骇客窃取飞行哩程上暗网便宜卖

暗网上什么都卖，什么都不奇怪。安全研究人员发现，多家航空公司的飞行常客账号被骇，使好不容易累积的哩程遭窃取，并以极低廉的价格在网站贩售。

安全公司Comparitech在8月间针对暗网上数家交易市集，包括全球最大的黑市之一的Dream Market、Olympus Market和Berlusconi Market做了一番调查，发现飞行常客账号及哩程数竟然很夯。其中Dream Market上一个名为@UpInTheAir的账号以销售10多家哩程累积计划点数，包括阿联酋Skywards、亚洲万里通、达美航空SkyMiles等计划，皆以数万点为单位，10万点才卖884美元。

在所有交易市集及卖家中，以达美航空及英航点数是最常见的商品。哩程价格是依据卖家的喜好而非供需而定。所有价格都是根据比特币或门罗币（Monero）计价，因而换算成合法货币价值略有不同。不过和线下世界比，价格还是便宜。普通航空公司哩程点数是每哩价值1到2美分，如果以暗网上10万哩卖1,500美元来计算，一哩才0.15美分，是合法购买价的1/10。

至于飞行哩程是怎么流入暗网中的？通常骇客是先透过网钓邮件或骇入航空公司服务器，取得合法账号、密码和PIN。接着他们可以选择兜售被骇的账号或将其哩程点数转到其他合法账号下，后者比较安全，因此价格也比较贵。

在暗网上购买这些点数的人通常不会用来买机票或订饭店房间，因为这些都需要有护照或身份证明。但他们可以在本地店家兑换商品，通常是透过集点卡为之。例如今年三月Air Miles飞行常客计划就警告有会员点数被窃用来在合作店家购物。由于会员动用点数消费不需输入密码或PIN，店员也不太会要求出示护照或身份证明。

由于少了身份验证的过程，有价的哩程点数就成了骇客和窃贼属意的下手目标，而且因为一般人不太会使用或检查飞行常客账号，因此窃贼往往可以肆虐几个月都不被发现。

此外，虽然大部分哩程回馈计划不太允许，但是网络上有很多掮客收购这些哩程点数。他们通常从合法（未遭用户通报或被航空公司列入黑名单）账号收购点数，以便用这些点数为其客户升级头等或商务舱或取得其他优惠。此外，家人亲友之间转让点数是合法的。虽然航空公司有防范诈欺的措施，但往往很难抓到不法活动。

研究人员还发现有些骇客盗用合法账号取得点数后立即兑换成商品，然后销售这些商品。例如有俄罗斯骇客利用偷来的点数购买升等、饭店房间或租车，再设立看似合法的网站卖给不知情的客户。

为防止哩程点数被盗，研究人员建议飞行后就销毁登机证、不要在网上张贴登机证相片。飞行常客计划账号使用不重复利用的强密码、并经常注意账号是否有可疑活动。如果你参加的飞行常客计划太多，也可用AwardWallet等app来管理。在外旅行时，不要把航空公司账号写在行李吊牌上，也不要用公共Wi-Fi 来存取账号。