Wprowadzenie do problemu / definicja
Punkty lojalnościowe, mile lotnicze i nagrody hotelowe przez lata były postrzegane głównie jako element marketingu i benefit dla klientów. Z perspektywy cyberprzestępców są jednak aktywem o realnej wartości finansowej, które można przejąć, gwałtownie wykorzystać i stosunkowo trudno odzyskać po finalizacji rezerwacji. Coraz więcej analiz pokazuje, iż konta programów lojalnościowych funkcjonują dziś w cyberprzestępczym podziemiu jak pełnoprawny towar cyfrowy.
To oznacza zmianę w sposobie postrzegania tego typu usług. Konto z dużą liczbą mil lub punktów nie jest już wyłącznie dodatkiem do podróży, ale cyfrowym zasobem, który może zostać spieniężony podobnie jak dane kart płatniczych czy przejęte konta e-commerce.
W skrócie
Badacze analizujący przestępcze społeczności zaobserwowali uporządkowany handel przejętymi kontami programów lojalnościowych. Schemat działania jest powtarzalny: napastnicy zdobywają poświadczenia, wyszukują konta z wysokim saldem punktów, realizują nagrody w postaci biletów lub noclegów, a następnie odsprzedają te świadczenia po obniżonej cenie.
- Zaobserwowano setki wpisów dotyczących sprzedaży lub wykorzystania kont lojalnościowych.
- W badanym materiale pojawiły się tysiące wzmianek o markach z sektora podróży.
- Oferty wskazywały orientacyjnie wycenę na poziomie około 1 USD za 1000 mil.
- W części przypadków sprzedawcy oferowali także dostęp do skrzynki e-mail powiązanej z kontem ofiary.
Skala i powtarzalność takich ofert sugerują, iż nie chodzi już o incydentalne nadużycia, ale o dojrzały model monetyzacji skradzionych danych.
Kontekst / historia
Nadużycia w programach lojalnościowych nie są zjawiskiem nowym, jednak przez długi czas pozostawały poza głównym nurtem raportowania incydentów. W przeciwieństwie do klasycznych oszustw finansowych często nie są one wyodrębniane w statystykach, mimo iż mogą generować znaczne straty i prowadzić do utraty zaufania klientów.
Atrakcyjność takich kont dla cyberprzestępców rośnie z kilku powodów. Po pierwsze, linie lotnicze i sieci hotelowe obsługują ogromne bazy użytkowników, co zwiększa skuteczność phishingu, credential stuffing oraz wykorzystania danych pozyskanych przez infostealery. Po drugie, zgromadzone mile i punkty mają wysoką płynność, ponieważ można je zamienić na loty, noclegi i inne świadczenia o wymiernej wartości. Po trzecie, wielu użytkowników rzadziej monitoruje konto lojalnościowe niż rachunek bankowy, co daje napastnikom więcej czasu w działanie.
Według przywoływanych szacunków branżowych oszukańcze wykorzystanie nagród i punktów w sektorach podróży oraz handlu detalicznego może odpowiadać za straty liczone w miliardach dolarów rocznie.
Analiza techniczna
Model operacyjny obserwowany w podziemiu jest prosty, ale skuteczny. Cały proces można podzielić na kilka etapów, które dobrze wpisują się w znane schematy przejmowania kont.
Pierwszym krokiem jest zdobycie dostępu. Najczęściej odbywa się to przy użyciu skradzionych poświadczeń pozyskanych z malware typu infostealer, kampanii phishingowych, ataków brute force lub credential stuffingu. Następnie przestępcy selekcjonują konta z odpowiednio wysokim saldem punktów lub mil.
Szczególnie cenne są profile, przy których możliwe jest równoczesne przejęcie skrzynki e-mail właściciela. Taki dostęp utrudnia szybką reakcję ofiary, pozwala przechwytywać powiadomienia bezpieczeństwa i ułatwia zmianę danych konta lub reset haseł.
Kolejny etap to monetyzacja. Zamiast bezpośrednio kraść środki finansowe, napastnicy zamieniają punkty na usługi o realnej wartości rynkowej, takie jak bilety lotnicze czy rezerwacje hotelowe. Następnie sprzedają te świadczenia po cenie niższej od oficjalnej, zachowując atrakcyjną marżę. Po wykorzystaniu podróży odzyskanie wartości przez ofiarę lub operatora programu staje się znacznie trudniejsze.
Istotny jest również sposób dystrybucji ofert. W przestępczych kanałach komunikacji ogłoszenia mają często uporządkowaną formę handlową, zawierają nazwy przewoźników i sieci hotelowych, informacje o dostępnych kontach oraz warunkach realizacji rezerwacji. To sugeruje istnienie stabilnego rynku z własnym zapleczem operacyjnym, a nie przypadkowych jednorazowych oszustw.
Konsekwencje / ryzyko
Dla użytkowników indywidualnych skutki mogą wykraczać poza samą utratę punktów. Przejęcie konta lojalnościowego często wiąże się z uzyskaniem dostępu do danych osobowych, historii podróży, informacji o rezerwacjach oraz powiązanej skrzynki e-mail. Taki zestaw danych może zostać wykorzystany w dalszych atakach, w tym do kradzieży tożsamości, resetu haseł w innych usługach lub precyzyjnie przygotowanego phishingu.
Dla operatorów programów lojalnościowych problem oznacza bezpośrednie straty finansowe, koszty obsługi reklamacji oraz ryzyko reputacyjne. Dodatkowym wyzwaniem jest to, iż nadużycia nie muszą wynikać z pojedynczego incydentu po stronie konkretnej firmy. Często źródłem są dane z wielu niezależnych wycieków i kampanii malware, co oznacza, iż choćby organizacje bez potwierdzonego włamania mogą być aktywnie wykorzystywane przez przestępców.
Ryzyko biznesowe rośnie także dlatego, iż skradzione punkty stosunkowo łatwo ukryć operacyjnie. Po zamianie na legalnie wyglądającą rezerwację i jej wykorzystaniu ślad nadużycia bywa mniej oczywisty niż w przypadku klasycznej kradzieży środków z konta.
Rekomendacje
Organizacje prowadzące programy lojalnościowe powinny traktować konta nagród jak zasób finansowy i chronić je w sposób zbliżony do usług płatniczych. najważniejsze znaczenie ma wdrożenie silnego MFA dla logowania, resetu hasła oraz realizacji nagród.
- Monitorowanie anomalii, takich jak logowania z nowych lokalizacji, szybkie opróżnianie salda i nietypowe rezerwacje.
- Wdrożenie risk-based authentication dla operacji wysokiego ryzyka.
- Dodatkowa weryfikacja przy zmianie adresu e-mail, transferze punktów i realizacji nagród premium.
- Korelacja telemetrii z informacjami o wyciekach poświadczeń i aktywności infostealerów.
- Powiadomienia o logowaniu, zmianach profilu i wykorzystaniu punktów.
Po stronie użytkowników podstawą pozostają unikalne hasła, menedżer haseł oraz wieloskładnikowe uwierzytelnianie. Równie ważne jest regularne sprawdzanie salda punktów i historii aktywności. Szczególną uwagę należy poświęcić ochronie skrzynki e-mail powiązanej z programem lojalnościowym, ponieważ jej przejęcie znacząco zwiększa skuteczność i trwałość ataku.
Podsumowanie
Handel przejętymi milami lotniczymi i punktami hotelowymi przestaje być niszowym nadużyciem, a coraz wyraźniej staje się wyspecjalizowanym segmentem podziemnej gospodarki cyberprzestępczej. Wartość tych aktywów wynika z ich płynności, szerokiej skali wykorzystania oraz relatywnie słabszego nadzoru niż w przypadku tradycyjnych instrumentów finansowych.
Dla organizacji to wyraźny sygnał, iż programy lojalnościowe wymagają dojrzałych mechanizmów ochrony tożsamości, detekcji nadużyć i reagowania na incydenty. Dla użytkowników oznacza to konieczność traktowania kont nagród nie jako dodatku marketingowego, ale jako cyfrowego portfela o realnej wartości.
Źródła
- BleepingComputer — Going the Extra Mile: Travel Rewards Turn into Underground Currency: https://www.bleepingcomputer.com/news/security/going-the-extra-mile-travel-rewards-turn-into-underground-currency/
- Reuters — Industry estimates on fraudulent reward redemptions in travel and retail ecosystems: https://www.reuters.com/
- Flare — Threat intelligence and underground market monitoring for loyalty account abuse: https://flare.io/
