Các bot tự động đang được xác định là nguyên nhân chính khiến giá vé máy bay tăng cao và gây gián đoạn quá trình đặt chỗ trong mùa du lịch cao điểm, theo cảnh báo từ các chuyên gia bảo mật.
Báo cáo 2025 Thales Bad Bot Report cho biết ngành du lịch chiếm 27% tổng lượng hoạt động bot trên toàn cầu năm ngoái, trở thành ngành bị nhắm mục tiêu nhiều nhất.
Báo cáo nêu rõ nhiều cách thức bot can thiệp vào các nền tảng du lịch trực tuyến. Một vấn đề chính là hiện tượng “seat spinning”, trong đó bot khởi tạo quá trình đặt chỗ nhưng không hoàn tất thanh toán. Bằng cách tích trữ tạm thời hàng tồn kho, chúng làm giảm tính khả dụng và có thể tạo ra cảm giác khan hiếm giả tạo, từ đó ảnh hưởng đến thuật toán định giá.
“Bot xấu không chỉ gây hỗn loạn trực tuyến nữa, chúng đang cướp đi những kỳ nghỉ,” Tim Ayling, chuyên gia bảo mật tại Thales cho biết. “Hiện tại, các trang web du lịch đang bị bot giả danh khách hàng thực sự tấn công, chiếm lấy vé, thu thập giá cả và làm chậm mọi thứ.”
Trong một số trường hợp, bot bán lại vé mà chúng đã đảm bảo thông qua “ticket scalping”, đẩy khách hàng thực sự về phía giá cả tăng vọt hoặc các chuyến bay không còn chỗ. Các cuộc tấn công này cũng khai thác hệ thống nhắn tin thông qua cái gọi là “SMS pumping”, liên quan đến việc kích hoạt khối lượng lớn tin nhắn văn bản tới các số điện thoại có phí cao, làm tăng chi phí cho các công ty và có thể làm chậm trễ các thông báo quan trọng cho khách hàng.
Khi ngày càng nhiều giao dịch chuyển sang di động, vấn đề trở nên rõ ràng hơn, đặc biệt đối với những du khách đặt phút chót dựa vào cập nhật thời gian thực. Bản thân các bot đang trở nên dễ triển khai hơn, và có sự gia tăng mạnh mẽ của các bot đơn giản, dễ tiếp cận hơn, thường được điều khiển bởi các công cụ dựa trên AI.
Những kẻ tấn công cũng nhắm mục tiêu vào API, vốn cung cấp động lực cho kết quả tìm kiếm, công cụ định giá và chương trình khách hàng thân thiết. Gần một nửa tất cả các cuộc tấn công bot tiên tiến hiện tập trung vào những lĩnh vực này, và chúng có thể can thiệp vào các chức năng backend, làm chậm toàn bộ trang web hoặc thậm chí khiến chúng sập.
Những kẻ tấn công cũng sử dụng các kỹ thuật tiên tiến để bắt chước hành vi con người thực sự, khiến việc phát hiện và chặn lưu lượng truy cập có hại trở nên khó khăn hơn đối với các biện pháp phòng thủ truyền thống. Các phương pháp như CAPTCHA, từng có hiệu quả, không còn đáng tin cậy nữa, thường làm khó chịu người dùng thực sự hơn là bot.
“Các biện pháp phòng thủ truyền thống không còn hiệu quả. Các công ty du lịch cần một cách tiếp cận thông minh, nhiều lớp, chặn các cuộc tấn công credential stuffing và bảo mật các khu vực dễ bị tổn thương như đăng nhập và thanh toán thông qua kiểm tra liên tục và giám sát mối đe dọa,” Ayling nói thêm.
Trong môi trường số nơi tự động hóa hiện đã vượt qua lưu lượng web của con người, thách thức mà các hãng hàng không và trang web du lịch đối mặt ít liên quan đến khả năng hiển thị hơn là độ chính xác. Việc sử dụng VPN và dịch vụ proxy, thường được liên kết với quyền riêng tư, đôi khi bị thao túng để che giấu lưu lượng độc hại, khiến bot có vẻ như người dùng hợp pháp truy cập từ các khu vực khác nhau.