BNN News 
A maioria das pessoas não verifica regularmente as contas de seus hotéis ou companhias aéreas. Isso os torna um alvo atraente para ladrões.
Acesso
Os cibercriminosos usam bots para explorar uma falha de segurança comum cometida pelos visitantes, excluindo contas que detêm milhões de dólares em lucros.
A maioria das pessoas não verifica regularmente as contas de seus hotéis ou companhias aéreas. Isso os torna um alvo atraente para ladrões.
Especialistas em segurança dizem que houve um aumento nos ataques a contas de hotéis e contas de programas de fidelidade de companhias aéreas no ano passado, impulsionado por dois fatores: uma melhor proteção contra fraudes com cartões de crédito faz com que os criminosos procurem alvos fáceis, e as empresas de crimes cibernéticos na Internet estão vendendo ferramentas para carregar. de ataques, permitindo que pessoas sem habilidades de programação destruam contas.
A mudança da fraude de cartão de crédito para o roubo de contas de fidelidade pegou as companhias aéreas “de surpresa”, disse Christopher Staab, cofundador da Loyalty Security Alliance, um grupo da indústria de viagens. “Eles não têm as ferramentas, os processos, as pessoas que entendem isso”. As companhias aéreas realizaram reuniões inaugurais esta semana de uma nova força-tarefa para coordenar a resposta, disse ele.
Com bilhões de dólares em pontos fluindo para programas de passageiro frequente todos os anos, “eles são basicamente como contas bancárias”, disse Nik Laming, consultor de programas de fidelidade de companhias aéreas e comerciante residente em Cingapura. Mas os programas de fidelidade “não são obrigados a proteger essas contas como um banco”.
Contas de fidelidade foram hackeadas em pequena escala durante anos por meio de métodos como phishing e malware para roubo de senhas. Mas agora, os cibercriminosos estão pegando as credenciais de login expostas em crimes cibernéticos e usando bots para testá-las em massa em contas de fidelidade de companhias aéreas e hotéis. Eles estão aproveitando um dos erros de segurança mais comuns que as pessoas cometem online: usar a mesma senha em vários sites, disse Kevin Gosschalk, fundador e CEO da empresa de segurança cibernética Arkose Labs, que protege empresas contra fraudes online.
Entre o quarto trimestre de 2023 e o primeiro trimestre de 2024, os ataques de bots às contas protegidas das companhias aéreas da Arkose aumentaram 166%, disse a empresa. A empresa com sede em San Mateo, Califórnia. tem clientes como a Singapore Airlines e a transportadora japonesa de baixo custo Zipair, bem como outras companhias aéreas que disse não poder divulgar. (As duas companhias aéreas não responderam a um pedido de comentário.)
Leia de novo
Houve um aumento de 30% a 40% no número de contas hackeadas com sucesso, estima a Staab, com base em entrevistas com membros de seu grupo industrial.
As ferramentas para realizar os chamados ataques de “preenchimento de credenciais” são vendidas por malfeitores no Vietnã, na China e na Rússia, disse Gosschalk, e fornecem suporte técnico aos clientes. “Você não precisa mais ser designer”, disse Gosschalk. “O tempo para cometer um crime é bastante reduzido por causa das ferramentas que agora estão disponíveis para realizar esses ataques”.
Os cibercriminosos que utilizam essas ferramentas vendem acesso a contas comprometidas, geralmente por meio de grupos de Telegram e WhatsApp, com informações sigilosas. As contas são frequentemente vendidas por 80% do valor ou menos, disse Gosschalk. Algumas oferecem garantias de que o cliente terá acesso por um número limitado de minutos. Se a segurança da conta os expulsar antes desse prazo, eles receberão uma reposição no mesmo valor ou seu dinheiro de volta.
Os clientes resgatam pontos trocando vales-presente ou comprando passagens aéreas. Algumas das contas roubadas são usadas para vender passagens aéreas com grandes descontos ao público em sites que parecem agências de viagens legítimas, disse Staab.
Cerca de 1% dos preços das passagens aéreas são fraudulentos, estima a Staab, com perdas totais de até 3% quando incluídos os custos relacionados, incluindo tempo de funcionários e reembolsos a outros clientes. A Associação Internacional de Transporte Aéreo estimou em 2020 que a indústria perde mais de mil milhões de dólares por ano devido a fraudes em pagamentos.
Staab acredita que a fraude geral não aumentou, mas passou de fraude de cartão de crédito a roubo de conta.
Os relatórios de fidelidade tornaram-se um alvo importante devido ao sucesso das companhias aéreas na venda de cartões de crédito com outros nomes que oferecem milhas como recompensa pela sua utilização. A líder foi a Delta Air Lines, que deverá faturar cerca de US$ 7 bilhões com sua parceria com a American Express este ano, segundo analistas da TD Cowen, acima dos US$ 1 bilhão em 2009. A Delta tem 25 milhões de membros ativos do SkyMiles, disse o porta-voz da Delta, Drake Castaneda. ele não tinha conhecimento do aumento nas contas de recompensas roubadas.
Cerca de 70% dos pontos ganhos pelos clientes da Delta, American e United Airlines agora vêm de recompensas de cartões de crédito e outros parceiros, de acordo com um relatório da IdeaWorks. As cadeias de hotéis também abandonaram os favores do cartão de crédito.
Mas as medidas de segurança das companhias aéreas não pegaram: muitas cadeias de hotéis e companhias aéreas não exigem autenticação multifatorial porque relutam em adicionar atrito ao processo de vendas para os clientes, disse Laming.
Isso torna essas contas um alvo fácil. Comparado a hackear uma conta bancária, há também um risco muito menor de acusações criminais, disse Staab. Outra razão: é difícil para os promotores vincular o grande número de hacks a um único suspeito, necessário para demonstrar um número suficientemente alto de perdas para justificar o tempo gasto no caso.
Num caso raro, em 2021, cinco homens foram indiciados num tribunal federal do Texas por acusações de fraude por roubarem milhões de milhas aéreas de contas roubadas e venderem os bilhetes comprados com elas.
Este tipo de fraude pode ser um trampolim para crimes mais graves, disse Gosschalk. Arkose seguiu outros hackers que começaram como adolescentes hackeando contas de videogame para roubar dinheiro, depois usaram o conhecimento que desenvolveram para hackear contas de hotéis e companhias aéreas.
“É outra droga de entrada no sentido de que é um crime fácil de cometer”, disse o banco Gosschalk.
As três cadeias de hotéis e quatro companhias aéreas contactadas pela Forbes recusaram-se a dizer se registaram um aumento nas fraudes em contas de fidelidade. Mas nos bastidores, Staab diz que havia preocupações crescentes. Muitos hotéis e companhias aéreas estão se esforçando para exigir alguma forma de autenticação multifatorial – por exemplo, no resgate de pontos acima de um determinado valor, disse Staab.
O chefe de segurança cibernética da United Airlines, Deneen DeFiore, disse em uma teleconferência no mês passado que a companhia aérea está se afastando das questões de segurança, que, como as senhas, vazaram e muitas vezes são recicladas, e exigem novas formas de autenticação de conta, de acordo com Gosschalk.
DeFiore e United não responderam às perguntas da Forbes.
Existem também ferramentas habilitadas para IA sendo usadas para detectar diferenças e padrões nas interações e disparar alertas, disse Laming.
Em última análise, ensinar as pessoas a parar de usar senhas terá um grande impacto, disse ele.
“Você pode configurar todos os controles que quiser, mas se um membro estiver usando as mesmas credenciais… então fica muito difícil combater isso.”
