Du khách kêu trời khi mua vé máy bay vì bị bot đặt vé ảo 'chiếm chỗ' và thổi giá gián tiếp

10 giờ trướcBài gốc

Du khách sẽ trở thành nạn nhân của bot độc hại

Ngành du lịch là mục tiêu tấn công của bot độc hại

Báo cáo Bad Bot Report 2025 của Thales đã vạch trần một sự thật đáng báo động: ngành du lịch chiếm tới 27% tổng hoạt động bot trên toàn cầu năm 2024, trở thành lĩnh vực bị tấn công nhiều nhất. Con số này không chỉ là một thống kê khô khan mà phản ánh một cuộc khủng hoảng thực sự đang diễn ra ngay trước mắt chúng ta.

Tim Ayling, chuyên gia an ninh mạng tại Thales, đã mô tả tình hình một cách sinh động: "Bot độc hại không chỉ gây hỗn loạn trực tuyến, mà chúng còn đang "cướp đoạt" kỳ nghỉ của nhiều người. Ngay lúc này, các trang web du lịch đang bị quá tải bởi bot giả danh khách hàng thật, chiếm giữ vé máy bay, thu thập giá cả và làm chậm mọi thứ".

Điều đáng lo ngại hơn cả là các bot này không còn chỉ là công cụ của những hacker tinh vi, với sự phát triển của AI và các công cụ tự động hóa, ngay cả những kẻ tấn công thiếu kỹ năng cũng có thể triển khai bot chỉ bằng các script đơn giản hoặc dịch vụ proxy miễn phí.

Một trong những chiến thuật phổ biến nhất mà bot sử dụng là "seat spinning" - một hình thức tấn công tinh vi và khó phát hiện. Bot sẽ bắt đầu quy trình đặt vé nhưng không bao giờ hoàn tất thanh toán, tạo ra tình trạng "chiếm giữ ảo" hàng loạt ghế máy bay.

Hậu quả của chiến thuật này là cực kỳ nghiêm trọng. Khi hàng nghìn ghế bị chiếm giữ tạm thời, tình trạng khan hiếm giả được tạo ra, khiến các thuật toán định giá tự động tăng giá vé. Những hành khách thực sự không chỉ phải đối mặt với giá vé cao hơn mà còn bị tạo ra cảm giác cấp bách phải đặt vé ngay lập tức.

Điều đáng sợ hơn nữa là nhiều bot còn thực hiện "ticket scalping" - mua vé với giá gốc rồi bán lại với giá cao hơn nhiều lần, buộc khách hàng thật phải chấp nhận những mức giá cắt cổ hoặc tìm kiếm các chuyến bay thay thế với lịch trình không phù hợp.

Bot lắm thủ đoạn

Bot không chỉ dừng lại ở việc làm tăng giá vé. Chúng còn thực hiện "SMS pumping" - một hình thức tấn công khác không kém phần tinh vi. Bot sẽ kích hoạt hàng loạt tin nhắn văn bản đến các số điện thoại có cước phí cao, không chỉ làm tăng chi phí vận hành của các công ty du lịch mà còn có thể làm chậm trễ những thông báo quan trọng đến khách hàng thực.

Đặc biệt đáng lo ngại là cuộc tấn công vào các API - những "huyết mạch" của các trang web du lịch hiện đại. Gần một nửa số cuộc tấn công bot tiên tiến hiện nay nhắm vào các API điều khiển kết quả tìm kiếm, công cụ định giá và chương trình khách hàng thân thiết. Khi những hệ thống này bị quá tải, toàn bộ trang web có thể chậm lại hoặc thậm chí sập hoàn toàn.

Điều làm cho cuộc chiến này trở nên phức tạp hơn bao giờ hết là khả năng tiến hóa của bot. Chúng không còn là những chương trình máy móc, dễ nhận biết. Thay vào đó, bot hiện đại sử dụng các kỹ thuật tiên tiến để bắt chước hành vi người dùng thật một cách tinh vi đến mức khó có thể phân biệt.

Việc sử dụng VPN và dịch vụ proxy - những công cụ thường được liên kết với quyền riêng tư - giờ đây bị lợi dụng để che giấu lưu lượng độc hại, tạo ra vẻ ngoài của những người dùng hợp pháp truy cập từ nhiều khu vực khác nhau trên thế giới.

Các phương pháp bảo vệ truyền thống như CAPTCHA - từng được coi là rào cản hiệu quả - giờ đây không còn đáng tin cậy. Thậm chí, chúng còn gây khó chịu cho người dùng thật nhiều hơn là chặn được bot. Đây chính là một trong những nghịch lý đau đớn của cuộc chiến công nghệ hiện đại.

Du khách kêu trời

Đối với những du khách thực sự, tác động của cuộc tấn công bot này là vô cùng cụ thể và đau đớn. Những người đặt vé vào phút chót - một nhóm ngày càng đông đảo trong thời đại di động - thường dựa vào các cập nhật thời gian thực để đưa ra quyết định. Khi hệ thống bị bot làm chậm hoặc sập, họ không chỉ mất đi cơ hội có được mức giá tốt mà còn có thể bỏ lỡ hoàn toàn chuyến đi.

Vấn đề trở nên nghiêm trọng hơn khi xem xét rằng trong môi trường số hiện tại, lưu lượng tự động đã vượt qua lưu lượng con người trên web. Điều này có nghĩa là trong mỗi lần bạn tìm kiếm chuyến bay, có thể có hàng trăm, thậm chí hàng nghìn bot cũng đang thực hiện cùng một hành động, tạo ra sự cạnh tranh không công bằng và méo mó thị trường.

Trước thực trạng này, các chuyên gia an ninh mạng khẳng định rằng các biện pháp phòng thủ truyền thống đã không còn đủ sức. Tim Ayling nhấn mạnh: "Các biện pháp phòng thủ truyền thống đơn giản là không còn hiệu quả. Các công ty du lịch cần một cách tiếp cận thông minh, đa lớp, chặn các cuộc tấn công credential stuffing và bảo mật các khu vực dễ bị tổn thương như đăng nhập và thanh toán thông qua việc kiểm tra liên tục và giám sát mối đe dọa".

Cần thay đổi cách phòng thủ

Điều này đòi hỏi một sự thay đổi căn bản trong cách thức tiếp cận bảo mật. Thay vì chỉ tập trung vào việc "nhìn thấy" các mối đe dọa, các công ty du lịch cần phát triển khả năng "phân biệt chính xác" giữa bot và con người, giữa lưu lượng hợp pháp và độc hại.

Cuộc chiến chống bot trong ngành du lịch không chỉ là một vấn đề kỹ thuật mà còn là cuộc đấu tranh cho tương lai của trải nghiệm du lịch số. Trong một thế giới nơi công nghệ AI ngày càng phổ biến và dễ tiếp cận, ranh giới giữa tự động hóa tích cực và bot độc hại đang ngày càng mờ nhạt.

Việc giải quyết vấn đề này đòi hỏi sự hợp tác không chỉ từ các công ty công nghệ và du lịch, mà còn từ các cơ quan quản lý và cả cộng đồng người dùng. Chỉ khi tất cả các bên liên quan cùng nhau hành động, chúng ta mới có thể bảo vệ được quyền lợi của những du khách thực sự và đảm bảo rằng ước mơ du lịch không bị biến thành ác mộng bởi những kẻ tấn công vô hình.

Bùi Tú

Nguồn Một Thế Giới : https://1thegioi.vn/du-khach-keu-troi-khi-mua-ve-may-bay-vi-bi-bot-dat-ve-ao-chiem-cho-va-thoi-gia-gian-tiep-235443.html