航班取消短信诈骗背后
10月份以来,各地不断曝出“航班取消”短信引发的诈骗案,而且是涉及国内多家航空公司,究竟是哪家公司那个环节泄露了乘客信息成为一大谜团,警方介入调查后也暂无下文。
有业内人士向网易财经爆料,国内多数航空公司和代理商都在使用中航信机票销售系统,而该系统下的B系统(航空公司系统)功能强大,可以查询几乎所有乘客的身份信息,航空公司等各方对这个系统的滥用以及缺乏监控,有可能是引发大规模短信诈骗案的源头。
航班取消短信诈骗10月份超80次
成都一位白女士9月份通过某旅游类网站预定了四川航空10月1日和10月7日至北京的往返机票。10月6日,身在北京的她,收到一条自称是川航电子票务中心的短信。
短信称,白小姐预定的返程航班已取消,需要改签或退票。情急之下白小姐随后拨打该条短信留下的以4008开头的电话号码,对方准确地报出她的身份证号、购票付款金额和网上交易所用的支付银行。她信以为是川航客服,在对方推荐改签航班以及转账提示下,她先后三次转给对方逾1.1万元,但当她转账完再次确认自己的航班时,却发现航班根本没有取消。
据悉,10月份以来,有大量网友在微博等平台上公布了与白杨类似的遭遇,即乘客在航班起飞前突然收到短信称,飞机航班因故取消,要求打电话改签或退票,并且短信中乘客的身份证号、航班信息都准确无误,不少乘客由此误以为是客服电话,按对方提示操作而转账受骗。
据民航资源网不完全统计,10月初到10月31日,已有80多位网友通过微博公布了他们遭遇“航班取消”诈骗短信的经历,亦有不少网友评论称收到过诈骗短信,而涉及的航空公司还在持续增加,包括国航、东航、南航、深航、山航、川航、祥鹏航空。
根据统计,此类案件涉及东航10次、南航30次、深航7次、山航9次、国航5次、川航1次、祥鹏航空1次,网友未透露所乘航空公司的有19次。而订票渠道有,航空公司官方热线2次、航空公司官网21次、去哪儿10次、携程1次,网友未透露订票渠道有48次。
网易财经了解到,截至11月9日,仍有网友在微博上表示收到了类似的短信,且该网友的短信截图显示时间为11月9日。而前述受害人白杨至今仅是收到川航的统计受害情况的电话,其报案后警方方面也没有任何进一步的消息。
值得注意的是,此次短信诈骗波及的航空公司较多,但还没有网上案例显示订春秋航空的机票出问题。春秋航空发言人张武安近日向网易财经证实,春秋航空尚没有收到客户受骗的信息。据其介绍,春秋航空从2005年首飞至今用的都是自主开发的系统,“对客户信息保密”。
中航信机票销售系统被疑有漏洞
于是,一系列的航班取消短信诈骗事件似乎都把矛头引向了机票销售系统。更有分析指出,是中航信的机票系统存在漏洞才导致泄密。对此,网易财经拨打中国航信董秘办公室电话,其工作人员在电话中强调,“不可能”有内部泄密或系统漏洞。
中航信官方微博航旅纵横在对网友的回应中称,“对信息保护我们具有非常严格的规定,要是有机会你可以亲身到航信感受一下。中航信服务民航这么多年,不安全怎么得了,我们的工作人员也都是有职业操守哒!我们是良心企业!”
据中国民航信息集团公司控股的中国民航信息网络股份有限公司官网资料显示,其主要客户是面向航空公司、机场、机票销售代理等相关机构,包括近30家国内航空公司以及近200家地区及海外航空公司,国内169家机场以及近7000家机票代理人,服务范围覆盖到300个国内城市、80个国际城市,是目前航空旅游行业领先的信息技术及商务服务提供商。
根据中航信2012年财报,其电子旅游分销系统处理的国内外商营航空公司的航班订座量约3.47亿人次,较2011年同期增长8.9%,其中处理中国商营航空公司的航班订座量增长约8.2%。
“看到这些诈骗案,我的第一反应就是中航信的(eTerm)的B系统”,机票代理商王业(化名)向网易财经表示。据了解,中航信在国内航空信息技术服务领域占据了垄断地位,其机票销售系统在国内除了春秋航空是自建系统外,几乎其他航空公司都在使用。
据悉,eTerm机票销售系统是中航信为代理人、航空公司开发的基于PC的仿真终端软件,或称通用网络前端平台,是航空机票操作员的专业系统,可以实现查询、预订、出票、退改签等一系列的操作。
另一位业内人士李辉(化名)告诉网易财经,eTerm机票销售系统其实还细分为C系统(代理人系统)、B系统(航空公司系统)、J系统(离港系统)三种。
其中,C系统被业内人士称为“小系统”,仅供机票销售代理人一方使用,只可以查看本Office出票的客票信息,即机票销售代理人只可查看所属航空公司的航班信息,如果想提取订位编码(PNR)(如姓名、身份证、电话号码、航班等),还需要授权。
而供航空公司使用的B系统则功能强大,被业内称为“大系统”,可以查询航班座位销售情况,每个航班舱位上座率,航班记录出票数与预订数,某个航班上出票的订位编码(PNR)等。李辉表示,“比如机票超售的情况,C系统看不到,而B系统能清楚看到”,“任何一家正规售票处,都可以用B系统查到国内所有航班的所有乘客信息”“只要是中航信系统订的位,基本上在国内订票都能查”。
网易财经在网上搜索的eTerm机票销售系统的一些材料中,有截图显示了乘客的电话和身份证信息。
内部系统查询乘客信息不受控制
按说机票销售代理人是无法直接使用B系统的,但是王业表示,一些大的机票代理商可以和航空公司私下沟通,通过各种方式弄到B系统的原始配置,功能较为齐全,而小代理商也会通过网上的一些办法找到出租的B系统的放大系统,“因为代理的工作需要,实时查询航班上座率等,而C系统这些功能不够”。
但是,B系统的放大系统只能查询乘机人的主要数据,电话号码却是隐藏的,而航空公司以及部分大代理使用的B系统原始系统则可以查询所有乘客信息,网易财经与一位在网上做B系统出租业务的人士确认了这一点。
大的机票代理商能通过B系统查询乘客信息,这只是信息泄露的一种可能源头,此外,更主要的是航空公司内部,对B系统的滥用和监控更加不可防范。
李辉指出,虽然B系统在航空公司内部使用也分了等级,但真正懂B系统的人不需要相关信息就能查询乘客的PNR信息、各个航班的订位信息和出票记录,“这要看操作人会不会这些查询指令了,这个需要业内资深人士才懂得操作”。据其介绍,其在上一家公司曾担任经理职务,权限较高,对B系统比较熟悉。
李辉强调,B系统每一次操作都有记录,包括查询指令也有记录,但是,“仅仅发出查询指令是不侵权的,除非你能拿到那人泄密的证据”,“如果用系统瞎乱操作,航空公司马上就会知道,但如果只是查询无操作,几乎是没人管”。
B系统的使用权限外流的现象也是大量存在。网易财经日前以“eTerm 出租”、“全航 B系统”“大系统 B系统”等关键词在网上进行搜索,发现做相关出租业务的公司不在少数。
网易财经拨打了这些公司电话,其中一家表示自己公司和航空公司关系好,所以能拿到系统,据介绍,“全航B系统”价格是“3000元一个季度,包20000次流量”,功能是“只能查询不能操作”。当被问及能否以个人名义租用时,对方表示只要签个协议传真过去就可以。
据此可以发现,能查询所有航班乘客信息的中航信B系统,航空公司、大机票代理商、网站销售平台以及小机票代理都能通过自己的方式接触并使用。
业内建议系统不显示乘客电话
对于究竟是哪一方有可能通过B系统泄露航空公司乘客信息,李辉认为,真正懂得操作B系统的都是资深人士,“分析来看,最大的可能性,应该是在航空公司上班的人”。
而王业则表示,一些在网上销售机票、没有资质的小代理商出问题的可能性比较大,“这些代理商不需要交押金,成为一家航空公司代理,没有签订协议就能看所有航空公司订票信息,而一旦出问题找不到人了,航空公司唯一可能的处罚就是把这家代理从系统中屏蔽掉”。
值得一提的是,李辉和王业都指出,航空公司要求乘客订位编码(PNR)里必须留手机号码,“是方便在航班延误或变更时,航空公司好联系乘客”,但B系统可以查询乘客的信息为业内所共知,“为了避免(因客户信息泄露)惹上麻烦”,他们一个不约而同的措施是,用自己的号码代替客户的号码。
对于如何避免短信诈骗案的发生,李辉建议,“中航信所有的订位编码里,应该取消输入手机号码,这样就找不到乘客本人。订位编码里不用输入手机号,可以只留售票处的联系方式,要求售票处保留乘机人的联系方式”。
不过这样,“售票处也可能直接出售乘机人的联系信息”,他补充,“对泄密没有绝对的解决方法”。李辉认为,目前要做的就是提醒乘客防范风险。
“系统没问题,问题在操作的人,毕竟是人在操作”王业表示,以前没有集中出现过类似的短信诈骗,而现在集中发生,或许是恰好被骗子发现了这个漏洞;“中航信(系统)只是数据的接口,操作系统的是人”,李辉也如是强调,“本身各自都没有问题,是中间有人利用了漏洞”。
空姐招生网,空乘专业择校专家,任何关于大学、专业、择校相关问题可直接在线咨询
名师在线:点击咨询
择校指导