国内“机票改签”骗局泛滥 航空公司:系统泄密
上网订购机票、收到“航空公司”发来的“航班取消”短信、拨打短信提供的客服电话、对方要求到ATM上操作退款——整个骗局环环相扣,过程“流畅”,而且骗子能准确地说出你的姓名、航班号、航班时间。
这种准确性极强的“定向”诈骗,不禁让人困惑:是谁泄露了乘客的个人信息?
登机前突遇“改签短信”
凌晨5点,北京市民张达伟接到了一条短信:“尊敬的[张达伟]旅客您好!您预订的2014/10/27 18:50厦门飞往北京HU7392次航班,因机械故障导致不能正常起飞,请及时联系客服办理改签或退票,以免耽误您的行程。客服热线:400-8556638给您带来不便敬请谅解![海南航空]。”
短信是凌晨00:55发送的。张达伟一下慌了神——时间太紧迫了,得赶紧办理改签!当初是通过“航班管家”手机应用订的票,于是张达伟赶紧联系对方,但对方告知:没有接到航空公司通知;他又向海南航空公司确认,客服人员却说航班正常——两个官方电话,总算让张达伟避开了诈骗陷阱。
深圳某银行工作的李群女士也收到了类似信息。她告诉法治周末记者,10月下旬,她为家人在去哪儿网订了从济南飞往深圳的机票,头天晚上也收到“航班改签”短信。一看飞机因机械故障需要改签,李群就赶紧按短信提供的400电话拨了过去。
“对方说航班时间都没有变化,只是换了架飞机而已,但还是要尽快办理改签并缴费,然后再返还违约金。”李群回忆,对方准确地报出了她的姓名、手机号、身份证号、航班号后,于是她未加思索便将银行卡号告知了对方,对方遂要求她即刻登录网银进行操作,刚接受完银行反洗钱培训的她这才警觉起来:还没有确认对方的真实身份呢。
她告知对方,自己目前没有电脑无法使用网银,对方立马称“在外也没有关系,找个ATM机进行操作就可以”。对方一直强调要抓紧时间,否则影响改签不能登机。这时李群判定基本就是诈骗了,她立刻拨打山东航空的客服电话进行确认,被告知航班一切正常,至此,骗局被揭开。
虽然有此遭遇,但张达伟和李群却都还是“幸运儿”:自去年10月以来,航班改签短信诈骗事件频繁见诸报端。根据深圳警方的统计,从去年10月到今年3月底,仅深圳市就发生机票改签类诈骗案件500余起,其中单笔最高被骗200余万元。来自民航总局的统计显示,各类机票改签诈骗短信给旅客和航空公司造成的经济损失达数亿元。
网销代理商:不是我干的
而让很多乘客之所以落入陷阱,还在于诈骗分子“料事如神”,能准确地掌握乘客的姓名、身份证号、出行时间、乘坐航班号。那么这些信息是怎么落入诈骗分子之手的呢?
综合此类案件,法治周末记者发现一个共同的特点:乘客都是在飞机起飞前的十多个小时接到改签短信的,提供的电话多为“400”开头的商务客服电话。
“400电话原本是一些有知名度、有影响力的企业为方便服务客户,向电信部门申请的由企业付费的电话,但是这种电话也被一些诈骗分子所利用,很多诈骗团伙随便拿营业执照和法人证书,就可以毫不费劲地申请到400电话。而很多公众误以为这种电话是经过电信部门过滤的,因此有很强的欺骗性。”南京公安局浦口分局一位参与办理此类案件的民警对法治周末记者说。
“我当时是在‘航空管家’定的票,乘坐的是海南航空公司的飞机,只能是在这两个环节泄露的!”张达伟分析。
而李群是在去哪儿官网买的票,订的是山东航空公司的航班。“不是网站,就是航空公司!”她也认为只可能从这两个环节泄露。
不过,面对客户的疑问和诘难,无论是代理商还是航空公司,都有“苦水”要倒。
“航班管家”是国内比较受欢迎的旅行类手机应用,提供包括航班延误查询,机票、手机值机、机场信息导航等在内的一站式出行服务。
“航班管家”营销中心总监张洪基在接受法治周末记者采访时表示,公司对接触客户信息的人员都有严格的分级和授权,即使是客服人员,其进行的每次操作,系统都会有记录,包括应客户要求,查询相关信息,也会被系统记录下来。
“其实面对客户的质疑,‘不是你干的,那是谁干的’,我们也挺难受的,对接中航信系统的通路太多,找寻信息从哪个环节泄露出去,犹如在汪洋大海中找一条鱼。”张洪基无奈道。
张洪基介绍,公司只能尽可能做好自己这一环节的工作,客户在“航班管家”订票后,页面都会做防范航班改签的提示信息;为了避免客户信息在流转中被泄露,张洪基介绍,公司将客户预订信息传输给一级机票代理商时,客户的手机号码都会显示为“航班管家”的客服号码。
去哪儿网相关部门也对法治周末记者回应:去哪儿网对客户个人隐私都有极为严密的保护系统。除了去哪儿网能够掌握旅客航班号、手机信息等个人资料外,航空公司以及中航信系统也会第一时间接收到这些信息。
“早在2012年12月,去哪儿网就已顺利通过支付卡产业数据安全标准(PCI)认证,今年1月也再次通过年度审核,这表明去哪儿网的系统在安全管理、网络系统结构、软件设计等方面,能够全面保障用户的交易安全。”该负责人说。
该负责人介绍,在这个认证体系之下,用户在去哪儿网系统中所存储的卡号、手机号等个人隐私信息均处于加密状态。
业内人士分析,机票代理可能是旅客信息泄露事件中的危险一环。北京航空法学会常务副会长兼秘书长张起淮对法治周末记者介绍,在我国销售机票必须取得中国航空运输协会(CATA)颁发的资格证书,有了这一证书才能接入中航信系统。
不过张起淮表示,现实中有很多机票代理商并没有取得相应的资质,而是利用外挂平台违规接入中航信系统,这种内部管理的缺位,也让客户信息的安全性面临着比较大的风险。
航空公司:不排除系统信息泄露可能
海南航空公司对法治周末记者回应称,航班临时变动、改签和退票都是免费的,当收到“航班取消”、提醒“退改签”类似电话或短信时,应与航空公司或购票网站或代理机构联系求证、确认情况,不可轻信通过其他非正规渠道得到的电话号码。
山东航空相关负责人告诉法治周末记者,去年航班改签短信诈骗事件频发以来,山东航空公司曾启动内部排查,不过排查结果显示,客户乘机信息并不是在山东航空这一环节泄露出去的。
该负责人介绍,去年10月前后,在接到一些客户遭遇航班改签短信诈骗反馈后,山东航空协助旅客向济南机场公安报案。经过一年多时间的侦查,近日该案有了一些进展,据初步统计,涉案人员达两三百人。
“不过现有的信息都表明,客户信息不是从山东航空泄露出去的。只能说不排除民航信息系统存在信息泄露的可能性。”该负责人表示。
已破获案件中窥端倪
面对客户的质疑和诘难,航空公司和代理商都尽力撇清,但似乎都百口难辩。那么旅客订票信息到底是通过什么途径泄露出去的?目前还只能从警方破获的一些案件中窥见端倪。
今年5月,南京市公安局浦口分局警方远赴海南儋州将一“机票改签”诈骗团伙抓获。据犯罪嫌疑人交代,其是从网上特殊渠道搞到了旅客订票信息,然后以每条15元的价格买下,定向实施诈骗。
今年8月,深圳市也开展了打击机票改签类诈骗专项行动,据专案组抓获的一名犯罪嫌疑人交代,有人可以登录一个数据平台查询到订票客户的信息,然后将这些信息层层转卖。
深圳市警方相关工作人员向法治周末记者表示,为了查明泄露信息源,专案组深入调查了民航信息的管理,约谈深圳民航××有限公司。该公司有一个专门的数据平台,掌握着各大航空公司的订票数据。在调查中,警方发现,民航信息管理权限逐级下放,没有严格管理。其时,警方已要求该公司向总部报告,强化对订票乘客数据特别是联系电话信息的管理。
前述业内人士对法治周末记者表示,只能说,深圳这个案件是由于管理权限逐级下放所致,而并不能推导出其他航班旅客信息泄露也是由此引发。
法治周末记者了解到,为杜绝频繁发生的信息泄露现象,今年10月22日,民航总局下发了《关于开展打击防范非法侵入民航信息系统犯罪专项行动的通知》(以下简称《通知》)。《通知》指出,近段时间以来,民航信息系统遭到多种形式的非法利用,民航总局将开展为期一年的专项行动。
律师质疑中航信电子售票系统
尽管深圳警方并未透露涉案民航公司的全称,但一位业内人士对法治周末记者表示,目前国内能够掌握各大航空公司订票数据的只有中国民航信息网络股份有限公司(以下简称“中航信”)。
公开资料显示,中航信是中国民航信息集团旗下的企业,目前国内除了民营航空公司春秋航空外,中国大陆的航空公司都使用中航信的订票系统。其官网信息显示,其目前服务30多家航空公司以及7000家机票代理人,中航信通过发放配置和提供信息收取费用。
事实上,去年航班改签短信诈骗事件频繁见诸报端时,有业内人士就曾推测是否为中航信系统被滥用。为此,中航信新浪官方微博曾给予坚决的否认,称自己对信息保护有着非常严格的规定。法治周末记者也曾试图联系中航信,但中航信工作人员称,公司在APEC会议期间放假,因此无法给予答复。
其实在2010年,中航信曾在全国范围内清理过违规外挂机票销售平台,不过截至目前,黑票代非法接入中航信系统这个问题似乎并没有得到根治。
上海泛洋律师事务所高级合伙人刘春泉对法治周末记者表示,越来越多的证据表明:除春秋航空外,所有中国民航企业的中航信电子售票系统对信息保护的设计不合理,不能充分满足法律保护个人信息的相关要求,可能是泄露个人信息的源头之一,也是机票诈骗高发的重要原因之一。
刘春泉呼吁,中航信应当尽快采取有效措施,对系统和业务流程进行法律审核,落实法律保护个人信息的要求,对代理商权限重新进行合理的设定,防范个人信息泄露。当然,这些建议,刘春泉认为也同样适用于各航空公司和携程、去哪儿网等机票销售平台企业。
“保护个人信息是专业性较强的工作,需要结合信息技术特点和业务流程完善系统的设置,而在软件系统设计方面,目前普遍缺乏精通业务的法律专家深度参与。”刘春泉说。
“一些特殊旅客出行信息的泄露,甚至会牵涉到国家安全。”西安交通大学信息安全法律研究中心主任马民虎教授对法治周末记者表示,民航部门须加强信息系统的管理,加强对机票代理人资格的管理和后续监督检查,防止客户信息被泄露。
出售旅客信息可被追刑责
中国民航大学教授李晓津告诉法治周末记者,除了民航系统自身要加强信息系统的维护和管理外,对于泄露客户信息牟利的行为也要通过法律的手段予以惩处,才能对其他不法分子产生震慑。
法治周末记者查询公开信息得知,目前针对航班改签短信诈骗案件,多地警方已有斩获,不过多是对实施诈骗的团伙缉拿归案,并以诈骗罪绳之以法,但是对于泄露信息的幕后黑手目前还缺乏公开的资料和报道。
马民虎对法治周末记者介绍,全国人大常委会在《关于加强网络信息保护的决定》中明确指出,网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。
对于泄露、出售或者非法向他人提供信息的行为,马民虎指出,我国刑法也明确规定了应承担的刑事责任。刑法第二百五十三条明确规定,国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。