国庆前夕,又成功狙击一个倒卖机票的不法团伙
中秋国庆临近,热门航线机票预定量暴增。顶象防御云业务安全情报中心,监测到一个不法团伙进行虚假占座攻击,倒卖热门航班机票。在顶象协助下,该航空公司有效阻截多日的攻击,保障乘客购票利益。
热门航班遭到“倒票”攻击
今年中秋节、国庆节连休8天,国内热门城市机票预订量、酒店预订量均比2019年同期显著增长,将成为近五年最火国庆长假。
相关数据显示,自9月10日起,平台上“十一”出行的机票预订量显著增长,环比上一周增长六成。截至9月15日,“十一”假期国内热门城市机票提前预订量已超过2019年同期两成。除了北京、上海、成都、广州、杭州等热门城市,热衷于比价的年轻人选择邯郸、洛阳、柳州、淮安、伊春这些拥有支线机场的“小城市”,交通便捷、设施服务匹配的“小机场”城市“十一”假期或将迎来新的客流高峰。另外,国际机票方面,距离“黄金周”还有半个月时间,国际机票的预订量就已远超去年“黄金周”全程。
随着机票预定量大增,针对机票的攻击威胁也成倍增长。顶象防御云业务安全情报BSI-2023-038g号情报显示,本月7日起,某航空公司的B2C官网订单猛增4倍。新增的大量交易仅下单却不支付,是典型的虚假占座攻击行为。
数据显示,不法团伙的攻击行为,在下单时间、订单数量、航线以及特定的IP地址上体现得很明显。
时间集中:从9月7日开始,该航司的B2C网站渠道成交订单量出现了显著增长,从平均每天450笔左右上升到1600笔以上。这些新增订单的下单时间非常集中,表现为在短时间内对同一航线集中下单,然后隔几个小时又集中对另一航线进行下单。
航线固定:被集中下单的航线都是热门航线的往返城市,即该航空公司的主要运营航线。攻击者选择热门航线可能是为了提高攻击效果和对航司造成更大的损失。
数量固定:这些新增订单在乘机人数量方面存在特点,每笔订单的乘机人数量都是5人。这种固定数量可能是攻击者为了最大限度地占用座位资源而设定的。
IP地址固定:对查询到的IP地址进行分析,发现这些订单主要来自北京某个云服务器。这可能意味着攻击者使用了该服务器来发起虚假占座攻击,通过伪造IP地址来隐藏其真实身份和位置。
虚假占座的若干危害
虚假占座导致座位资源被浪费、订单处理效率下降等,给航空公司和乘客均带来不同影响。
加价倒卖给乘客:通过虚假的身份信息预订航线机票。在航空公司允许的订票付款周期内,加价转售给真正需要购票的消费者。这就导致部分机票并未售出,但消费者在航空公司查看时却显示已售罄。这种行为不仅损害消费者的合法权益,更是严重扰乱航空公司的正常运营。
影响机票的动态定价:虚假的搜索查询量会导致航空公司收益管理系统算法产生误判,给出不符合实际情况的运价调整(即机票价格)。例如,原本某航班机票售价只要400元,虚假流量查询暴增10倍后,航空公司网站的订票系统会计算为购票旅客暴增,从而瞬间涨价至2000元,严重损害消费者权益以及平台的口碑。
顶象的防控建议
基于以上风险特征,顶象防御云协助该航司对业务安全体系进行了如下优化。
对固定下单IP进行限制:针对来自固定下单IP的订单,可以设置一定的限制规则,例如限制每个IP地址的下单频率或数量。这样可以减少攻击者利用同一IP地址进行大量虚假占座订单的可能性。
新增同航线短时间订单量激增限制:针对在短时间内新增的同一航线订单数量激增的情况,可以设定阈值进行限制。当订单量超过设定的阈值时,系统可以触发监测机制,对这些订单进行深入审核或要求额外验证,以确保订单的真实性。
新增同航线短时间累计乘机人数激增限制:除了订单数量,还可以设定同一航线在短时间内新增乘机人数的阈值。如果某航线的累计乘机人数在特定时间段内激增超过阈值,系统可以主动触发风险提示,并要求订单提交者提供额外的验证信息,以确认其真实意图。
对同设备、同订单联系人且不支付的交易进行限制:识别同一设备或同一个订单联系人手机号下的多个订单,如果这些订单都没有进行支付操作,可以将其标记为风险订单,并对其采取限制措施,如暂停接受该设备或手机号的新订单,或要求额外验证等。这有助于减少恶意行为和虚假占座行为的发生。
拦截恶意行为订单,风险订单转人工协助:针对被系统识别为恶意行为或风险的订单,可以直接拦截并拒绝处理。同时,为了保证真正需要帮助的用户能够成功下单,对于被标记为风险订单的用户,可以提供人工协助的服务,以确保其正常的预订需求得到满足。
通过以上防范措施,航空公司可以提高系统的安全性和防护能力,减少虚假占座攻击的风险,增加航司的订单处理效率,保障客户的预订体验。此外,还通过持续的监测和分析,及时调整和优化防范策略,应对不断变化的威胁形势。
安全措施优化后的效果
根据以上规则布控后的情况,该航司成功拦截了大量的虚假占座订单攻击,风险识别占比上涨52%。
恶意攻击和虚假订单均被拦截:规则布控后,很多恶意攻击和虚假订单都被系统成功拦截,保护了航司的利益和用户的安全。
大幅提升风险识别占比:优化后的防范规则,使风险识别率上升52%。
订单数据恢复正常:由于恶意攻击和虚假订单的拦截,系统对正常预订的订单数据恢复了正常状态。这意味着航司可以更准确地获取和处理真实的订单信息,提高订单管理效率,并为用户提供更好的预订服务和体验。
通过规则布控,航司成功地应对了风险行为的威胁。系统能够高效识别和拦截恶意攻击和虚假订单,维护了航司的利益和声誉,同时增加了用户的安全防护和信任感。
本轮安全防护中用到的产品
本轮安全防控,基于航班、起始城市、乘机人数等信息,运用风控系统、设备指纹产品和验证码的产品组合。
顶象智能验证码。作为顶象防御云的一部分,智能验证码能够阻挡恶意爬虫盗用、盗取数据行为,在注册、登录、查询时,对恶意账号、恶意爬取行为进行实时的核验、判定和拦截。
顶象设备指纹。作为顶象防御云的一部分,设备指纹能够对代码注入、hook、模拟器、云手机、root、越狱等风险做到有效监控和拦截。
顶象风控引擎。根据业务查询场景的请求、客户端采集的设备指纹信息、用户行为数据行为,实现对恶意行为的有效识别和拦截。