Check Point：长假临近，飞行积分、酒店奖励积分黑市曝光

五一假期将近，随着疫情开放后第一个“小长假”的到来，各种长短途、国内外旅游攻略已经霸榜各大主流社交app。另一方面，由于疫情前收入波动受的影响，以及全球机票价格飞涨，人们通常会抢购最后一刻打折促销的特价机票，并总是会被各种超值特惠所吸引。不出意料，黑客和网络犯罪分子已开始利用人们的这种省钱心理为自己谋取不法收益。

近日，Check Point Research 曝光了一种日益增多的现象，揭露了几种网络犯罪分子以旅行为“伪装”的不法行径。

违法交易积分，用户恐成“同犯”

CPR的研究人员举例揭示了一个日渐兴盛的地下市场，其中攻击者和网络犯罪分子借助航空公司和酒店个人帐户被盗凭证，或者可用来购买机票及酒店住宿的奖励积分进行贩售。

网络犯罪分子使用的一种方法是提供包含奖励或飞行积分的酒店和航空公司帐户的被盗凭证。在黑客暗网论坛上，这些被盗凭证被免费提供或者有价销售。诸如万豪等酒店、达美航空和美国联合航空的此类帐户都在其列。网络犯罪分子还使用专用暴力破解工具从雷迪森酒店窃取帐户，最终目标是访问拥有奖励积分或绑定支付卡的帐户。

如下图所示，地下市场平台提供全球众多航空公司的机票。

下图展示包含奖励/飞行积分的被盗帐户交易

当我们要求购买包含积分的帐户时，卖家提供的商品。如截图所示，一个持有 1,500,000 以上积分的美国航空帐户的售价为 435 美元。

万豪酒店积分入住

下图为不法分子通过暴力破解出售雷迪森帐户奖励特别积分

暴力破解工具是一种用于破解或猜测密码或加密密钥的软件或程序，它会不断尝试每一种可能的字符组合，直至找到正确的字符组合。暴力破解工具经常被黑客用来非法获得计算机系统、网络和在线帐户的访问权限。

地下“旅行社”出售降价机票！  

Patriarch 服务可为买家提供比合法预定网点优惠 45-50% 的价格。提供相关服务的网络犯罪分子会使用航空公司和酒店被盗帐户获得这些折扣价格。下面这则广告（原文是俄文，旁边是由 CPR 翻译的英文）来自暗网，声称提供抵达全球目的地（除俄罗斯以外）的机票，最低订购价为 325 美元。

通过以上分享不难看出，不法分子正是抓住了用户旅游愿望高涨与价格敏感度上升的特殊时期进行牟利。然而，一旦由用户购买这些“廉价”产品或服务，他们不仅需要面对随时可能发生的被账户真实所有者举报、从而不得不中断旅游的风险，更有可能负担一系列相关法律连带责任。

网络钓鱼诈骗随处可见

网络钓鱼诈骗仍然是网络犯罪分子所用的一项主要技术，通常用于引诱用户提供其详细信息（包括财务信息），并以此来窃取资金和达成欺诈性交易。

该技术也被广泛用于旅游诈骗。本报告通过两个示例说明了网络犯罪分子如何冒充合法公司来引诱受害者。

在下面第一个示例中，可以看到一个模仿越南航空网站的网络钓鱼网站。该网站提供各种交易和信息，诱骗买家预订旅行。它使用了一个与越南航空网站相似的域名 https://vietnam-airline\.org。

模仿越南航空的网络钓鱼网站

在下面第二个示例中，大家可以看到一封发送给潜在受害者的恶意垃圾邮件，该邮件以西南航空公司的名义声称受害者赢得了一份奖励（在其他航空公司也看到了类似的活动）。该邮件来自不同的发件人，标题为“西南航空反馈”或“您已获得批准”等。

      电子邮件示例：

如何防范在线旅游诈骗：

• 警惕“天上掉馅饼”的交易：诈骗者往往利用诱人的交易来引诱毫无戒心的旅行者。如果价格好到难以置信，用户则最好不要相信。在旅游旺季，鲜有航空公司能够提供半价机票。
• 使用安全的支付方式：线上预订旅行时，使用安全的支付方式，例如信用卡或微信、支付宝等。这些支付方式可设置多重交易防护，并支持就任何未经授权的交易提出异议。
• 检查 HTTPS：在进行任何在线交易（包括预订旅行）时，务必确保网站的 URL 中包含 HTTPS。这表明该网站安装了 SSL 证书，后者会对用户输入的数据进行加密，从而确保其安全。
• 在通过线上机构进行预订之前，务必了解卖家的情况。用户可以访问其网站，阅读他人的评论，并打听是否有其他人使用过这家机构
• 检查 Web 地址：识别潜在网络钓鱼攻击的另一种简便方法是查找不匹配的电子邮件地址、链接和域名。在点击电子邮件中的链接之前，收件人应将鼠标悬停在链接上，以查看实际链接目的地。例如，如果该电子邮件看似是由美国航空公司发送的，但其域名中不含“americanairlines.com”，则表明这是一封网络钓鱼电子邮件。

在旅游旺季来临之际，Check Point衷心希望广大用户在进行交易时，更加冷静的审视所有交易信息，尽量在合理价格区间内寻找符合自己心理预期的旅游产品与服务。在充分保证合法、安全的前提下，用户才能以更加放松的心态享受来之不易的旅行时光。