Большинство людей не часто проверяют свои счета баллов в отелях или авиакомпаниях. Это делает их жирной мишенью для воров.
Эксперты по безопасности говорят, что за последний год произошел всплеск взломов счетов лояльности отелей и авиакомпаний, что обусловлено двумя факторами: улучшение защиты от мошенничества с кредитными картами означает, что преступники ищут более легкие цели, а преступные группировки продают инструменты для проведения атак. , что позволяет людям без навыков программирования взламывать учетные записи.
Переход от мошенничества с кредитными картами к захвату счетов лояльности застал авиакомпании врасплох, сказал Кристофер Стааб, сооснователь Loyalty Security Alliance, группы туристической индустрии. «У них нет инструментов, процессов и людей, которые это понимают». По его словам, на этой неделе авиакомпании провели первые заседания новой рабочей группы для координации ответных мер.
Поскольку каждый год баллы на миллиарды долларов поступают в программы накопления миль и из них, «по сути, они подобны банковским счетам», – сказал Ник Лэминг, сингапурский консультант по программам лояльности для авиакомпаний и розничных продавцов. Но программы лояльности «не обязаны защищать эти счета, как банк».
В течение многих лет учетные записи лояльности в небольших количествах взламывались с помощью таких методов, как фишинг и вредоносное ПО, которое крадет пароли. Но теперь киберпреступники берут базы данных учетных данных для входа, обнаруженные в результате взломов веб-сайтов, и используют ботов для их массового тестирования на учетных записях лояльности авиакомпаний и отелей. Они пользуются одной из самых распространенных ошибок безопасности, которые люди допускают в Интернете: используют один и тот же пароль в нескольких местах, говорит Кевин Госшалк, основатель и генеральный директор компании по кибербезопасности Arkose Labs, которая защищает компании от онлайн-мошенничества.
По данным компании, в период с четвертого квартала 2023 года по первый квартал 2024 года количество атак ботов на учетные записи авиакомпаний, которые защищает Arkose, увеличилось на 166%. Клиентами компании из Сан-Матео, штат Калифорния, являются Singapore Airlines и японский дисконтный перевозчик Zipair, а также другие авиакомпании, информацию о которых она не может раскрыть. (Обе авиакомпании не ответили на запрос о комментариях.)
По оценкам Стааба, основанным на обсуждениях с членами его отраслевой группы, количество успешно взломанных аккаунтов выросло на 30 – 40%.
По словам Госшалка, инструменты для проведения так называемых атак с подбросом учетных данных продаются злоумышленниками во Вьетнаме, Китае и России, и они предлагают покупателям техническую поддержку. «Вам больше не нужно быть разработчиком», – сказал Госшалк. «Доступность для совершения преступлений значительно снизилась благодаря тому, что теперь доступна инфраструктура для совершения этих атак».
Киберпреступники, использующие эти инструменты, продают доступ к взломанным ими учетным записям, часто через группы Telegram и WhatsApp, с указанным количеством баллов. По словам Госшалка, стоимость счетов часто составляет 80% от стоимости баллов или меньше. Некоторые предлагают гарантии, что покупатель получит доступ в течение минимального количества минут. Если безопасность учетной записи загрузит их до этого, они получат аналогичную замену или вернут свои деньги.
На этом скриншоте поста в Telegram выставлены на продажу аккаунты баллов авиакомпаний и отелей.
Покупатели обналичивают баллы, обменивая баллы на подарочные карты или приобретая авиабилеты. По словам Стааба, некоторые из взломанных аккаунтов используются для продажи авиабилетов с большой скидкой населению на веб-сайтах, которые выглядят как настоящие туристические агентства.
По оценкам Стааба, примерно 1% операций по обмену баллов авиакомпаний являются мошенническими, а общие потери составляют около 3%, если учесть сопутствующие расходы, включая время персонала и возврат баллов некоторым клиентам. По оценкам Международной ассоциации воздушного транспорта, в 2020 году отрасль теряла более 1 миллиарда долларов в год из-за мошенничества с платежами.
Стааб считает, что общий объем мошенничества не увеличился, а перешел от мошенничества с кредитными картами к захвату счетов.
Счета лояльности стали более ценными целями благодаря успеху авиакомпаний, продающих совместные кредитные карты, которые дают клиентам воздушные мили в качестве вознаграждения за их использование. Лидером является компания Delta Air Lines, которая, по мнению аналитиков TD Cowen, должна заработать около 7 миллиардов долларов от партнерства по картам American Express в этом году по сравнению с 1 миллиардом долларов в 2009 году. У Delta 25 миллионов активных участников SkyMiles. Представитель Delta Дрейк Кастанеда заявил, что ему не известно о росте количества взломанных аккаунтов с вознаграждениями.
Согласно отчету IdeaWorks, примерно 70% баллов, заработанных клиентами авиакомпаний Delta, American и United, теперь поступают за счет вознаграждений по кредитным картам и другим партнерам. Сети отелей также присоединились к поезду кредитных карт.
Но меры безопасности авиакомпаний не соблюдаются: большинство сетей отелей и авиакомпаний не требуют многофакторной аутентификации, потому что они не хотят усложнять процесс транзакций для клиентов, сказал Лэминг.
Это делает эти аккаунты более легкой мишенью. По словам Стааба, по сравнению со взломом банковского счета риск привлечения к уголовной ответственности гораздо ниже. Одна из причин: прокурорам сложнее связать большое количество взломов с одним подозреваемым, что необходимо для того, чтобы продемонстрировать достаточно высокую потерю денежной суммы, чтобы оправдать затраты времени на расследование.
В ходе редкого судебного разбирательства в 2021 году пятеро мужчин признали себя виновными в федеральном суде Техаса по обвинению в мошенничестве, связанном с кражей миллионов авиамиль со взломанных учетных записей и продажей билетов, купленных с их помощью.
На этом снимке экрана с удаленного веб-сайта билеты Delta SkyMiles выставлены на продажу с гарантией замены.
Этот тип взлома может стать стартовой площадкой для более серьезных преступлений, сказал Госшалк. Аркоз отследил некоторых хакеров, которые в подростковом возрасте начали захватывать учетные записи видеоигр для кражи виртуальной валюты, а затем использовали полученные навыки для взлома счетов отелей и авиакомпаний.
«Это своего рода наркотик в том смысле, что совершить преступление довольно легко», – сказал Госшалк. Хакеры могут перейти к отмыванию денег, использованию программ-вымогателей и атакам с подтасовкой учетных данных на банковские счета.
Три сети отелей и четыре авиакомпании, с которыми связался Forbes, отказались сообщить, наблюдается ли у них рост случаев взлома аккаунтов программы лояльности. Но за кулисами Стааб сказал, что обеспокоенность растет. Многие отели и авиакомпании стиснут зубы и переходят к требованию той или иной формы многофакторной аутентификации – например, в случае погашения баллов, превышающих определенную стоимость, сказал Стааб.
Руководитель онлайн-безопасности United Airlines Денин ДеФиоре заявила в презентации на конференции в прошлом месяце, что авиакомпания отходит от секретных вопросов, которые, как и пароли, становятся доступными и часто используются повторно, и рассматривает новые формы учетных записей. по словам Госшалка, полная аутентификация.
ДеФиоре и «Юнайтед» не ответили на вопросы Forbes.
По словам Лэминга, также начинают использоваться инструменты с поддержкой искусственного интеллекта, которые могут обнаруживать аномалии и закономерности в транзакциях и вызывать оповещения.
В конечном итоге, по его словам, наибольший эффект будет иметь обучение людей прекратить повторное использование своих паролей.
«Вы можете установить все необходимые элементы управления, но если участник использует те же учетные данные… тогда вам будет очень сложно с этим бороться».