顶象 · 2023年06月28日 · 浙江

业务安全情报17期 | 国际航班上,小“票代”在疯狂倒卖高价票

顶象防御云业务安全情报中心监测发现,某航空国际航班,遭遇恶意网络爬虫的持续攻击。高峰时期,B2C网站恶意网络爬虫的访问量达84%,严重占用网络带宽。此外,小“票代”还进行航班票价的倒卖,直接影响乘客正常查询和购票。

乘坐国际航班,躲不开的“票代”

《2022年民航行业发展统计公报》显示,国际航线完成旅客运输量186.08万人次,比上年增长26.0%;国际航线完成运输起飞架次9.82万架次,比上年增长1.6%。在6月份,民航局例行的新闻发布会上相关负责人表示,民航局持续推进国际客运航班平稳有序恢复。6月5日-6月11日这一周,实际执行的国际客运航班量已经达到5822班,通航61个国家。预计,暑运期间国际客运航班将增至每周6000班以上。

随着国际航班逐步恢复,官网机票价格也相对之前有所下降,但对于大多数普通人来说,乘坐国际航班,随时遇到“票代”高价倒票的风险。

所谓“票代”,即机票代理商,包含机票代理销售包括在线平台(OTA)、各大旅行社批发商、代理公司等。代理公司分为一级代理商、二级代理商及无数小代理。其中,大代理商可以直接从航空公司定期切票,提前拿到热门航线的位置。相比之下,小代理只能从大代理渠道商加价拿票,或是用软件抢票、低价购买积分换机票等。

此外,大票代其通过与航空公司签订授权获得了机票资质后,可以购买中航信查询端口,查看国际航班机票信息。部分无力或无资格购买中航信查询端口的小“票代”,就盗用航空公司的查询端口。

小“票代”的网络爬虫与高价票

小“票代”制作网络爬虫程序,盗用航空公司查票接口,肆意非法抓取航空公司B2C网站或官方App等平台上的航班信息,不仅大量占用航空公司带宽资源,更白白消耗航空查询费用,而且还产生大量虚假的查询,导致航空公司对航班需求产生误判。因为网络爬虫会带来虚假假的搜索查询量,由此会让航空公司收益管理系统算法产生误判,给出不符合实际情况的运价调整(即机票价格),严重损害消费者权益以及航空公司的口碑。

此外,小“票代”用恶意网络爬虫抓取下航班票务信息后,再通过任意护照信息预订航线机票,在航空公司允许的订票付款周期内,加价转售给真正需要购票的乘客。这种“黄牛倒票”行为不仅损害消费者的合法权益,更是严重扰乱航空公司的正常运营。

除了售卖高价票外,很多“票代”还在社群、电商、社交媒体上销售“里程兑换”的票。“里程兑换”票又称为积分票,来源可能十分复杂。其实就是盗用航空公司会员账户的积分兑换的机票,更有不法分子盗刷的他人信用卡买票,然后冒充里程票卖给不知情的乘客。

某公司国际航班遭遇大量爬虫攻击

顶象防御云业务安全情报中心BSI-2023-ivru情报显示,某航空公司官方B2C网站国际航班搜索查询量陡升20倍。监测显示,搜索查询量暴增是在6月11日凌晨开始的,并连续3天呈现高访问趋势。基于搜索查询量分析发现有如下特征:

1、大多数的搜索查询账户的IP主要来自几个固定IP,存在明显的聚集特征。

2、大多数搜索查询账户的UserAgent(浏览器、浏览器内核、厂商等)与设备浏览器不一致风险。

3、来访请求中,恶意IP占比13%。

通过风险识别分析显示,该航空公司B2C网站上,国际航班的搜索查询量84%为恶意爬虫。

基于顶象防御云业务安全情报中心发布的《2022年航空业务风险数据分析》显示,非法“票代”最常见的欺诈手段包括异常token(伪造的用户凭证),模拟器&浏览器平台与UA不一致(UserAgent,使用模拟浏览器)、debug设备(设备调试)等。

基于爬虫风险的分析与防控建议

基于以上攻击特征,顶象防御云业务安全情报中心建议需要在如下方面做好检测:

1、及时发现模拟器、debug、代理、分辨率异常。

2、及时发现同一设备频繁切换IP行为。

3、及时发现同一IP地址、同一设备异常频次校验行为。

4、调用IP风险库,快速识别机房、代理、秒拨等风险IP。

顶象防御云业务安全情报中心建议该航空公司采用全流程的立体防控措施,定期对平台、App的运行环境进行检测,对App、客户端进行安全加固,对通讯链路的加密,保障端到端全链路的安全,部署基于顶象防御云、风控引擎和智能模型平台,构建多维度防御体系。

1、设备指纹。顶象设备指纹及时检测浏览器环境,识别是否是模拟器、debug、浏览器平台与UA不匹配等以及指纹token校验。

2、IP风险库,对用户所关联IP进行风险匹配,识别代理、秒拨IP风险。

3、风控引擎。Dinsight实时风控引擎根据业务查询场景的请求、客户端采集的设备指纹信息、用户行为数据行为(鼠标的滑动轨迹、键盘的敲击速率、滑动验证码的滑动轨迹、速率、按钮点击等行为轨迹等),基于安全防控策略,有效地对恶意爬取行为进行识别和拦截。

4、验证码。顶象智能验证码能够在注册、登录、查询时,对恶意账号、恶意爬取行为进行实时的核验、判定。对高风险查询拦截,无风险查询放行,中风险验证的方式优化处置。

此外,管理部门也在源头上要求航空公司加强防范。2020年,民航局发文要求,国际机票全部采取直销模式,遏制倒票炒票现象时有发生。同时,民航局已与相关部委成立了协同机制,对“黑代理”和“黄牛”高价倒票行为进行了严厉打击。为保护自身财产安全,请广大旅客通过航空公司官网、APP等直销渠道,以及有合法授权的销售代理人购买机票,并保留好有关凭证,避免上当受骗。


业务安全产品:免费试用

业务安全交流群:加入畅聊

推荐阅读
关注数
6
文章数
221
目录
极术微信服务号
关注极术微信号
实时接收点赞提醒和评论通知
安谋科技学堂公众号
关注安谋科技学堂
实时获取安谋科技及 Arm 教学资源
安谋科技招聘公众号
关注安谋科技招聘
实时获取安谋科技中国职位信息