Internetoví zlodeji začali prostredníctvom tzv. botov zneužívať bezpečnostné chyby, ktoré robia cestujúci v online prostredí. Mnohým dovolenkárom dokážu takýmto spôsobom vyprázdniť účty, na ktorých sú uložené milióny dolárov.
Väčšina ľudí si svoje kontá leteckých spoločností či hotelov nekontroluje pravidelne, a to je dôvod, prečo sa z nich potom stávajú ľahké ciele pre zlodejov. Podľa bezpečnostných expertov hackerské útoky na vernostné účty hotelov či leteckých spoločností mimoriadne vzrástli.
Kreditné karty sú chránené oveľa lepšie ako kedysi a zločinci hľadajú ľahšie ciele, ale aj nástroje, ktoré im umožnia preniknúť do cudzích účtov. „Celé je to zatiaľ trošku ťažkopádne, pretože hackeri nemajú nástroje, procesy a najmä ľudí, ktorí by tomu rozumeli,“ povedal Christopher Staab, spoluzakladateľ Loyalty Security Alliance.
Ako ďalej uviedol, zástupcovia leteckých spoločností už absolvovali prvé stretnutia a vznikla aj nová pracovná skupina, ktorá sa bude novou formou útokov zaoberať.
„Aj vernostné účty leteckých a hotelových spoločností môžeme považovať za akési účty s peniazmi,“ hovorí Nik Laming, konzultant vernostných programov pre letecké spoločnosti so sídlom v Singapure. Sú to miliardy dolárov, ktoré doslova pretekajú vernostnými programami, no peniaze ľudí chrániť nemusia, lebo vernostné programy nie sú banky.
Ukradnuté účty na predaj
Najnovšie sa zlodeji zameriavajú na databázy prihlasovacích údajov, ktoré získavajú cez bezpečnostné chyby webových stránok. Potom využívajú boty, aby ich hromadne otestovali priamo na vernostných účtoch leteckých spoločností či hotelov.
Najčastejšie zneužívajú chybu, ktorú robí online väčšina ľudí, a to je rovnaké heslo na viacerých platformách. Upozornil na to Kevin Gosschalk, zakladateľ a generálny riaditeľ spoločnosti Arkose Labs, ktorá sa zaoberá kybernetickou bezpečnosťou a chráni mnohé firmy pred online útokmi.
V čase od októbra 2023 do marca 2024 sa útoky botov na účty leteckých spoločností, ktoré chráni firma Arkose, zvýšili o 166 percent.
Ukradnuté prihlasovacie údaje sa následne predávajú vo Vietname, Číne aj Rusku a kupujúci dostáva spolu s údajmi aj technickú podporu. Prístup k tomu, aby ktokoľvek spáchal zločin, sa výrazne zjednodušil, a to najmä vďaka infraštruktúre.
Foto: Pexels.com
Deje sa to prostredníctvom aplikácií Telegram aj WhatsApp. Kto si ukradnutý účet hotela či leteckej spoločnosti kúpi, dostane tiež informáciu o počte bodov. Účty sa často predávajú za 80 percent hodnoty bodov alebo aj menej.
Niektorí hackeri dokonca ponúkajú záruku, že kupujúci bude mať prístup k účtu na minimálny počet minút. Ak ich vďaka bezpečnostným opatreniam z účtu odhlási skôr, dostanú náhradný účet s podobnou hodnotou alebo im vrátia peniaze.
Body, ktoré sú na účtoch, sa dajú vymeniť za darčekové karty, v ponuke sú aj letenky. Ako uvádza Staab, približne percento uplatnených bodov z leteckých spoločností je podvodných, pričom celkové straty – vrátane spojených nákladov ako napr. čas zamestnancov a refundácia bodov niektorým zákazníkom – predstavujú asi 3 percentá.
Milióny lietajú vo vzduchu
Medzinárodná asociácia leteckej dopravy odhadovala v roku 2020, že priemysel stratil viac ako miliardu dolárov ročne z dôvodu platobných podvodov. Staab si zároveň myslí, že celkový objem podvodov sa nezvýšil, iba sa presunul z podvodov s kreditnými kartami k podvodom s účtami.
Vernostné účty sa stali pre zločincov cennejšími, a to vďaka úspechu leteckých spoločností, ktoré ponúkajú kreditné karty s odmenami v podobe leteckých míľ.
Lídrom v tomto je Delta Air Lines, ktorá by podľa analytikov mala tento rok zarobiť približne 7 miliárd dolárov zo svojho partnerstva s American Express, pričom v roku 2009 to bolo iba miliarda dolárov. Delta má 25 miliónov aktívnych členov programu SkyMiles.
Jej hovorca Drake Castaneda povedal, že si nie je vedomý nárastu hacknutých účtov s odmenami pre zákazníkov. Približne 70 percent bodov, ktoré získali zákazníci spoločností Delta, American a United Airlines, je z odmien z kreditných kariet a od iných partnerov. Na tento trend naskočili aj hotelové reťazce.
Bezpečnosť pokrivkáva
Je však potrebné podotknúť, že bezpečnostné opatrenia sú mimoriadne slabé. Väčšina hotelov a leteckých spoločností nevyžaduje viacfaktorovú autentifikáciu, pretože nechcú zákazníkom komplikovať proces transakcií. Tieto účty sa preto stávajú ľahkými cieľmi.
Len pre porovnanie s hacknutím bankového účtu – šanca, že niekoho reálne obvinia, je nižšia, pretože spojiť veľký počet útokov (alebo hackov) s jedným podozrivým, je ťažké, no zároveň potrebné na preukázanie dostatočne veľkej finančnej straty, aby sa prípadom vôbec zaoberali.
Jedine v prípade, že sa páchatelia sami priznajú, ako sa to stalo v roku 2021 v americkom Texase. Piati muži priznali vinu v prípade podvodov súvisiacich s krádežou miliónov leteckých míľ z hacknutých účtov.
Takéto útoky môžu byť odrazovým mostíkom pre vážnejšie zločiny. Spoločnosť Arkose mala v hľadáčiku hackerov, ktorí začínali ešte ako tínedžeri. Kradli účty hier s virtuálnou menou. Vďaka zručnostiam, ktoré pri podobných útokoch nadobudli, sa neskôr pustili do vernostných účtov leteckých spoločností a hotelov.
„Je to ako, keď začnete s ľahkými drogami,“ povedal Gosshalk na margo podobných zločinov. Hackeri sa vďaka nim môžu posunúť až k praniu špinavých peňazí, ransomware útokom či útokom na bankové účty.
Tri hotelové reťazce a štyri letecké spoločnosti, ktoré Forbes kontaktoval, odmietli uviesť, či zaznamenali nárast hackov vernostných účtov. V zákulisí, ako povedal Staab, rastie znepokojenie. Mnohé hotely a letecké spoločnosti zvažujú, že zavedú oveľa prísnejšie bezpečnostné opatrenia – napríklad pri uplatnení bodov nad určitú hodnotu, povedal Staab.
Ako sa brániť?
Nové formy autentifikácie účtov hľadá aj spoločnosť United Airlines, povedala na konferencii minulý mesiac jej šéfka online bezpečnosti Deneen DeFiore. Problémom sú napríklad opakujúce sa heslá, alebo tzv. bezpečnostné otázky. S DeFiore a spoločnosťou United sa snažil skontaktovať aj Forbes, no na otázky nereagovali.
Pomôcť by možno vedela umelá inteligencia, ktorej nástroje sa postupne zavádzajú do praxe. AI dokáže zistiť anomálie v transakciách a tiež na ne upozorniť. Ľudia by mali prestať recyklovať svoje heslá, takto znie univerzálne odporúčanie, ako sa chrániť pred online útokmi. Rôzne prihlasovacie heslá na rôznych online platformách, ktoré denne používame, sú mimoriadne účinné a nad všetky možné kontrolné mechanizmy.
Článok vyšiel na Forbes.com, autorom je Jeremy Bogaisky.
