Os cibercriminosos estão usando bots para explorar um erro comum de segurança que os viajantes cometem, esvaziando contas que possuem milhões de dólares em recompensas.
A maioria das pessoas não verifica suas contas de pontos de hotel ou companhia aérea com frequência. Isso as torna um alvo atrativo para ladrões.
Especialistas em segurança dizem que houve um aumento nos ataques a contas de programas de fidelidade de hotéis e companhias aéreas no último ano, impulsionado por dois fatores: melhores proteções contra fraudes com cartões de crédito fazem com que os criminosos busquem alvos mais fáceis, e redes de cibercrime têm vendido ferramentas para realizar ataques, permitindo que pessoas sem habilidades de programação invadam contas.
A mudança de fraudes com cartões de crédito para sequestros de contas de fidelidade pegou as companhias aéreas “de surpresa”, disse Christopher Staab, cofundador da Loyalty Security Alliance, um grupo da indústria de viagens. “Eles não têm as ferramentas, os processos, as pessoas que entendem isso.” As companhias aéreas realizaram reuniões iniciais esta semana de um novo grupo de trabalho para coordenar uma resposta, ele disse.
Com bilhões de dólares em pontos fluindo nos programas de milhagem todos os anos, “eles são essencialmente como contas bancárias”, disse Nik Laming, um consultor de programas de fidelidade de companhias aéreas e varejistas baseado em Singapura. Mas os programas de fidelidade “não são obrigados a proteger essas contas como um banco.”
As contas de fidelidade têm sido hackeadas em volumes menores há anos por meio de técnicas como phishing e malware que roubam senhas. Mas agora, os cibercriminosos estão pegando bancos de dados de credenciais de login expostos em violações de sites e usando bots para testá-los em massa em contas de fidelidade de companhias aéreas e hotéis. Eles estão aproveitando um dos erros de segurança mais comuns que as pessoas cometem online: usar a mesma senha em vários lugares, disse Kevin Gosschalk, fundador e CEO da empresa de cibersegurança Arkose Labs, que protege empresas contra fraudes online.
Entre o quarto trimestre de 2023 e o primeiro trimestre de 2024, os ataques de bots a contas de companhias aéreas protegidas pela Arkose aumentaram 166%, disse a empresa. A empresa com sede em San Mateo, Califórnia, tem clientes como Singapore Airlines e a companhia aérea de baixo custo japonesa Zipair, bem como outras companhias aéreas que ela disse não poder divulgar. (As duas companhias aéreas não responderam a um pedido de comentário.)
Leia também
Houve um aumento de 30% a 40% em contas hackeadas com sucesso, estima Staab, com base em discussões com membros de seu grupo da indústria.
Ferramentas para realizar os chamados ataques de preenchimento de credenciais estão sendo vendidas por atores mal-intencionados no Vietnã, China e Rússia, disse Gosschalk, e eles estão oferecendo suporte técnico para os compradores. “Você não precisa mais ser um desenvolvedor”, disse Gosschalk. “A acessibilidade para cometer o crime diminuiu muito graças a essa infraestrutura agora disponível para realizar esses ataques.”
Os cibercriminosos que usam essas ferramentas estão vendendo acesso às contas que comprometeram, muitas vezes através de grupos no Telegram e WhatsApp, com o número de pontos listado. As contas são frequentemente vendidas a 80% do valor dos pontos ou menos, disse Gosschalk. Alguns oferecem garantias de que o comprador terá acesso por um número mínimo de minutos. Se a segurança da conta os expulsar antes disso, eles recebem um substituto de valor semelhante ou seu dinheiro de volta.
Os compradores resgatam os pontos trocando-os por cartões-presente ou comprando passagens aéreas. Algumas das contas hackeadas são usadas para vender passagens aéreas com grandes descontos ao público em sites que parecem agências de viagens legítimas, disse Staab.
Cerca de 1% dos resgates de pontos de companhias aéreas são fraudulentos, estima Staab, com perdas totais chegando a cerca de 3% quando incluídos os custos associados, incluindo tempo de funcionários e reembolso de pontos a alguns clientes. A Associação Internacional de Transporte Aéreo estimou em 2020 que a indústria perdia mais de $1 bilhão por ano em fraudes de pagamento.
Staab acredita que o volume total de fraudes não aumentou, mas mudou de fraudes com cartões de crédito para sequestros de contas.
As contas de fidelidade tornaram-se alvos mais valiosos graças ao sucesso das companhias aéreas em vender cartões de crédito co-branded que oferecem milhas aéreas como recompensa por seu uso. A líder tem sido a Delta Air Lines, que deve ganhar cerca de $7 bilhões com sua parceria com a American Express este ano, segundo analistas da TD Cowen, acima de $1 bilhão em 2009. A Delta tem 25 milhões de membros ativos no SkyMiles. Um porta-voz da Delta, Drake Castaneda, disse que não estava ciente de um aumento nas contas de recompensas hackeadas.
Cerca de 70% dos pontos ganhos pelos clientes da Delta, American e United Airlines agora vêm de recompensas de cartões de crédito e outros parceiros, de acordo com um relatório da IdeaWorks. Cadeias de hotéis também entraram na onda dos cartões de crédito.
Mas as medidas de segurança das companhias aéreas não acompanharam: a maioria das cadeias de hotéis e companhias aéreas não exige autenticação multifator porque elas relutam em adicionar fricção ao processo de transação para os clientes, disse Laming.
Isso torna essas contas um alvo mais fácil. Comparado a hackear uma conta bancária, há também um risco muito menor de acusações criminais, disse Staab. Uma razão: é mais difícil para os promotores conectar um grande número de hacks a um único suspeito, necessário para mostrar um valor de perda suficientemente alto para justificar gastar tempo no caso.
Em uma rara acusação, em 2021, cinco homens se declararam culpados em um tribunal federal no Texas por acusações de fraude pelo roubo de milhões de milhas aéreas de contas hackeadas e a venda de passagens compradas com elas.
Esse tipo de hacking pode ser um trampolim para crimes mais graves, disse Gosschalk. A Arkose rastreou alguns hackers que começaram na adolescência sequestrando contas de videogames para roubar moeda virtual, e depois usaram as habilidades que desenvolveram para ir atrás de contas de hotéis e companhias aéreas.
“É um pouco como uma droga de entrada, no sentido de que é um crime bastante fácil de cometer”, disse Gosschalk. Hackers podem passar para lavagem de dinheiro, ransomware e ataques de preenchimento de credenciais em contas bancárias.
Três cadeias de hotéis e quatro companhias aéreas contatadas pela Forbes se recusaram a dizer se estavam enfrentando um aumento no hacking de contas de fidelidade. Mas nos bastidores, Staab disse que tem havido uma crescente preocupação. Muitos hotéis e companhias aéreas estão mordendo a bala e se movendo para exigir algum tipo de autenticação multifator — por exemplo, no caso de resgates de pontos acima de um certo valor, disse Staab.
O chefe de segurança online da United Airlines, Deneen DeFiore, disse em uma apresentação em uma conferência no mês passado que a companhia aérea estava se afastando de perguntas de segurança, que, como senhas, foram vazadas e são frequentemente reutilizadas, e está buscando novas formas de autenticação de contas, de acordo com Gosschalk.
DeFiore e a United não responderam às perguntas da Forbes.
Também existem ferramentas habilitadas para IA que estão sendo usadas para detectar anomalias e padrões em transações e disparar alertas, disse Laming.
Em última análise, educar as pessoas para parar de reciclar suas senhas teria o maior impacto, disse ele.
“Você pode colocar todos os controles que quiser em prática, mas se o membro está usando as mesmas credenciais… então fica muito difícil combater isso.”