Abus de points de fidélité
Un retour à la normalité pour les voyageurs en fera des cibles pour les pirates
Andy Still, directeur technique, Netacées
Quand reviendra-t-on à la normale ? C'est difficile à prédire - et peut-être pas conseillé, étant donné le nombre de prédictions prématurées de normalité que nous avons vues l'année dernière. Au moment d'écrire ces lignes, l'efficacité des vaccins est source d'espoir, mais le calendrier exact de la réouverture des frontières et des vols à nouveau des compagnies aériennes est inconnu. Une prédiction, faite par Tim Harford dans le Financial Times, c'est que les choses vont s'améliorer progressivement, puis soudainement. Autrement dit, nous aurons de bonnes nouvelles progressivement pendant longtemps, mais le jour, la semaine ou le mois exact où nous pourrons dire que les choses approchent de la normalité sera incroyablement difficile à prédire.
Une chose est sûre, une fois que les gens pourront partir en vacances, la demande sera forte. Les gens voudront les vacances qui leur ont été refusées pendant si longtemps. Une industrie du voyage en difficulté sait qu'elle doit simplement tenir le coup jusqu'à ce que les restrictions soient levées, lorsque la demande de vacances sera immense. Mais cela signifie également que les pirates, qui ont détourné leur attention de l'industrie du voyage alors qu'elle était calme, feront également des plans.
Les points de fidélité comme monnaie du dark web
Voler dans les banques n'est pas simple. Que vous entriez par la porte d'entrée pour cambrioler le coffre-fort ou que vous essayiez de voler les comptes des clients, la sécurité est renforcée. Les prestataires de services financiers sont fortement réglementés et ont une grande expérience dans la protection de l'argent de leurs clients. De plus, ils ont l'avantage de répondre aux attentes des clients. Nous voulons que nos comptes bancaires soient sûrs et donc des méthodes d'authentification supplémentaires qui rendent toute transaction un peu plus difficile sont acceptables - en fait, elles sont souvent les bienvenues.
Un cybercriminel cherchant à voler de l'argent sur des comptes bancaires a du pain sur la planche. C'est difficile à faire et dangereux - tout vol réussi est susceptible d'être suivi d'une enquête médico-légale. Aucune banque ne veut se faire une réputation de « soft touch ».
Et s'il y avait quelque chose de plus facile à pirater ? Et s'il y avait des comptes que la plupart des gens ne consultent pas tous les jours, contenant quelque chose d'aussi précieux que de l'argent, qui peut être échangé contre des biens, mais sans le danger de voler un compte bancaire ? Les points de fidélité, notamment les points de voyage, sont devenus une monnaie du dark web. Les comptes peuvent être volés, échangés et utilisés pour acheter des vols et des séjours à l'hôtel bien avant que le propriétaire d'origine n'en sache rien.
Le problème est que nous ne considérons tout simplement pas les points de fidélité comme ayant la même valeur que l'argent. Nous n'exigeons pas le même niveau de sécurité et ne subirons donc pas le même niveau de désagrément lors de l'accès à ces comptes. Les entreprises de voyage ont le choix. Ils peuvent rendre ces comptes aussi sécurisés que possible, ou risquer d'aller ailleurs lorsqu'un client trouve le processus de connexion trop ardu.
Les risques d'un retour à la normale
Les pirates, comme tout le monde, empruntent la voie de la moindre résistance. Lorsque certains secteurs commenceront à repousser leur activité, ils chercheront ailleurs des cueillettes faciles. L'industrie du voyage, qui a été dans le marasme pendant la majeure partie de la pandémie, n'a pas été une cible privilégiée pour les pirates informatiques - il y a peu de valeur dans une monnaie qui ne peut pas être utilisée. Mais un retour au commerce normal signifiera également un retour à être une cible pour les pirates.
Un an peut être long dans le piratage. C'est une année entière de listes combinées divulguées qui sont maintenant disponibles - des listes de noms d'utilisateur et de mots de passe volés dont la validité peut être vérifiée sur d'autres sites. La tendance des gens à réutiliser les mots de passe signifie qu'un criminel peut acheter une liste combinée et vérifier la validité de ces mots de passe sur d'autres sites. C'est une tâche impossible à faire manuellement, mais les bots peuvent la rendre simple. Des centaines de mots de passe peuvent être vérifiés chaque minute, ce qui permet de prendre le contrôle de comptes et soit de les vider de points de fidélité, soit de les revendre.
Les montants détenus dans ces comptes sont souvent beaucoup plus élevés que beaucoup ne le pensent. Les comptes Air Miles et similaires peuvent valoir des milliers, voire des dizaines de milliers de dollars, et tout est à gagner pour ceux qui savent comment. Cela se traduit souvent par le fait que l'entreprise de voyages paie deux fois les points volés - les points sont volés et utilisés par quelqu'un en échange de services coûteux, et le client exigera souvent que les points soient remboursés, ou il peut être prudent de le faire afin de garder la fidélité du client.
Quelle est la gravité de cette menace ? En moyenne, au moins 50 % du trafic Web est généré par des bots, et 9 tentatives de connexion sur 10 sont effectuées par des bots malveillants. Environ 80 % des entreprises de voyages craignent que les attaques contre leur entreprise ne nuisent à leur réputation et ne fassent perdre des clients. Ils ont peut-être raison, mais ils recherchent peut-être des menaces au mauvais endroit. Les entreprises de voyages doivent prendre cette menace aussi au sérieux qu'une banque traiterait le vol de fonds, en protégeant leurs programmes de fidélité, leurs clients et, en fin de compte, leur rentabilité.
