W miarę odchodzenia pandemii Covid-19 w przeszłość branża turystyczna zaczęła odnotowywać wzmożone zainteresowanie. Według American Express luty 2022 r. był „największym miesiącem w historii”, ponieważ coraz więcej osób czuło się komfortowo, mogąc ponownie korzystać z połączeń lotniczych, mieszkać w hotelach i odwiedzać przeróżne miejsca na całym świecie.
Niestety turystyczny boom wyczuli także cyberprzestępcy, opracowując nowe metody oszustw mające na celu wykorzystanie ludzkiej chęci do podróżowania.
Firma Intel 471 (wywiadownia cyberprzestępcza) zaobserwowała wzmagającą się działalność cyberprzestępczego podziemia biorącego na cel najpopularniejsze podmioty z branży turystycznej i hotelarskiej. Od stycznia 2022 r. Intel 471 obserwowała na wielu forach, służących cyberprzestępcom, wzmożone zainteresowanie danymi uwierzytelniającymi, powiązanymi z internetowymi witrynami podróżniczymi.
W lutym jedna z cyberprzestępczych grup umożliwiła dostęp do danych uwierzytelniających konta użytkowników z Wielkiej Brytanii na stronie internetowej, służącej do rezerwacji podróży, oraz stronach internetowych dwóch amerykańskich linii lotniczych. Celem były konta powiązane z nagrodami za co najmniej 100 tys. przebytych mil. Dostęp do tych kont umożliwiał przestępcom wykorzystanie nagród do rezerwowania podróży dla siebie i innych. Konta te mogły być też odsprzedawane innym podmiotom, które chciałyby dokonywać podobnych oszustw.
Baza danych osobowych i RaaS
Jedna z obserwowanych grup cyberprzestępczych zamieściła również ogłoszenia, w których poszukiwała pomocy w namierzaniu informacji, przydatnych w popełnianiu kolejnych przestępstw związanych z podróżami. Przestępcy chcieli także sprzedać bazę danych osobowych, dotyczących 40 tys. osób zatrudnionych w Illinois.
Dostęp do danych osobowych jest kluczowym elementem oszustw, które opierają się na przyjęciu skradzionej tożsamości lub stworzeniu nowej, na podstawie skradzionych danych. Pozwoliłoby to danej osobie podróżować niezauważoną, omijać zakazy i ograniczenia, unikać organów ścigania lub minimalizować możliwość śledzenia jej ruchów.
Grupy zajmujące się oprogramowaniem ransomware-as-a-service (RaaS) atakowały branżę turystyczną także w poprzednich latach, wciąż więc istnieje ryzyko, którego organizacje powinny być świadome. W sierpniu 2021 r. hakerzy, stosując ransomware Lockbit 2.0, dokonali włamania do międzynarodowej firmy doradczej Accenture, żądając okupu w wysokości 50 mln dol. w zamian za niepublikowanie 6 TB rzekomo skradzionych danych. Jeszcze w tym samym miesiącu, stosując to samo oprogramowanie, hakerzy przełamali zabezpieczenia regionalnych linii lotniczych z Tajlandii, wykorzystując dane uwierzytelniające rzekomo uzyskane podczas wspomnianego wyżej włamania.
Wojna a sprawa…
Firma Intel 471 obserwowała również oszustwa będące następstwem inwazji Rosji na Ukrainę. Zaobserwowano m.in., że przestępcy wykorzystują informatorów w organizacjach wspierających turystykę oraz w celu ułatwiania nielegalnej migracji. Jedna z grup przestępczych twierdziła nawet, że posiada informatora w agencji rządowej (mołdawska lub ukraińska służba graniczna).
Krótko po rozpoczęciu inwazji na Ukrainę grupa ta twierdziła, że ich informator może ułatwić nielegalne przekraczanie granicy ukraińskim mężczyznom w wieku od 18 do 60 lat. Ludzie wykorzystywani do realizacji przestępczej działalności mieli rzekomo pomagać chętnym przekraczać granicę mołdawsko-ukraińską i omijać oficjalne punkty kontrolne. Zapisy dotyczące przekroczenia granicy przez osobę korzystającą z usług grupy miały zostać wymazane z paszportów i rządowych baz danych.
Ponadto zauważono, że jedna z grup dołączyła do KillNet, prorosyjskiej grupy haktywistów, przeprowadzającej ataki na cele w Rumunii i innych krajach, które udzielały wsparcia Ukrainie. Wśród podmiotów związanych z podróżowaniem, które ucierpiały w wyniku tych ataków, znalazły się rumuńska Administracja Usług Ruchu Lotniczego oraz lotnisko w Bukareszcie. Ponadto, podmioty związane z lotnictwem i transportem były jednymi z najczęstszych celów KillNet w pierwszej połowie 2022 r.
Pamiętajmy jednak, że ryzyka cyber można, a nawet trzeba ubezpieczyć, w czym pomogą państwu wyspecjalizowani pośrednicy ubezpieczeniowi.
Łukasz Cichowski
starszy broker
MAI Insurance Brokers Poland sp. z o.o.