近日,有网友呼吁严查旅客航班信息泄露及利用其诈骗问题,中国民用航空局在答复中表示,正在编制相关文件,进一步加强对重要数据的保护;对于第三方网络渠道代理公司的旅客信息泄露等问题,将积极协调公安机关开展有关严查打击工作。
前述网友通过人民网领导留言板反映,最近其和朋友们在某某地图App搜索航班信息并预订了机票,有三人接到诈骗电话,对方以航空公司客服的名义,以机械故障航班取消为由,让我们提供支付宝账号给予补偿,且能报出我们的姓名电话身份证航班信息等。一来假报航班取消信息干扰旅客行程,二来这种信息泄露问题极其严重,我们了解诈骗懂得避险,如有不明真相的旅客那将会造成严重的财产损失,望民航局协调公安部门严查第三方网络渠道代理公司的旅客信息泄露和利用航班信息诈骗问题。
中国民用航空局回应称,民航局高度重视数据治理工作,认真贯彻《网络安全法》《数据安全法》《个人信息保护法》等相关规定,先后出台“7+1”智慧民航数据治理系列规范(7部行业标准、1部信息通告),指导规范行业单位开展数据共享、数据服务、数据安全等工作。目前,为落实民航领域数据分类分级保护有关要求,民航局正在编制相关文件,进一步加强对重要数据的保护。同时,对于第三方网络渠道代理公司的旅客信息泄露等问题,民航局将积极协调公安机关开展有关严查打击工作。
“退改签”诈骗频发 谁泄露了我的航班信息? 旅客机票“退改签”理赔被骗20万
根据媒体早前报道,最近,部分旅客遭遇了“退改签”类电信诈骗。飞机起飞前,旅客收到“航班取消”等短信,提示旅客可以获赔,当信以为真的旅客按“客服”要求下载指定App,开启屏幕共享,并远程根据“客服”的要求一番操作后,却发现卡中的存款被悉数清空。
上观新闻报道提到,有业内人士介绍,10多年前“退改签”类诈骗就已出现,只是随着乘飞机出行的旅客人数增加,才让越来越多的旅客遭遇此骗局。这一类诈骗往往抓住了旅客出行前担忧行程有变的心理,再辅以退款补偿等诱惑,加之繁杂的操作流程,诱导旅客进入陷阱。
知情人士表示,若非专业技术力量,确实比较难追查。机票预订流程繁琐、涉及方众多,一张机票其实涉及售票平台、航司、代理人、中航信、运营商等各个中间方或终端系统,任何一个环节都可能有数据泄露的风险。此外,随着平台提供的服务增多,机票信息还可能涉及保险公司、租车平台等其余服务方。这些环节都可能出现个人信息泄漏,需要监管部门加大对信息贩卖的查处和打击力度,共同加强用户信息安全保护。
相关报道:“退改签”竟也能成诈骗,谁动了我的航班信息?(新京报)
▲消费者投诉。
“您即将乘坐的航班因为飞机故障被取消,此次来电是帮助办理退改签手续”。
打着退改签旗号的诈骗,正在围剿飞机乘客。
起飞前两天,小莫接到一通来电,对方声称是吉祥航空客服,在告知航班取消后直接报出小莫的姓名以及航班信息。这让小莫卸下防备,并按照对方提示操作以获取300元赔付。而这只是骗子抛出的诱惑,这一骗局通过支付宝收款、下载会议APP以及反复输入对方提供的代码等一系列操作,一步步将被盯上的对象引向陷阱。
近日,乘客因遭遇航班诈骗投诉飞猪,再度将个人信息泄露推至台前。新京报贝壳财经记者在黑猫投诉平台上搜索看到,这样的案例并不新鲜,不少投诉涉及购票平台去哪儿、飞猪、航旅纵横、同程旅行以及各大航空公司。截至10月24日,与飞猪关联的隐私泄露投诉共73条,其中10条与航班诈骗相关,涉及金额从千元到万元不等,最高为47万元。此外,投诉去哪儿泄露隐私的内容共96条,9条与航班诈骗相关。
新京报贝壳财经记者调查发现,利用航班信息的诈骗频频发生,黑灰产平台上,不少买家标榜“大量收机票未起飞数据”,价格高达8元/条。业内人士告诉记者,一张机票往往经过五六个环节,包括酒店推荐、第三方核验等,这些环节均存在信息泄露的可能。
对此,新京报贝壳财经采访了飞猪,截至发稿时暂未获得回应。10月25日,去哪儿公关部门工作人员回应记者称,去哪儿APP上一直有滚动的防诈提示,今年暑期升级为购票成功后出现防诈提醒强弹窗。此外,一旦客户遭遇航班诈骗选择报警,去哪儿平台都会配合警方进行调查。
━━━━━
300元赔付诱惑,
假客服设套“偷窥”密码
“我真的相信了,后来他提到支付宝,我才谨慎起来。”当对方报出航班号以及自己的姓名,小莫起初并未察觉出异样。
小莫描述中,对方声称为吉祥航空客服,因航班取消可以赔付300元。在按照对方要求打开支付宝收付款功能,并输入对方提供的11位数字后,页面在“账户”一栏自动跳出航空公司名称。到了收款流程,对方一直催促点击“确认收款”选项,不过,这也让小莫突然意识到自己遭遇了诈骗。
贝壳财经记者采访发现,这些“客服”承诺的理赔金多为300或500元,理由是“延误取消”和“航班故障”。为了获取信任,“客服”甚至能够说出乘机人身份证后四位数字。
一位受访者提供的截图显示,被诱导至支付宝收付款环节时,收款账户名为“广州白云国际机场商旅服务有限公司”,而自己要乘坐的是四川航空的航班。王倩近期同样掉入这一陷阱,其提供的截图显示收款账户为“北京长城航空集团股份有限公司”,她准备搭乘的是中国国际航空公司。
▲收付款截图。
王倩告诉贝壳财经记者,随后理赔过程中,“支付宝在线理赔客服”(以下简称“理赔客服”)介入,并要求下载一个会议APP,“理赔客服”也在该APP上与王倩联系。王倩回忆,这个会议APP标志类似腾讯会议,但名称“没有‘腾讯’两个字”。
据贝壳财经记者梳理,此类航班诈骗案例中还出现了山寨zoom、云视听和全视通等APP。
王倩告诉贝壳财经记者,“理赔客服”不断诱导自己进行各项操作,包括打开会议APP录制会议功能,多次发送“我要申请理赔”后又要回复“关闭理赔通道”。为了避免引起怀疑,这一客服不时强调,“涉及理赔金额需要全程录制”是必要环节,以及为了账户的信息安全等。
王倩事后意识到,录制会议开启后,对方可以看到账户余额、取款密码等一系列自己手机屏幕所显示的信息,“有点像手机录屏,但对方只能看不能操作。”此后,对方要求王倩将支付宝里的钱转入银行卡,并输入认证账号和认证代码。
“将对方提供的认证代码复制到手机银行后,页面变成了转账页面,我反问对方是不是骗子,但对方表示自己提供的账号没有收款能力。”王倩依然不放心,对方便主动提醒她银行后续会打电话确认是否转出这笔资金,到时直接回复说“是正常流程就行”。
庆幸的是,她接到银行确认电话,而听完王倩的复述,银行工作人员提示这是电信诈骗,建议冻结银行账户。
王倩告诉贝壳财经记者,对方所谓的认证代码其实就是自己的银行卡余额,“我看到的每个人都是这样的情况,他给我发的是90106,当时我银行卡里可支配的余额只有5万,支付宝有4万,转到一起就9万左右。”
贝壳财经记者采访受骗者了解到,认证代码多是受骗者银行卡大概余额。“他好像提前知道我这段时间转进银行卡里的最大一笔钱是9900,就骗着我输入9900的验证码”。一位受访者表示,当时想起“9900”这笔转账发生在7月,自己因此有所警觉。
━━━━━
未起飞机票信息8元/条,
多个环节可泄露航班信息
10月24日,贝壳财经记者在黑灰产平台搜索,不乏“购买航班信息”“大量收机票未起飞数据”“求源头”等航班信息购买者。
贝壳财经记者联系了一位购买者,对方在问明记者手中具体是哪一个航空公司以及多达一万条数据后,立刻大方表示,记者手中的航班信息“全都要”,而且每一条乘客信息达到8元。
在与购买者沟通中,其打包票称,“只要你这边不出问题就行,我这边绝对安全,可以放心。”
当天,贝壳财经记者在黑灰产平台搜索,暂未发现机票未起飞数据出售信息。
“一般航空公司的市场部,订票端口都能够看到未起飞的航班信息,包括旅客的姓名和电话。”某航空公司中层告诉贝壳财经记者。
实际上,由于机票的购买环节复杂,航空公司并非唯一的航班信息泄露点。
民间互联网安全组织网络尖刀创始人曲子龙对贝壳财经记者表示,售票的APP平台、订票系统、航空公司等任何一个环节出现问题,都有可能造成旅客信息泄露,有些订票平台还提供了保险、落地租车打车、酒店预订等服务,这些环节也存在信息泄露的可能。
“一张机票往往要经过五六个环节,包括酒店推荐、第三方核验甚至打车租车服务,很多环节可以去查验机票信息,这也是‘航班取消后退款诈骗’这么多年一直没有被打掉的原因——机票的相关链条太长。”曲子龙告诉贝壳财经记者,“在整个链条之中,每多接触一个环节都有可能造成信息泄露风险,尤其航空公司又有那么多的中间代理商、代理人,包括旅游票务公司等第三方机构。”
王倩虽然保住了银行卡里的钱,却发现自己在智行平台预订的高铁票和飞机票都已“自动”退票。王倩认为,开通支付宝理赔通道前收到一个验证码,骗子可能借此登录了自己的智行账号并办理了退票。由于离出行仅有不到24小时,王倩为此损失了1千元左右的差价。
和王倩一样“无端遭遇退票”的案例出现在黑猫投诉平台上,这些投诉和航班诈骗案例大多指向购票平台存在泄露用户隐私的行为。贝壳财经记者在黑猫投诉不完全统计,飞猪平台因信息泄露被无故退票投诉的共1条,涉诉金额为2000元;与去哪儿平台有关的投诉有5条,涉诉金额从1000元到3000元左右不等。
贝壳财经记者就退票拦截问题咨询了国航和去哪儿客服。其中,国航客服表示,只有在官方平台购买的客票才能视情况拦截,一般来说提交退票后无法撤回。去哪儿客服则表示,平台只是尝试拦截,不一定能拦截成功。
对于如何判断是否为本人操作退票,国航客服表示,这类特殊情况要请示上级,根据上级的判断处理。去哪儿客服称,平台设置投诉专员跟进相关问题。不过,退票手续必须有预留手机号及证件号等身份信息才能够协助操作,上述信息一旦核实,相关操作会被平台认定为获得账号授权,“家人、朋友订票也会这么操作,从流程上来说我们不给办也不现实。”
当被问及这类诈骗是否存在信息泄露和有无预防措施时,国航和去哪儿客服均强调自身对旅客信息有严格的保护要求和系统保护措施。
━━━━━
电信诈骗银行难提示,
航班公司集中“防诈”
王倩庆幸银行给自己拨打了二次确认的电话。不过,贝壳财经记者走访农业银行、建设银行、中国银行、工商银行以及招商银行网点了解到,并非每次遇到电信诈骗转账,都会接到银行的确认电话。
“每天转账那么多人,银行电话打不过来的。”银行网点工作人员解释称,如果汇款账户是银行监控的高风险账户,例如刚注册或列入黑名单的账户,银行可能会判定此次转账为“异常交易”,也许就会打电话提醒。另外,短期内进钱加出钱就是一个规则,如果转账行为触发了我国现有预警模块里的规则,银行会接到通知进而联系到转账人。
“我们也遇到过非要给对方存3000块而不理会我们提醒的年轻人,后来又说自己被骗了。我们建议报警,没办法,损失只能自己担。”银行工作人员告诉贝壳财经记者,最好自己能够提高风险意识,而不是依赖银行的二次确认电话。
北京德恒律师事务所律师王鑫鑫表示,骗子能够准确说出乘客名字和航班信息,可能是信息泄露的结果,但从民事诉讼角度来说,很难界定出某一个具体的信息泄露相对方。她解释道:“可能是平台或航司本身泄露,也可能是他们的员工泄露。但就算是员工个人的泄露行为,特别是非职权范围内非法的信息处理行为,并不能直接归责给公司。”
王鑫鑫对贝壳财经记者表示,王倩的例子在司法实践中可能会被认定为是当事人没有尽到审慎义务,因为购票人本身已经购买了机票,应该知道相对的航空公司或购票平台,在面对名称不一致等情形时,购票人应该有所警觉。“正因为她进行了这些操作才增加了信息泄露的风险,所以在本案例中当事人若选择向购票平台追回款项,诉讼风险很高。若选择向信息泄密的对象直接追偿,诉讼成本和诉讼风险也很高。”
近期,一些处在“航班诈骗漩涡”中的航空公司相继发布了防诈安全提示。据贝壳财经记者不完全统计,天津航空、首都航空、深圳航空、海航航空、山东航空均在10月以来发布公告提醒旅客,航班变动等通知信息均由航司官方客服号码通过电话或短信方式发布,如收到其他号码发送的相关信息请提高警惕。
