炸裂!“航司融资”竟是电诈骗局,机票成洗钱工具

航空公司如何被电诈分子利用?

“XX航空公司,连续两年盈利百亿,现因要偿还中国香港政府贷款,特高息向投资者融资人民币,年息7%,资金直达航司,安全有保障”、“XX航空公司,阿拉伯X国王室全资持股,现因参与一带一路,采购中国国产大飞机,特向中国投资者融资人民币”……

最近的江湖上,一种以航空公司为名,借用国际机票作为洗钱渠道的诈骗方式涌现出来。

这段时间,我接到不少航空公司朋友联系,表示他们的内地和香港办事处被内地经侦和香港CCB(商业罪案调查科)上门,希望能够作为证人协助调查。

航空公司平常素来奉公守法,还能被JC找上门,实在是稀奇古怪。

内地和香港的JC向我们的客户(航空公司)表示,他们在侦办电信诈骗案件的过程中,发现了一些新形式的电信诈骗案件,希望航司设在内地和香港的代表处,可以在证人的身份下协助调查。

根据和航司、JC的讨论,我们惊奇地发现,现在电诈分子竟然把航司当“洗钱工具”用。

这些案件通常遵循如下的模式:

  • 第一条线:电诈分子先是在网络上低价兜售机票,一般是较官网略微便宜的国际两舱机票。待乘客下单付款后,骗子就在官网购买同行程机票,并选择使用电子钱包付款。由于官网网页端不具备直连能力,因此官网会显示一个付款码,供购票人以手机扫描后付款。
  • 第二条线:电诈分子已经以刚刚的“航司高息融资”名目,成功蛊惑了一批受害者。这时,骗子巧立名目,将(第一条线)的机票付款码发送给受害人,由于机票付款码显示的商户是骗子宣称要“借钱”的航空公司,受害者多数不会起疑,认为自己在支付“投资款”。
  • 两条线合流:在骗子的操纵下,这件事本质上就变成,电诈受害者花钱给乘客买了机票,但乘客却把机票款给了骗子。骗子拿到了钱,乘客拿到了机票,只有电诈受害者认为自己投资了航司,结果最后血本无归。

由于骗子多数在境外寻找乘客(我们的内部调查发现,乘客来自世界各国),整个流程后资金即已洗至境外。

我们最后一致认为,这是一种混合了信用卡盗刷诈骗和电信诈骗,加之以洗钱特点的复杂刑事案件。考虑到这种案件对航司的负面影响,我们有必要指出这种案件与既往案件在风险控制上的差异。

最明显的差异在于,原先的电诈模式基于转账,骗子多数使用境内收集来的私人账户收款。由于涉及和陌生人之间的私人交易(例如大额资金流入),银行进行风险提示和控制相对容易。

但是,现在的模式基于消费。航空公司账户本身就是大额资金往来频繁的账户,一般购买国际两舱机票,一张十万多元,甚至多人机票下数十万元的情况也很普遍。因此银行多数不会对航司账户明显设限,受害者在“投资”时,银行也不会做出风险控制(例如制止或通报JC)。

同时,原先的转账模式下,资金一方面通常会在境内流转好几轮才能出境,JC有一定的反应时间追回资金。但现在的模式下,由于国际机票特性,资金对于骗子而言会即时出境。

这相当于将原先多轮的步骤简化为一步,诈骗隐蔽性大大提高。

同时,既往的信用卡盗刷案件,被盗刷人是不知情的,因此收到银行短信之后会即刻投诉“我被到盗刷了”,从而申报止付。

此时,由于乘客尚未成行,航空公司还可以即时注销预订,并无座位损失。

然而,这种新型案件下,被“骗刷”人是知情的——他刷卡之后要隔一段时间(根据两地JC的反馈,普遍时间在2到3天,甚至有30天)才会意识到自己上当,而当提出止付时,旅客往往已经成行。

我们在客户电脑中查询的数据显示,大部分此类骗刷机票都是当天出票后隔一段时间才成行,显示出电诈分子有信心自己的骗刷行为,不会在短期内被受害苦主发现。

此类案件的另外一个特点在于,由于报案周期延长,事情变得复杂化。

由于盗刷案件行之有年,航空公司和警察在盗刷案件的处理上已经有所默契。在盗刷案件中,由于航空公司通常会当场拒绝乘客办理登机牌并提示旅客机票已被退票,乘客此时会变为受害人(相当于所付的票款被盗刷人诈骗),通常会即时报案,并配合JC提供骗子的个人信息(例如即时消息工具的联系方式和聊天记录)。

但是,在骗刷案件中,由于受害者反应慢,乘客多数可以顺利成行。人走了,JC就通常难以再度联系和接触(尤其是已离境的国际旅客),配合JC调查变得非常困难。在我们的沟通中,甚至有受害者被骗数万元,为旅客购买了从欧洲出发到大洋洲的机票的案例。

对于JC而言,由于大部分受影响的航空公司都是境外航空公司,事情更加复杂化。

外国航空公司的旅客资料等,一般储存在诈骗受害者(以及负责JC)所在的司法管辖区以外的服务器,因此向执法机关提供旅客个人信息往往需要履行更加复杂的法律程序(例如内地《个人信息保护法》第四十一条,或者欧盟GDPR、英国Data Protection Act of 2018)。

同时,我们也发现多重复杂性(不妨假设中国内地人被骗,在中国香港的航空公司官网,给一个从加拿大出发,经香港转机,目的地是澳大利亚的,印度旅客,买票),这使得协助调查所牵涉的合规问题更加复杂,追溯骗子的路途也更加困难。

骗子较以往案件更加嚣张的另外一个特点在于,传统的信用卡犯罪一般由航空公司发起扣款请求,航空公司可以事先根据持卡人填入的信息,进行信息核实——例如检查持卡人的姓名是否和乘机人的姓名一致,或是信用卡的卡号是否已被拉黑。

这使得哪怕银行当前未有拒付,航空公司也可以将该订单视为风险订单而有所准备(例如:直接拒绝发起扣款请求,并主动拒绝服务)。

但是,由于付款码付款模式下,航空公司发起扣款请求时,并无核实用户信息的渠道。尽管航空公司依旧会收集旅客的账单地址等信息,但是由于扫码多数由支付网关(例如电子钱包公司的API)处理,航空公司无法提前进行风险评估并主动终止交易。

而现在电子钱包的API文档下,即使支付成功,回调结果也不会显示支付人的个人信息(例如支付人的姓名),使得航空公司无法在支付后验证是否退单。这使得此类“骗刷”案件无法像以往的信用卡盗刷那样,通过技术手段拦截。

考虑到此类犯罪的特性,我们认为所有航空公司,甚至是在网页端接受旅客扫描付款码付款,而导致付款设备和订单设备分离的企业(例如OTA),都有可能被卷入此类犯罪中。

事实上,我们通过公司内部自查,已经发现有中国以外国家的受害者,使用马来西亚等国可与中国电子钱包互联互通的电子钱包,支付涉案的款项。

我们已经提示我们的航空公司客户,对软件流程进行必要的修改。考虑到这种犯罪的社会影响,我们认为防治此类犯罪需要每个行业参与者的积极参与。

我们建议航空公司采取以下的措施:

1.将电子钱包支付限于手机SDK(也即在手机APP、小程序支付后直接唤起);

2.扫码付款时,要求支付人在手机端二次确认行程、乘机人等信息; 

3.对电子钱包施加支付限制(例如拒绝以中国电子钱包支付并非来往中国的航班)。

我们建议电子钱包支付网关(例如微信支付、支付宝)采取以下措施:

1.提供符合PCI DSS的支付人信息校验端口(例如信用卡公司提供的地址校验服务Address Verification Service AVS),允许商户校验支付人的信息(如身份证号码、姓名和手机号码)是否和预先收集、提供的信息一致。

2.允许客户关闭电子钱包的境外线上支付功能,或为此自行设置保护性限额。

3.在明显超出用户平常支付习惯的交易(例如据经侦同志反馈,有普通市民支付五万元购买商务舱机票)中,明确收集客户的支付目的。

4.在扫描付款码的付款窗口中,明确提示商户(类似于Level II)甚至是具体商品信息(Level III)。

同时我们建议政府采取订立合理的政策指引,明确使用受害者资金购买机票的旅客是否有配合调查的义务。这将为航空公司提供清楚指引,以便航空公司(尤其是外国航空公司)在合规框架下配合执法和司法机关的数据调查请求。

当然,我们提醒各位消费者:航空公司通常是超大型企业,向银行融资一次动辄数百亿,早已经是银行的VVIP大客户了。航司向银行贷款,利率往往和您存银行的利率持平,何必向您“高息融资”呢?

我们和我们的客户热爱航空行业。保护旅客的顺利出行和个人信息安全,是我们对旅客的庄严承诺;而保护自身免于沦为骗子的洗钱工具,则是我们作为企业公民应尽的责任。

*本文仅代表作者观点,不代表环球旅讯立场。

李瀚明
李瀚明
个人主页

使用微信扫一扫

已发表文章 91 篇

环球旅讯特约评论员

我是李瀚明,一位乐于在环球旅讯上和航旅同行们讨论知识的评论员。欢迎通过旅连连和我交换名片。

© 以商业目的使用环球旅讯拥有版权的内容,请遵循环球旅讯 版权声明 获得授权。非商业目的使用,请遵循 CC BY-NC 4.0

评论

未登录

去登录
公众号二维码

关注『环球旅讯』公众号

获得最新行业资讯

分享
微信
微博
QQ
收藏
评论
点赞
顶部
微信扫码分享
打开微信扫一扫

微信扫码参与话题讨论