Các cơ quan du lịch trên dark web đã phát triển thành những tổ chức hoạt động tinh vi trong các ngóc ngách của tội phạm mạng. Chúng sử dụng thông tin thẻ tín dụng bị đánh cắp, tài khoản khách hàng thân thiết bị xâm nhập và danh tính giả mạo để cung cấp các dịch vụ du lịch với mức giá giảm đáng kể.
Phương Thức Hoạt Động Và Khai Thác
Theo phân tích gần đây của SpiderLabs, các hoạt động này khai thác các công cụ tổng hợp đặt phòng phổ biến thay vì nhắm mục tiêu vào các chuỗi khách sạn hoặc hãng hàng không cụ thể. Chúng thích nghi nhanh chóng với các kênh bị chặn thông qua các kỹ thuật thu thập thông tin xác thực (credential harvesting) tiên tiến, chẳng hạn như các chiến dịch lừa đảo (phishing campaigns) và các vụ vi phạm dữ liệu do phần mềm độc hại (malware-driven data breaches) gây ra.
Các cơ quan này thường ngụy trang thành các dịch vụ hợp pháp trên các nền tảng được mã hóa như Telegram và Wickr. Chúng hỗ trợ đặt chỗ cho các chuyến bay, khách sạn và dịch vụ cho thuê bằng cách kiếm tiền từ các hàng hóa chợ đen, bao gồm dặm bay (airline miles) và điểm khách sạn (hotel points).
Mô Hình Vận Hành
Hệ sinh thái bất hợp pháp này, được nêu bật trong bài viết của Wall Street Journal dựa trên nghiên cứu của Trustwave, đại diện cho điểm cuối của một chuỗi phức tạp liên quan đến các công cụ tự động hóa và giao thức ẩn danh. Điều này cho phép tội phạm mạng cạnh tranh về hiệu quả với các công ty du lịch trực tuyến chính thống, đồng thời gây ra thiệt hại đáng kể cho cơ sở hạ tầng backend của ngành khách sạn.
Về mặt vận hành, các cơ quan dark web này không sử dụng các công cụ đặt phòng tinh vi mà thay vào đó là các trang đích tối giản trên các diễn đàn như Dread. Chúng chuyển hướng người dùng đến các cuộc trò chuyện được mã hóa một đối một, nơi việc xử lý thủ công các đơn đặt hàng tùy chỉnh được thực hiện bằng dữ liệu bị đánh cắp.
Quy Trình Giao Dịch
Khách hàng gửi chi tiết chuyến đi, nhận báo giá giảm giá thường là 30-70% so với giá thị trường và thanh toán qua tiền điện tử (cryptocurrency). Quá trình này kết thúc bằng các xác nhận hợp lệ được đặt thông qua các hệ thống thực tế trước khi các cờ gian lận được kích hoạt.
Mô hình thủ công nhưng kiên cường này, được hỗ trợ bởi mạng lưới các nhà cung cấp thông tin xác thực và dịch vụ rửa tiền, minh họa một động lực “mèo vờn chuột”. Khi các nền tảng như Rentalcars.com thực hiện các hạn chế thông qua mã hóa (tokenization) và xác thực đa yếu tố (MFA), các đối tượng tấn công sẽ chuyển hướng sang các khai thác mới. Ví dụ, vào tháng 5 năm 2025, các dịch vụ đã được khôi phục thông qua các script tự động hóa được cấu hình lại đã được công bố.
Tác Động Lên Ngành Du Lịch và Khách Sạn
Tình hình an ninh mạng trong lĩnh vực du lịch đã tăng cường đáng kể trước sự gia tăng mối đe dọa này từ năm 2024 đến 2025. Các khoản đầu tư vào IT toàn cầu đang tăng vọt khi các hãng hàng không và sân bay ưu tiên phòng thủ chống lại các tác nhân tấn công từ các quốc gia (nation-state hackers) và các tác nhân mạng khác.
Một báo cáo của SITA năm 2024 cho thấy 66% các hãng hàng không và 73% các sân bay hiện xếp an ninh mạng là khoản chi tiêu hàng đầu của họ. Các biện pháp bao gồm quản lý ID sinh trắc học (biometric ID management), hệ thống phát hiện mối đe dọa nâng cao và API an toàn để giảm thiểu rủi ro từ phần mềm độc hại đánh cắp thông tin xác thực (credential-stealing malware) và các vi phạm từ nhà cung cấp bên thứ ba.
Các công ty trong ngành khách sạn, đối mặt với các cuộc tấn công leo thang vào hệ thống đặt phòng trực tuyến và chương trình khách hàng thân thiết, đang tăng cường các cơ chế phát hiện gian lận, đào tạo nhân viên chống lại các chiêu trò lừa đảo được tăng cường bởi AI như deepfake, và hợp tác với các nhà cung cấp an ninh mạng để chống lại bot đặt phòng tự động (automated booking bots) và API du lịch doanh nghiệp bị xâm nhập.
Những biện pháp này giải quyết vấn đề dân chủ hóa gian lận, nơi các dịch vụ dark web bao gồm từ thuê du thuyền hạng sang đến nhà trọ giá rẻ, coi tất cả các giao dịch như nhau theo phương pháp “carding” khai thác giới hạn thẻ và dung sai chống gian lận của người bán.
Dấu Hiệu Nhận Biết Và Chiến Lược Đối Phó
Các Dấu Hiệu Đáng Ngờ (Red Flags)
Để phát hiện các hoạt động này, có một số dấu hiệu đáng ngờ cần lưu ý:
- Đặt phòng giá trị cao từ các tài khoản mới với vị trí địa lý không khớp (mismatched geolocations).
- Thanh toán thất bại thường xuyên từ các mạng proxy.
- Đổi điểm khách hàng thân thiết bất thường từ các hồ sơ không hoạt động (dormant profiles).
Khuyến Nghị Phòng Chống Toàn Diện
Để chống lại mối đe dọa này, các khuyến nghị trong ngành nhấn mạnh các biện pháp sau:
- Giám sát các kênh dark web bằng các công cụ tình báo mối đe dọa (threat intelligence tools) để phát hiện lạm dụng thương hiệu.
- Tăng cường các chương trình khách hàng thân thiết bằng cách sử dụng hàng rào địa lý (geofencing) và cảnh báo giao dịch.
- Đào tạo nhân viên về kỹ thuật xã hội (social engineering) và các tài liệu giả mạo do AI tạo ra (AI-generated forgeries).
- Kiểm tra (auditing) các tích hợp API để phát hiện các mẫu lạm dụng.
- Tham gia vào các Trung tâm Phân tích và Chia sẻ Thông tin (Information Sharing and Analysis Centers – ISACs) để chia sẻ Các Kỹ Thuật, Chiến Thuật và Quy Trình (Tactics, Techniques, and Procedures – TTPs).
- Truyền thông minh bạch với khách hàng sau sự cố để duy trì lòng tin.
Cuối cùng, các cơ quan này phát triển mạnh nhờ lợi nhuận từ các vụ vi phạm dữ liệu và nhu cầu về các giao dịch không cần đặt câu hỏi. Điều này nhấn mạnh sự cần thiết của các biện pháp phòng thủ chủ động, đa lớp để nâng cao chi phí gian lận và hạn chế khả năng mở rộng quy mô của chúng trong bối cảnh mối đe dọa được tăng cường bởi AI.
