是誰泄露了你的航班信息？又一女大學(xué)生被騙

　　外出旅游時(shí)，很多人除了在朋友圈“曬”美景、自拍，有時(shí)還會(huì)“曬”機(jī)票，如果不對(duì)條形碼進(jìn)行遮擋，個(gè)人信息及行程就很可能泄露。

　　“很抱歉地通知您，預(yù)訂的2016年08月24日萬州-上海浦東FM9462航班，由于機(jī)械故障已取消，請(qǐng)及時(shí)聯(lián)系航班改簽退票專線：010-53815317，改簽成功后，由民航賠付航班延誤險(xiǎn)補(bǔ)償200元整�！�

　　就是這么一條短信，騙走了重慶女大學(xué)生小文6100元積蓄。從去年開始，類似的詐騙短信案層出不窮，國(guó)內(nèi)幾乎所有航空公司都有乘客中過招，《第一財(cái)經(jīng)日?qǐng)?bào)》記者身邊很多朋友也曾收到過類似航班“延誤”或“取消”的短信。

　　究竟是誰將乘客的航班信息泄露給了詐騙者？又如何防范這類騙局的一再發(fā)生？

　　什么都知道的“客服”

　　新學(xué)期開學(xué)后，小文就已經(jīng)是上海華東師范大學(xué)大三的學(xué)生了。今年7月，她通過第三方平臺(tái)用800元的價(jià)格購(gòu)買了從重慶萬州飛往上海浦東FM9462航班的機(jī)票，起飛時(shí)間是8月24日上午11時(shí)30分。

　　就在航班起飛前一天(8月23日)，小文收到了文章開頭的那條短信，另一頭的號(hào)碼是+85266753430，落款是“上海航空”。急于到上海準(zhǔn)備開學(xué)事宜的小文急忙撥打了短信中的“改簽退票專線”010-53815317，對(duì)方自稱是“上海航空公司的客服”，且知道小文的姓名、電話、身份證和航班號(hào)等信息。這讓小文更加放松了警惕。

　　在確認(rèn)了上述個(gè)人信息后，這名“客服”要求小文在銀行ATM機(jī)上打印改簽需要的付款憑條，再帶著憑條去機(jī)場(chǎng)柜臺(tái)辦理機(jī)票改簽。

　　已經(jīng)毫無戒備之心的小文趕到銀行后，按照這名“客服”的提示一步步進(jìn)行操作。最終結(jié)果是，在對(duì)方的反復(fù)催促下，幾輪操作后，小文卡內(nèi)的6100元被全部轉(zhuǎn)走了。

　　顯然，小文遭遇了典型的“航班取消短信詐騙”，而詐騙者手中小文的信息通常都是買來的，這早已有一條成熟的產(chǎn)業(yè)鏈。

　　在搜索引擎上，以“機(jī)票數(shù)據(jù)”、“航班數(shù)據(jù)”、“內(nèi)部數(shù)據(jù)”等關(guān)鍵詞進(jìn)行搜索，可以顯示出大量公然出售航班信息的QQ群。如果以購(gòu)買訂票信息為由，聯(lián)系群中的信息販賣人，會(huì)被告知，每條信息的價(jià)格為幾元到十幾元不等，無論哪個(gè)航空公司都能弄到，信息包括客戶姓名、身份證號(hào)、手機(jī)號(hào)和登機(jī)號(hào)。

　　北京、江蘇和廈門三地警方分別在2014年5月、6月和10月破獲過違法利用乘客信息進(jìn)行短信詐騙的案件。三地警方抓獲的犯罪團(tuán)伙都在海南儋州，最大一筆詐騙案涉及的金額超過170多萬元。警方在通報(bào)案情時(shí)均表示，這些嫌疑人獲得的大量航班信息都是買來的。

　　一條朋友圈就可能泄露個(gè)人信息

　　那么詐騙者買來的旅客個(gè)人和航班信息是從哪里泄露出來的？一般情況下，大家都會(huì)先去指責(zé)航空公司或訂票網(wǎng)站。其實(shí)，泄露乘客信息的渠道有很多。

　　首先，確實(shí)存在航空公司員工倒賣乘客信息的案例。2015年4月，濟(jì)南地區(qū)檢察院對(duì)高某等18名犯罪嫌疑人提起公訴，罪名就是他們利用在航空公司工作之便倒賣旅客信息獲利。

　　一名國(guó)內(nèi)航空公司負(fù)責(zé)IT方面的管理層對(duì)本報(bào)記者表示，航空公司中，一般從事航班座位銷售控制的人員，具有查詢甚至修改旅客訂票記錄的權(quán)限，他們還可以通過航空公司的內(nèi)部客戶管理系統(tǒng)(例如常旅客計(jì)劃管理系統(tǒng))獲得旅客更為詳細(xì)的個(gè)人信息；航空公司在機(jī)場(chǎng)進(jìn)行旅客服務(wù)的人員，當(dāng)他們?yōu)槁每瓦M(jìn)行值機(jī)等服務(wù)時(shí)，可以查看旅客的完整信息，甚至能當(dāng)場(chǎng)獲得旅客的手機(jī)號(hào)碼等資料；還有航空公司呼叫中心的人員，由于工作需要可以查看旅客的訂票和個(gè)人信息。

　　機(jī)票代理，尤其是一些黑代理，也是旅客和航班信息泄露的重要來源。由于很多旅客并非通過航空公司訂票，而是找的機(jī)票代理，這些公司就掌握了這部分旅客的訂票信息和個(gè)人信息。

　　此外，無論是在國(guó)內(nèi)哪個(gè)訂票網(wǎng)站或航空公司官網(wǎng)訂票，出行者的個(gè)人信息都會(huì)被提供給國(guó)內(nèi)最大的機(jī)票分銷系統(tǒng)服務(wù)提供商——中航信。中航信開發(fā)的機(jī)票銷售系統(tǒng)eterm可以進(jìn)行查詢、預(yù)訂、出票和退改簽等操作。目前，除春秋航空外，國(guó)內(nèi)航空公司都使用了這一系統(tǒng)，票代也通過向中航信付費(fèi)來獲得終端并查詢航班的訂座信息。

　　根據(jù)媒體報(bào)道，2015年12月21日，中航信員工曾被判利用系統(tǒng)賬號(hào)非法獲取和出售山東航空公司旅客信息。由于中航信內(nèi)部的很多員工在日常工作中需要保證系統(tǒng)的正常運(yùn)行，他們手中就掌握有可以查詢中國(guó)所有航空公司旅客訂票和個(gè)人信息的系統(tǒng)賬號(hào)。

　　不過，本報(bào)記者從中航信多位人士處了解到，中航信最近幾年在系統(tǒng)賬號(hào)方面加強(qiáng)了管理，能夠獲得系統(tǒng)賬號(hào)的內(nèi)部員工并不多，且權(quán)限控制也更細(xì)，公司也一直在對(duì)系統(tǒng)進(jìn)行增強(qiáng)加固，比如信息加密存儲(chǔ)、賬號(hào)分級(jí)管理等。

　　除了上述情況，還有許多途徑可能導(dǎo)致旅客信息被泄露，比如許多網(wǎng)約車平臺(tái)的接送機(jī)服務(wù)會(huì)讓用戶輸入所乘坐航班的信息，這可能成為騙子獲取信息的重要來源；外出旅游時(shí)，很多人除了在朋友圈“曬”美景、“曬”自拍，有時(shí)還會(huì)“曬”機(jī)票，如果不對(duì)條形碼進(jìn)行遮擋，黑客識(shí)別條形碼或二維碼并非難事，如果被破譯，旅客的個(gè)人信息及行程就會(huì)被泄露。

　　小心“400”開頭的電話

　　多位行業(yè)內(nèi)人士告訴本報(bào)記者，在民航業(yè)，旅客出行信息的數(shù)據(jù)流動(dòng)路徑相對(duì)簡(jiǎn)單清晰，如果相關(guān)公司的IT系統(tǒng)供應(yīng)商能夠加強(qiáng)防范，很多航班和旅客信息的泄露渠道是能夠堵住的。此外，用戶在網(wǎng)站輸入帶有個(gè)人信息的內(nèi)容時(shí)，也可以注意該網(wǎng)站是否帶有網(wǎng)站安全認(rèn)證的第三方標(biāo)識(shí)。

　　春秋航空宣傳部長(zhǎng)毛懿告訴本報(bào)記者，由于很多旅客會(huì)在不同的網(wǎng)站設(shè)置相同的用戶名和相同的密碼，如果黑客在別的網(wǎng)站獲取了用戶信息，很可能會(huì)常識(shí)性地用同樣的密碼登錄其他網(wǎng)站，獲得更多信息。

　　“所以我們會(huì)提示旅客注冊(cè)時(shí)使用有大小寫、數(shù)字、特殊符號(hào)的強(qiáng)密碼。此外，我們也把發(fā)給旅客的客服短信進(jìn)行了提示信息更新，在最后一條加入提醒，航空公司不會(huì)因?yàn)槿魏卧�因在短信中索取銀行卡號(hào)和驗(yàn)證碼，如果有疑問可以與官方客服聯(lián)系�！泵�懿說。

　　 攜程 的機(jī)票專家則對(duì)本報(bào)記者表示，要躲開“航班取消騙局”，首先要及時(shí)驗(yàn)證短信的真?zhèn)�。一般乘客接到的改簽通知或訂票網(wǎng)站，提供的電話號(hào)碼多為400開頭的電話。400電話原本是一些有知名度的企業(yè)為方便服務(wù)客戶，向電信部門申請(qǐng)的由企業(yè)付費(fèi)的電話，而航空公司的客服電話大多不是400開頭。

　　因此，收到此類信息后，應(yīng)第一時(shí)間通過航空公司官方電話或購(gòu)票網(wǎng)站進(jìn)行確認(rèn)，切勿輕信來路不明的信息，更不要撥打短信中所提示的陌生號(hào)碼。

　　其次，按照航空公司的規(guī)定，因非旅客原因造成的航班延誤或取消時(shí)，辦理退改簽是免費(fèi)的，不需要交手續(xù)費(fèi)。如果短信或者電話中要求收取手續(xù)費(fèi)，則極有可能是詐騙。

　　再次，涉及付款時(shí)，詐騙分子往往會(huì)引導(dǎo)消費(fèi)者通過輸入驗(yàn)證碼、轉(zhuǎn)賬的方式實(shí)施詐騙，遇到轉(zhuǎn)賬要求時(shí)應(yīng)馬上拒絕，并且切勿提供自己的銀行賬戶、卡號(hào)等信息。