方,给很多电信诈骗犯罪分子以可乘之机。1万条个人信息就能卖到10元钱,而且一手信息和多手信息的价钱不等,越是新的个人信息越值钱。
 
在执法有依的情况下,公安等执法部门还应增强执法手段,主动出击才能真正切断电信诈骗的链条。
 
输入个人信息,第三方认证很重要
 
所有需要填写个人信息的网站都有可能涉及到信息泄露吗?越来越普遍的手机个人支付恐怕很难让普通消费者对填写个人信息说不。作为消费者个人而言,如何尽可能地保护自己的信息特别是支付账户安全?专家建议,认准网站第三方认证很重要。
 
此前,多项新闻报道显示,航空公司网络安全漏洞及民航从业者非法贩卖用户信息,成为旅客信息泄露的主要源头。黑客利用网络安全漏洞窃取旅客信息并贩卖的事件不绝于耳,专家认为,用户在网站输入带有个人信息的内容时,应注意该网站是否带有网站安全认证的第三方标识。
 
第三方可信网站验证的用户会得到验证的标识,该标识一般放在网站的醒目位置上,以一个图标的形式出现,用户点击这个图标可以链接到验证页面,查看该网站的验证信息及安全信息。权威的认证机构会对网站身份证明、网站数据传输加密、网站木马病毒监控、网站篡改监护和网站的运行进行监控,尽可能地防止黑客利用网站漏洞盗取通过网站输入的用户个人信息。
 
涉及支付、银行账号等信息的输入,则需要PCI认证。记者了解到,PCI认证即支付卡产业数据安全标准(PCI-DSS)认证,它是由PCI安全标准委员会的创始成员(visa、mastercard、American Express、Discover Financial Services、JCB五大国际卡组织)制定并维护的一套保护持卡人数据的技术和操作的基本安全要求措施。通过审核并持续维护PCI DSS标准的合规,可以有效降低网站发生数据泄露的风险,保护支付数据的存储和传输安全。
 
消费者要了解该网站是否通过第三方认证,可以从网站首页底部的图标判断。另一方面,不要轻易信任搜索引擎的结果,应通过“官网”等标识和搜索结果下方的网站地址判断网站的真实性。据介绍,去哪儿网是全国首家通过PCI认证的旅行网站,携程作为行业领先的企业也早已通过PCI认证。这类第三方认证需要每年定期复审,表明系统在安全管理、网络系统结构、软件设计等方面,能够全面保障用户的交易安全。
 
以去哪儿网为例,在去哪儿网首页下方可以看到网站经过ICP备案手续的相关标识,“互联网协会网络信用评级”标识、“诚信网站”标识和“可信网站身份验证”标识。点开“互联网协会网络信用评级”标识,页面显示去哪儿网的隐私保护条款和公告方式有利于客户信息保护。客户信息收集范围、收集方式合理适当。网站提供的插件或软件安全可靠,并可由客户自主安装或卸载。配备有效的防火墙、防病毒等网络及信息安全技术。
 
 
专家认为,不要轻易被第三方标识所蒙蔽,有网站会以虚假标识蒙混过关,像去哪儿网这样可以点开并查看信息的才是真正经过第三方认证的安全网站。
 
专家建议:航班变动可免费退改签
 
一方面个人信息泄露情况难以杜绝,另一方面骗子骗术层出不穷。作为消费者怎样避免因电信诈骗受到的钱财损失?
 
记牢这三点,可躲开航班取消骗局
 
一,及时验证信息真伪
 
此类案件有一个共同特点:乘客接到的改签通知或订票网站,提供的电话号码多为400开头的电话。400电话原本是一些有知名度的企业为方便服务客户,向电信部门申请的由企业付费的电话。但这种电话也被一些别有用心的人利用,申请到400电话对他们来说并不复杂。
 
专家提醒消费者,收到此类信息后,应第一时间通过航空公司官方电话或购票网站进行确认,切勿轻信来路不明的信息,更不要拨打短信中所提示的陌生号码。
 
二,航班变动可免费退改签
 
根据照航空公司规定,因非旅客原因造成的航班延误或取消时,办理退改签是免费的,不需要交手续费。如果短信或者电话中要求收取手续费,则极有可能是诈骗,应立即拒绝要求和停止沟通。
 
三,索要银行卡号的都是骗子
 
涉及付款时,诈骗分子往往会引导消费者通过输入验证码、转账的方式实施诈骗,遇到转账要求时应马上拒绝,并且切勿提供自己的银行账户、卡号等信息。正规网站往往采取网银或第三方支付平台进行在线支付,有安全保障。