暗網上什麼都賣,什麼都不奇怪。安全研究人員發現,多家航空公司的飛行常客帳號被駭,使好不容易累積的哩程遭竊取,並以極低廉的價格在網站販售。

安全公司Comparitech在8月間針對暗網上數家交易市集,包括全球最大的黑市之一的Dream Market、Olympus Market和Berlusconi Market做了一番調查,發現飛行常客帳號及哩程數竟然很夯。其中Dream Market上一個名為@UpInTheAir的帳號以銷售10多家哩程累積計畫點數,包括阿聯酋Skywards、亞洲萬里通、達美航空SkyMiles等計畫,皆以數萬點為單位,10萬點才賣884美元。

在所有交易市集及賣家中,以達美航空及英航點數是最常見的商品。哩程價格是依據賣家的喜好而非供需而定。所有價格都是根據比特幣或門羅幣(Monero)計價,因而換算成合法貨幣價值略有不同。不過和線下世界比,價格還是便宜。普通航空公司哩程點數是每哩價值1到2美分,如果以暗網上10萬哩賣1,500美元來計算,一哩才0.15美分,是合法購買價的1/10。

至於飛行哩程是怎麼流入暗網中的?通常駭客是先透過網釣郵件或駭入航空公司伺服器,取得合法帳號、密碼和PIN。接著他們可以選擇兜售被駭的帳號或將其哩程點數轉到其他合法帳號下,後者比較安全,因此價格也比較貴。

在暗網上購買這些點數的人通常不會用來買機票或訂飯店房間,因為這些都需要有護照或身份證明。但他們可以在本地店家兌換商品,通常是透過集點卡為之。例如今年三月Air Miles飛行常客計畫就警告有會員點數被竊用來在合作店家購物。由於會員動用點數消費不需輸入密碼或PIN,店員也不太會要求出示護照或身份證明。

由於少了身份驗證的過程,有價的哩程點數就成了駭客和竊賊屬意的下手目標,而且因為一般人不太會使用或檢查飛行常客帳號,因此竊賊往往可以肆虐幾個月都不被發現。

此外,雖然大部份哩程回饋計畫不太允許,但是網路上有很多掮客收購這些哩程點數。他們通常從合法(未遭用戶通報或被航空公司列入黑名單)帳號收購點數,以便用這些點數為其客戶升級頭等或商務艙或取得其他優惠。此外,家人親友之間轉讓點數是合法的。雖然航空公司有防範詐欺的措施,但往往很難抓到不法活動。

研究人員還發現有些駭客盜用合法帳號取得點數後立即兌換成商品,然後銷售這些商品。例如有俄羅斯駭客利用偷來的點數購買升等、飯店房間或租車,再設立看似合法的網站賣給不知情的客戶。

為防止哩程點數被盜,研究人員建議飛行後就銷毁登機證、不要在網上張貼登機證相片。飛行常客計畫帳號使用不重複利用的強密碼、並經常注意帳號是否有可疑活動。如果你參加的飛行常客計畫太多,也可用AwardWallet等app來管理。在外旅行時,不要把航空公司帳號寫在行李吊牌上,也不要用公共Wi-Fi 來存取帳號。


Advertisement

更多 iThome相關內容