Οι περισσότεροι άνθρωποι δεν ελέγχουν πολύ συχνά τους λογαριασμούς πόντων ή μιλίων σε αεροπορικές εταιρείες και ξενοδοχεία. Κι αυτό τους κάνει έναν μεγάλο στόχο για τους κλέφτες.

Οι ειδικοί σε θέματα ασφάλειας λένε ότι το τελευταίο έτος παρατηρήθηκε αύξηση των παραβιάσεων των λογαριασμών επιβράβευσης ξενοδοχείων και αεροπορικών εταιρειών, η οποία οφείλεται σε δύο παράγοντες: Η καλύτερη προστασία κατά της απάτης με πιστωτικές κάρτες, σημαίνει ότι οι εγκληματίες αναζητούν ευκολότερους στόχους και τα κυκλώματα ηλεκτρονικού εγκλήματος πωλούν εργαλεία για την πραγματοποίηση επιθέσεων, επιτρέποντας σε άτομα χωρίς γνώσεις προγραμματισμού να παραβιάσουν λογαριασμούς.

Η μετατόπιση από την απάτη με πιστωτικές κάρτες στις εξαγορές λογαριασμών επιβράβευσης έπιασε τις αεροπορικές εταιρείες «στα πράσα», δήλωσε ο Christopher Staab, συνιδρυτής της Loyalty Security Alliance, μιας ομάδας της ταξιδιωτικής βιομηχανίας. «Δεν έχουν τα εργαλεία, τις διαδικασίες, τους ανθρώπους που το καταλαβαίνουν αυτό». Οι αεροπορικές εταιρείες πραγματοποίησαν αυτή την εβδομάδα τις πρώτες συναντήσεις μιας νέας ομάδας εργασίας για τον συντονισμό της αντιμετώπισης, είπε.

Με δισεκατομμύρια δολάρια σε πόντους να εισέρχονται και να εξέρχονται από τα προγράμματα μιλίων κάθε χρόνο, «είναι ουσιαστικά σαν τραπεζικοί λογαριασμοί», δήλωσε ο Nik Laming, σύμβουλος προγραμμάτων επιβράβευσης σε αεροπορικές εταιρείες και καταστήματα λιανικής πώλησης με έδρα τη Σιγκαπούρη. Αλλά τα προγράμματα επιβράβευσης δεν είναι υποχρεωμένα να προστατεύουν αυτούς τους λογαριασμούς όπως μια τράπεζα.

Οι λογαριασμοί επιβράβευσης έχουν παραβιαστεί σε μικρότερο βαθμό εδώ και χρόνια μέσω τεχνικών όπως το phishing και το κακόβουλο λογισμικό που κλέβει κωδικούς πρόσβασης.

Αλλά τώρα, οι εγκληματίες του κυβερνοχώρου παίρνουν βάσεις δεδομένων με στοιχεία πρόσβασης που εκτίθενται σε παραβιάσεις ιστότοπων και χρησιμοποιούν bots για να τα δοκιμάσουν μαζικά σε λογαριασμούς επιβράβευσης αεροπορικών εταιρειών και ξενοδοχείων.

Εκμεταλλεύονται ένα από τα πιο συνηθισμένα λάθη ασφαλείας που κάνουν οι άνθρωποι στο διαδίκτυο: Τη χρήση του ίδιου κωδικού πρόσβασης σε πολλά μέρη, δήλωσε ο Kevin Gosschalk, ιδρυτής και διευθύνων σύμβουλος της εταιρείας κυβερνοασφάλειας Arkose Labs, η οποία προστατεύει εταιρείες από την ηλεκτρονική απάτη.

Διαβασε ακομα

Νέος νόμος βγάζει στη φόρα τα μηνύματά σου

Μεταξύ του τέταρτου τριμήνου του 2023 και του πρώτου τριμήνου του 2024, οι επιθέσεις bot σε λογαριασμούς αεροπορικών εταιρειών που προστατεύει η Arkose αυξήθηκαν κατά 166%, ανέφερε η εταιρεία.

Στους πελάτες της εταιρείας που εδρεύει στο Σαν Ματέο της Καλιφόρνια περιλαμβάνονται η Singapore Airlines και ο ιαπωνικός εκπτωτικός αερομεταφορέας Zipair, καθώς και άλλες αεροπορικές εταιρείες, τις οποίες δήλωσε ότι δεν μπορεί να αποκαλύψει. (Οι δύο αεροπορικές εταιρείες δεν ανταποκρίθηκαν σε αίτημα σχολιασμού).

Υπήρξε μια αύξηση 30% έως 40% στους λογαριασμούς που παραβιάστηκαν επιτυχώς, εκτιμά ο Staab, με βάση τις συζητήσεις με μέλη της ομάδας του κλάδου του.

Εργαλεία για την πραγματοποίηση των λεγόμενων επιθέσεων συμπλήρωσης στοιχείων πρόσβασης πωλούνται από κακόβουλους φορείς στο Βιετνάμ, την Κίνα και τη Ρωσία, δήλωσε ο Gosschalk, και προσφέρουν τεχνική υποστήριξη στους αγοραστές.

«Δεν χρειάζεται πλέον να είσαι προγραμματιστής», δήλωσε ο Gosschalk. «Η προσβασιμότητα για τη διάπραξη του εγκλήματος έχει υποχωρήσει κατά πολύ χάρη στην υποδομή που είναι πλέον διαθέσιμη για την πραγματοποίηση αυτών των επιθέσεων».

Οι εγκληματίες του κυβερνοχώρου που χρησιμοποιούν αυτά τα εργαλεία πωλούν πρόσβαση σε λογαριασμούς που έχουν παραβιάσει, συχνά μέσω ομάδων Telegram και WhatsApp.

Οι λογαριασμοί συχνά τιμολογούνται στο 80% της αξίας των πόντων ή και λιγότερο, δήλωσε ο Gosschalk. Ορισμένοι προσφέρουν εγγυήσεις ότι ο αγοραστής θα έχει πρόσβαση για έναν ελάχιστο αριθμό λεπτών. Αν η ασφάλεια του λογαριασμού τον εκδιώξει πριν από αυτό, θα πάρει ένα υποκατάστατο παρόμοιας αξίας ή τα χρήματά του πίσω.

Οι αγοραστές εξαργυρώνουν τους πόντους σε δωροκάρτες ή αγοράζουν αεροπορικά εισιτήρια. Ορισμένοι από τους χακαρισμένους λογαριασμούς χρησιμοποιούνται για την πώληση αεροπορικών εισιτηρίων με μεγάλη έκπτωση στο κοινό σε ιστότοπους που μοιάζουν με νόμιμα ταξιδιωτικά γραφεία, δήλωσε ο Staab.

Διαβασε ακομα

Κυβερνοασπίδα κατά των χάκερς απλώνεται πάνω από την Ευρώπη

Περίπου το 1% των εξαργυρώσεων πόντων αεροπορικών εταιρειών είναι πλαστές, εκτιμά ο Staab, με τις συνολικές απώλειες να ανέρχονται σε περίπου 3%, όταν συνυπολογίζεται το σχετικό κόστος, συμπεριλαμβανομένου του χρόνου του προσωπικού και της επιστροφής πόντων σε ορισμένους πελάτες.

Η Διεθνής Ένωση Αεροπορικών Μεταφορών εκτίμησε το 2020 ότι ο κλάδος χάνει πάνω από 1 δισεκατομμύριο δολάρια ετησίως από απάτες πληρωμών.

Ο Staab πιστεύει ότι ο συνολικός όγκος της απάτης δεν έχει αυξηθεί, αλλά έχει μετατοπιστεί από την απάτη με πιστωτικές κάρτες σε αρπαγές λογαριασμών.

Οι λογαριασμοί επιβράβευσης έχουν γίνει πιο πολύτιμοι στόχοι χάρη στην επιτυχία των αεροπορικών εταιρειών να προωθούν πιστωτικές κάρτες με κοινή επωνυμία που δίνουν στους πελάτες αεροπορικά μίλια ως ανταμοιβή για τη χρήση τους.

Ηγέτης ήταν η Delta Air Lines, η οποία αναμένεται να κερδίσει περίπου 7 δισεκατομμύρια δολάρια από τη συνεργασία της με την κάρτα American Express φέτος, σύμφωνα με τους αναλυτές της TD Cowen, από 1 δισεκατομμύριο δολάρια το 2009.

Περίπου το 70% των πόντων που κερδίζουν οι πελάτες των αεροπορικών εταιρειών Delta, American και United προέρχονται πλέον από ανταμοιβές από πιστωτικές κάρτες και άλλους συνεργάτες, σύμφωνα με έκθεση της IdeaWorks. Οι ξενοδοχειακές αλυσίδες έχουν επίσης ανέβει στο τρένο των πιστωτικών καρτών.

Διαβασε ακομα

Διάγραψε τώρα αυτές τις 3 εφαρμογές από το κινητό σου! Σου κλέβουν χρήματα

Αλλά τα μέτρα ασφαλείας των αεροπορικών εταιρειών δεν συμβαδίζουν: Οι περισσότερες αλυσίδες ξενοδοχείων και αεροπορικών εταιρειών δεν απαιτούν έλεγχο ταυτότητας πολλαπλών παραγόντων, επειδή δεν επιθυμούν να προσθέσουν τριβές στη διαδικασία συναλλαγής για τους πελάτες, δήλωσε ο Laming.

Αυτό καθιστά αυτούς τους λογαριασμούς ευκολότερο στόχο. Σε σύγκριση με την παραβίαση ενός τραπεζικού λογαριασμού, υπάρχει επίσης πολύ μικρότερος κίνδυνος ποινικών διώξεων, δήλωσε ο Staab. Ένας λόγος: Είναι πιο δύσκολο για τους εισαγγελείς να συνδέσουν μεγάλο αριθμό παραβιάσεων με έναν και μόνο ύποπτο, που είναι απαραίτητο για να δείξουν μια αρκετά υψηλή ζημία σε δολάρια, ώστε να δικαιολογηθεί η δαπάνη χρόνου για την υπόθεση.

Σε μια σπάνια ποινική δίωξη, το 2021, πέντε άνδρες δήλωσαν ένοχοι σε ομοσπονδιακό δικαστήριο του Τέξας για κατηγορίες απάτης σχετικά με την κλοπή εκατομμυρίων αεροπορικών μιλίων από χακαρισμένους λογαριασμούς και την πώληση εισιτηρίων που αγοράστηκαν με αυτά.

Αυτό το είδος hacking μπορεί να αποτελέσει το εφαλτήριο για πιο σοβαρά εγκλήματα, δήλωσε ο Gosschalk. Η Arkose έχει εντοπίσει κάποιους χάκερς που ξεκίνησαν στην εφηβεία τους καταλαμβάνοντας λογαριασμούς βιντεοπαιχνιδιών για να κλέψουν εικονικό νόμισμα και στη συνέχεια χρησιμοποίησαν τις δεξιότητες που ανέπτυξαν για να κατακτήσουν λογαριασμούς ξενοδοχείων και αεροπορικών εταιρειών.

«Είναι ένα αρκετά εύκολο έγκλημα», δήλωσε ο Gosschalk. Οι χάκερς μπορούν να προχωρήσουν σε ξέπλυμα χρήματος, ransomware και επιθέσεις υποκλοπής στοιχείων πρόσβασης σε τραπεζικούς λογαριασμούς.

Διαβασε ακομα

Χάκερς τίναξαν το βρετανικό σύστημα Υγείας στον αέρα

Αν και δεν το παραδέχονται επίσημα, στις τάξεις των ξενοδοχείων και των αεροπορικών εταιρειών υπάρχει αυξανόμενη ανησυχία. Πολλά ξενοδοχεία και αεροπορικές εταιρείες κάνουν θυσίες και προχωρούν στην απαίτηση κάποιας μορφής ελέγχου ταυτότητας πολλαπλών παραγόντων – για παράδειγμα, στην περίπτωση εξαργύρωσης πόντων πάνω από μια ορισμένη αξία, δήλωσε ο Staab.

Ο επικεφαλής της διαδικτυακής ασφάλειας της United Airlines, Deneen DeFiore, δήλωσε σε παρουσίαση σε συνέδριο τον περασμένο μήνα ότι η αεροπορική εταιρεία απομακρύνεται από τις ερωτήσεις ασφαλείας, οι οποίες, όπως και οι κωδικοί πρόσβασης, έχουν διαρρεύσει και συχνά επαναχρησιμοποιούνται, και εξετάζει εξ ολοκλήρου νέες μορφές ελέγχου ταυτότητας λογαριασμού, σύμφωνα με τον Gosschalk.

Επίσης, έρχονται σε χρήση εργαλεία με Τεχνητή Νοημοσύνη που μπορούν να εντοπίζουν ανωμαλίες και μοτίβα στις συναλλαγές και να ενεργοποιούν ειδοποιήσεις, δήλωσε ο Laming.

Τελικά, η εκπαίδευση των ανθρώπων ώστε να σταματήσουν να ανακυκλώνουν τους κωδικούς πρόσβασης θα έχει το μεγαλύτερο αντίκτυπο, είπε.

«Μπορείτε να βάλετε όλους τους ελέγχους που θέλετε, αλλά αν το μέλος χρησιμοποιεί τα ίδια στοιχεία πρόσβασης… τότε σας δυσκολεύει πολύ να το καταπολεμήσετε».

Με πληροφορίες από Forbes