航空品牌在网络钓鱼与加密货币欺诈中的异化机制研究

摘要

随着全球航空业的数字化复苏，航空品牌因其高信任度、跨国界属性及涉及高频资金流动的特征，正逐渐演变为网络犯罪活动的高价值跳板。本文基于BforeAI PreCrime实验室的最新监测数据，深入剖析了2025年至2026年间针对航空品牌的网络攻击新态势。研究发现，攻击者已不再局限于传统的凭证窃取，而是构建了包含仿冒域名注册、社会工程学诱导、商业邮件欺诈（BEC）及加密货币骗局在内的复合型攻击链条。特别是在公共突发事件（如航班中断）的协同下，攻击基础设施的部署速度显著加快，且出现了将航空品牌背书与虚假加密货币项目（如“航空公司币”）深度绑定的新趋势。本文通过量化分析11600余个恶意域名的分布特征，解构了针对旅客、员工及供应链合作伙伴的三维攻击模型，并从技术检测与防御架构角度提出了相应的应对策略。研究旨在揭示航空品牌在数字威胁景观中的异化过程，为行业安全防御提供理论依据与实践参考。

1 引言

航空业作为全球关键基础设施的重要组成部分，其数字化转型进程在提升运营效率与旅客体验的同时，也极大地扩展了网络攻击面。长期以来，网络安全研究的焦点多集中于航空公司的内部系统防护、乘客数据隐私保护以及航班调度系统的可用性。然而，近期威胁情报显示，攻击者的视角正在发生根本性转移：航空品牌本身正被武器化，成为发起大规模网络钓鱼与新型金融欺诈的核心载体。

传统观点认为，针对航空业的网络攻击主要源于地缘政治动机或有组织的黑客团体对核心业务系统的渗透。但最新的数据表明，一种更为隐蔽且经济驱动的攻击范式正在形成。犯罪分子利用公众对知名航空品牌的高度信任，通过注册海量包含特定关键词的仿冒域名，构建虚假的订票、值机及常旅客服务平台。这种攻击不仅直接威胁旅客的个人凭证与支付安全，更通过伪造招聘门户和供应商系统，向航空公司内部员工及上下游合作伙伴渗透，进而引发商业邮件欺诈（BEC）等深层危机。

尤为值得警惕的是，加密货币技术的引入为这类欺诈活动增添了新的维度。攻击者开始利用航空品牌的声誉背书，推广虚构的代币项目或设立支持数字资产支付的虚假预订平台，实现了从传统信息窃取向直接资产掠夺的跨越。此外，攻击活动与现实世界公共事件的耦合度显著增强，犯罪分子能够在航班中断等突发事件发生的数小时内，迅速启动针对性的钓鱼基础设施，实施精准诈骗。

本文旨在系统性地梳理这一新兴威胁景观。首先，基于BforeAI PreCrime实验室在2025年9月至12月期间的追踪数据，量化分析航空品牌恶意域名的规模与分布特征；其次，深入解构针对旅客、员工及供应链的三维攻击模型，揭示其背后的社会工程学逻辑与技术实现路径；再次，重点探讨航空品牌与加密货币欺诈结合的异化机制及其技术特征；最后，提出一套涵盖域名监测、行为分析及用户教育的综合防御框架。本研究不满足于现象描述，而是试图从攻击者视角还原其战术、技术与过程（TTPs），以期为航空业的安全治理提供具有实操价值的理论支撑。

2 航空品牌恶意域名的规模化扩张与特征分析

2.1 恶意域名注册的爆发式增长

根据BforeAI PreCrime实验室的监测数据，2025年下半年至2026年初，针对全球航空品牌的网络攻击呈现出指数级增长态势。在短短四个月的时间窗口内（2025年9月至12月），研究人员追踪到超过35个国际知名航空品牌的1799个可疑仿冒域名。若将视野扩大至整个航空产业链，包括小型支线航空、包机公司及航空服务供应商，恶意域名的注册总量更是高达11600余个。

这一数据的背后，反映了网络犯罪工业化（Cybercrime-as-a-Service）的成熟度。攻击者不再依赖单一的手工注册，而是利用自动化脚本批量生成并注册域名。这些域名的命名规则高度结构化，通常采用“品牌名+功能词+顶级域”的组合模式。其中，“flight”（航班）、“airline”（航空）、“booking”（预订）、“check-in”（值机）、“login”（登录）等高频词汇成为了攻击者的首选修饰语。例如，针对某知名航空公司的仿冒域名可能呈现为[brand]-flight-booking.com或[brand]-checkin-portal.net的形式。

2.2 域名拓扑结构与混淆技术

通过对这11600余个恶意域名的拓扑结构分析，可以发现攻击者在域名混淆技术上采用了多种策略以规避检测：

同形异义字攻击（Homograph Attacks）：利用Unicode字符集中视觉上与拉丁字母相似的字符（如西里尔字母）替换品牌名称中的关键字母。这种技术在视觉上极具欺骗性，普通用户难以通过肉眼辨别。

子域名嵌套：攻击者不再仅仅依赖主域名的相似性，而是利用合法的动态DNS服务或被盗用的合法子域名，构建深层嵌套的钓鱼页面。例如，checkin.[legitimate-subdomain].malicious-domain.com，利用合法子域名的信誉来掩盖最终的恶意目的地。

多顶级域（gTLD）滥用：除了传统的.com、.net外，攻击者大量注册 .xyz、.top、.club 等监管相对宽松且成本低廉的新通用顶级域。数据显示，在非.com后缀的恶意域名中，约有45%在注册后24小时内即投入活跃使用，显示出极高的“快闪”特征。

2.3 生命周期与存活率分析

与传统僵尸网络域名不同，航空品牌钓鱼域名表现出极短的生命周期和高频轮换特征。统计显示，约60%的恶意域名在活跃期不超过72小时。这种“打带跑”（Hit-and-Run）的策略旨在最大化欺诈收益的同时，最小化被黑名单收录的风险。一旦域名被安全厂商标记或被浏览器拦截，攻击者会立即弃用该域名，并启用预先储备的备用域名池。

这种高周转率对传统的基于信誉库的防御机制提出了严峻挑战。基于静态黑名单的拦截手段往往滞后于攻击者的域名轮换速度，导致大量新型钓鱼网站在未被收录前已成功窃取用户数据。因此，基于行为分析和机器学习模型的实时检测机制显得尤为重要。

以下代码示例展示了如何利用Python结合WHOIS数据与自然语言处理（NLP）技术，初步识别潜在的航空品牌仿冒域名。该脚本通过计算域名与已知航空品牌列表的编辑距离（Levenshtein Distance），并检测是否包含高危关键词，从而输出风险评分。

import Levenshtein

import re

from datetime import datetime

# 模拟已知航空品牌列表（实际应用中应包含全球主要航司）

KNOWN_AIRLINES = [

"delta", "united", "american", "lufthansa", "britishairways",

"emirates", "qatar", "singaporeair", "airfrance", "klm"

]

# 高危关键词列表

HIGH_RISK_KEYWORDS = [

"flight", "booking", "checkin", "login", "verify", "account",

"support", "refund", "crypto", "token", "airdrop"

]

def calculate_typosquatting_risk(domain_name):

"""

计算域名的仿冒风险评分

:param domain_name: 待检测的域名字符串

:return: 字典包含风险评分、匹配的品牌及命中的关键词

"""

# 提取主域名部分（去除www.和后缀）

# 简化处理，实际需使用tldextract库

clean_domain = re.sub(r'(www\.|https?://)', '', domain_name).split('/')[0]

main_part = clean_domain.split('.')[0]

risk_score = 0

matched_brand = None

hit_keywords = []

# 1. 检查品牌相似度 (Typosquatting)

min_distance = float('inf')

for brand in KNOWN_AIRLINES:

dist = Levenshtein.distance(main_part.lower(), brand.lower())

# 允许1-2个字符的差异，或者品牌名完全包含在主域名中

if dist <= 2 or brand in main_part.lower():

if dist < min_distance:

min_distance = dist

matched_brand = brand

if dist == 0:

risk_score += 30 # 完全匹配品牌名但可能有后缀欺骗

elif dist == 1:

risk_score += 50 # 单字符差异，高风险

elif dist == 2:

risk_score += 30 # 双字符差异，中高风险

# 2. 检查高危关键词组合

for keyword in HIGH_RISK_KEYWORDS:

if keyword in clean_domain.lower():

risk_score += 10

hit_keywords.append(keyword)

# 3. 特殊逻辑：如果同时包含品牌和"crypto"/"token"，风险倍增

if matched_brand and any(k in ['crypto', 'token', 'airdrop'] for k in hit_keywords):

risk_score += 40

return {

"domain": domain_name,

"risk_score": min(risk_score, 100), # 封顶100

"matched_brand": matched_brand,

"hit_keywords": hit_keywords,

"assessment": "High Risk" if risk_score > 60 else "Medium Risk" if risk_score > 30 else "Low Risk"

}

# 模拟测试数据

test_domains = [

"delta-flight-booking.com",

"united-airlines-verify.net",

"britishairways-checkin-portal.xyz",

"emirates-crypto-token.com", # 新型加密货币欺诈

"lufthansa-support-refund.org",

"random-travel-site.com"

]

print(f"{'Domain':<35} | {'Score':<5} | {'Brand':<15} | {'Keywords':<20} | {'Assessment'}")

print("-" * 90)

for domain in test_domains:

result = calculate_typosquatting_risk(domain)

keywords_str = ", ".join(result['hit_keywords']) if result['hit_keywords'] else "None"

brand_str = result['matched_brand'] if result['matched_brand'] else "N/A"

print(f"{result['domain']:<35} | {result['risk_score']:<5} | {brand_str:<15} | {keywords_str:<20} | {result['assessment']}")

上述代码逻辑展示了自动化检测的基础思路。在实际部署中，还需结合WHOIS注册时间的 freshness 检测、SSL证书颁发机构的可信度分析以及网页内容的视觉相似度比对，才能形成闭环的防御体系。

3 多维攻击模型的构建与演进

航空品牌网络钓鱼活动已不再是单一的点对点欺诈，而是演变为一个覆盖旅客、员工及供应链合作伙伴的立体化攻击网络。攻击者根据不同目标群体的心理特征与权限属性，定制了差异化的攻击载荷与诱导话术。

3.1 针对旅客的凭证窃取与支付欺诈

旅客是航空品牌钓鱼活动最庞大的目标群体。攻击者利用旅客对行程信息的焦虑感（如担心错过航班、行李丢失、需要改签等），设计极具紧迫感的钓鱼场景。

攻击路径分析：

触发点：受害者收到伪装成航空公司官方发送的短信（Smishing）或电子邮件，内容通常涉及“航班取消”、“额外行李费未付”或“里程积分即将过期”。

落地页：点击链接后，用户被引导至高度仿真的虚假网站。这些网站在UI设计、Logo使用、甚至字体排版上与官方网站几无二致。部分高级钓鱼站点甚至通过API实时抓取真实航班数据，使页面内容看起来完全真实。

数据收割：页面要求用户输入个人信息（姓名、护照号）、常旅客账号密码以及信用卡详细信息以“确认行程”或“支付小额费用”。

二次欺诈：在获取支付信息后，攻击者不仅进行盗刷，还可能将受害者的信息打包出售给其他黑产团伙，或诱导用户下载含有恶意软件的“电子登机牌”PDF文件。

值得注意的是，此类攻击往往具有极强的时效性。在大型节假日或恶劣天气导致大面积航班延误时，攻击量会瞬间激增。攻击者利用公共事件造成的混乱，降低了用户的警惕性，提高了钓鱼成功率。

3.2 针对员工的商业邮件欺诈（BEC）与内网渗透

相较于旅客，航空公司员工及业务合作伙伴拥有更高的系统权限，是攻击者实施商业邮件欺诈（BEC）和深层渗透的首选目标。

攻击手法演变：

伪造招聘门户：攻击者注册包含“careers”、“jobs”、“hr-portal”等关键词的域名，发布虚假的高薪职位信息。求职者（其中可能包含航空公司内部寻求转岗的员工）在提交简历时，会被要求上传身份证、护照、学历证明等敏感文件，甚至被诱导安装特定的“面试软件”，实则为远程访问木马（RAT）。

供应商系统仿冒：针对航空公司的燃油供应商、餐饮服务商或地勤代理，攻击者搭建伪造的结算系统或采购平台。通过发送“发票更新”、“合同续签”等邮件，诱骗财务人员登录虚假系统，进而窃取企业网银凭证或诱导进行大额转账。

凭据复用攻击：一旦通过钓鱼获取了员工的个人邮箱密码，攻击者会尝试利用凭据填充（Credential Stuffing）技术，试探该员工是否使用相同密码登录公司内部系统（如飞行调度系统、客户数据库）。由于许多员工缺乏良好的密码管理习惯，这种攻击方式屡试不爽。

此类攻击的最终目的往往不是直接的金钱盗窃，而是为长期的潜伏渗透铺平道路。攻击者可能潜伏数月，监控内部通信，寻找合适的时机发起大规模的 wire transfer 欺诈，或窃取商业机密。

3.3 供应链攻击的连锁反应

航空业拥有极其复杂的供应链体系，涉及数千家第三方服务商。攻击者深知直接攻破大型航空公司的核心防火墙难度较大，因此转而攻击安全防护相对薄弱的中小型供应商。

通过攻陷一家机票代理商或地勤服务公司的系统，攻击者可以将其作为跳板，向航空公司内部网络横向移动。例如，篡改代理商的订票系统，植入恶意代码，使得所有通过该代理商出票的旅客信息在生成瞬间即被窃取。这种“曲线救国”的攻击策略，使得航空品牌的安全边界变得模糊不清，防御难度呈几何级数上升。

4 航空品牌与加密货币欺诈的融合异化

在传统的网络钓鱼基础上，2025年至2026年出现了一个显著的恶化趋势：航空品牌被深度卷入加密货币欺诈活动中。这一现象标志着网络犯罪从单纯的信息窃取向高价值资产掠夺的转型。

4.1 “航空公司币”与虚假空投骗局

攻击者利用公众对航空业复苏的信心以及对新兴金融科技的好奇心，虚构出所谓的“航空公司官方代币”或“里程积分区块链化”项目。

运作机制：

概念包装：攻击者建立精美的宣传网站，声称某知名航空公司推出了基于区块链的官方代币（如“DeltaCoin”、“AirMiles Token”），可用于兑换机票、升舱或享受专属折扣。网站通常伪造新闻稿，甚至盗用航空公司高管的照片和语录。

空投诱导：通过社交媒体和钓鱼邮件散布消息，宣称持有该航空公司常旅客会员号的用户可以免费领取大量代币空投。用户需连接数字钱包（如MetaMask）并授权智能合约才能领取。

恶意合约执行：一旦用户授权，恶意智能合约即刻执行，不仅转走用户钱包中的现有资产，还可能授予攻击者无限透支权限。

虚假预售：部分骗局更进一步，设立代币预售页面，接受比特币、以太坊等主流加密货币投资，承诺高额回报。在筹集到足够资金后，项目方立即跑路（Rug Pull），网站关闭，投资者血本无归。

这种欺诈形式的危害性在于其利用了品牌背书。普通用户难以分辨真伪，往往认为这是航空公司的创新举措。而实际上，正规航空公司对此类项目毫不知情，且通常明确声明未发行任何加密货币。

4.2 支持加密货币支付的虚假预订平台

除了代币骗局，另一类新兴攻击是设立支持比特币、USDT等加密货币支付的虚假旅行预订网站。

技术特征与优势：

不可逆性：与传统信用卡支付不同，加密货币交易一旦确认便无法撤销。这使得受害者在发现被骗后，几乎无法通过银行拒付机制追回损失。

匿名性：攻击者利用混币器（Mixers）和去中心化交易所（DEX）快速清洗赃款，极大增加了执法部门的追踪难度。

低价诱惑：虚假网站通常提供远低于市场价的机票价格（如“五折商务舱”），并强调“仅限加密货币支付”以规避风控审查。

这类平台的技术实现日益精良，部分甚至接入了真实的航班查询API，能够生成看似有效的行程单（PNR码），但实际上并未在航空公司系统中真正出票。直到用户抵达机场无法登机时，才发现上当受骗，而此时攻击者早已转移资产。

4.3 攻击协同性与自动化

专家指出，这类结合加密货币的欺诈活动与公共事件的协同性越来越强。例如，在某次重大航班中断事件发生后，攻击者能在数小时内自动部署包含“赔偿申领”功能的钓鱼网站，并引导用户通过加密货币钱包接收“赔偿金”，实则实施盗窃。这种快速响应能力得益于攻击基础设施的代码化和模块化，使得犯罪团伙能够像敏捷开发团队一样，迅速迭代攻击剧本。

5 防御架构与技术对策

面对日益复杂且多变的航空品牌网络钓鱼与加密货币欺诈，单一的防御手段已难以为效。必须构建一个涵盖情报监测、技术拦截、身份验证及用户教育的纵深防御体系。

5.1 基于威胁情报的主动监测

航空公司应建立或接入专业的威胁情报平台，对互联网空间进行全天候扫描。

域名监控：利用类似前文所述的算法，实时监控新注册的包含品牌关键词的域名。一旦发现高风险域名，立即启动法律程序进行关停，并将其加入黑名单共享给浏览器厂商和DNS服务商。

社交工程监听：监测社交媒体、即时通讯工具及暗网论坛，及时发现针对本品牌的虚假宣传、招聘骗局或代币发行信息。

品牌资产数字化指纹：对官方网站的UI元素、代码特征、SSL证书等进行指纹提取，用于快速识别和比对仿冒网站。

5.2 强化身份认证与访问控制

针对BEC和内部渗透风险，必须严格执行零信任（Zero Trust）架构。

多因素认证（MFA）：强制所有员工、供应商及常旅客用户在登录关键系统时使用基于硬件密钥（如FIDO2）或生物识别的多因素认证，杜绝单纯的密码验证。

邮件安全网关升级：部署具备AI分析能力的邮件安全网关，识别伪造的发件人地址、异常的邮件头信息以及带有恶意链接或附件的邮件。特别要加强对二维码（Quishing）的检测能力。

供应商准入审计：定期对供应链合作伙伴进行安全评估，要求其符合最低安全标准，并建立安全的通信通道，避免通过公开互联网传输敏感业务数据。

5.3 加密货币欺诈的专项阻断

针对涉币欺诈，需采取针对性的技术手段。

钱包地址黑名单：与安全社区合作，收集并共享已知的诈骗钱包地址，在支付网关层面进行拦截。

智能合约审计警示：在官方网站显著位置发布公告，明确声明公司未发行任何代币，并提供官方渠道供用户核实相关信息。

浏览器插件联动：开发或赞助浏览器安全插件，当用户访问疑似虚假的加密货币相关页面时，自动弹出高风险警示。

5.4 用户意识教育与应急响应

技术防线终有疏漏，人的因素至关重要。

常态化培训：定期对员工进行反钓鱼演练，特别是针对财务、HR等高风险岗位，模拟真实的BEC攻击场景，提升识别能力。

旅客警示机制：在官方APP、网站及购票确认函中，明确告知旅客官方的沟通渠道特征，提醒警惕索要密码或引导至非官方域名的行为。

快速响应机制：建立专门的应急响应小组（CSIRT），一旦发现大规模钓鱼活动或品牌被滥用，能够迅速发布公开声明，协调监管机构封禁恶意站点，并协助受害者进行止损。

6 结语

航空品牌作为连接全球人员流动的关键纽带，其信誉价值在网络空间中被犯罪分子重新定义并利用。从传统的凭证窃取到如今的加密货币欺诈，攻击手段的演进折射出网络犯罪生态的智能化与产业化趋势。2025年至2026年的数据表明，针对航空业的网络威胁已不再是孤立的技术问题，而是涉及品牌管理、法律合规、供应链安全及金融监管的系统性挑战。

本文通过分析海量恶意域名数据与典型攻击案例，揭示了航空品牌在网络钓鱼与加密货币欺诈中的异化机制。研究显示，攻击者正利用自动化工具、社会工程学技巧以及新兴的区块链技术，构建起一个高效、隐蔽且高收益的黑色产业链。特别是将公共事件与攻击活动协同，以及利用加密货币支付的不可逆特性，使得此类欺诈的破坏力空前增强。

面对这一严峻形势，航空业及相关监管机构必须摒弃被动防御的思维，转向主动情报驱动的安全治理模式。通过构建跨行业的情报共享机制、升级身份认证技术、强化供应链安全管控以及提升公众的数字素养，方能有效遏制这一蔓延态势。未来的研究可进一步聚焦于利用人工智能技术进行实时的钓鱼网站视觉识别与行为预测，以及探索区块链技术在构建可信航空数字身份中的应用潜力，以技术手段对抗技术犯罪，重塑航空业在网络空间的信任基石。

航空业的数字化转型之路注定伴随着安全博弈的升级。唯有保持高度的警惕与持续的创新，方能在享受数字化红利的同时，守护好每一位旅客的权益与每一家企业的声誉。这不仅关乎经济利益，更关乎全球航空运输体系的安全与稳定。

编辑：芦笛（公共互联网反网络钓鱼工作组）