3 шага для защиты программы лояльности вашего отеля

16 июня 2023
3 шага для защиты программы лояльности вашего отеля

Согласно данным Lexis Nexis, автоматизированные бот-атаки в сфере туризма и гостеприимства за последний год резко возросли на 239%, преимущественно нацеливаясь на уязвимые программы лояльности.

Лето наступило, и с ним приходит планирование долгожданных отпусков. Многие путешественники полагаются на баллы программ лояльности, чтобы компенсировать затраты на путешествия. К сожалению, некоторые из них могут оказаться в неприятном положении, когда обнаружат, что их аккаунты лояльности были взломаны, а баллы украдены мошенниками, оставив их без возможности их использовать.

Мошенничество в сфере лояльности обычно связано с захватом аккаунта (ATO), когда мошенник получает несанкционированный доступ к аккаунту, связанному с программой лояльности. Атаки методом несанкционированного доступа (ATO) стали более частыми, сложными и серьезными в последние годы, особенно поскольку злоумышленники находят новые способы оптимизации векторов атак и делают их доступными мошенникам с разным уровнем навыков. Согласно проведенному исследованию, 69% компаний в 2022 году потеряли выручку из-за мошенничества, основанного на использовании ботов.

Гостиничная индустрия особенно пострадала от автоматизированных бот-атак и атак методом несанкционированного доступа (ATO). Согласно данным Lexis Nexis, автоматизированные бот-атаки в сфере туризма и гостеприимства за последний год резко возросли на 239%, преимущественно нацеливаясь на уязвимые программы лояльности. Для отелей ставки очень высоки: им приходится развивать свою кибербезопасность, чтобы защититься от атак методом несанкционированного доступа (ATO), не теряя при этом из виду пользовательский опыт, который ожидают гости.

Как и почему злоумышленники нацеливаются на программы лояльности

Одной из причин роста атак методом несанкционированного доступа (ATO) является появление новых инструментов и техник, которые снизили порог вхождения для противников. Во многих случаях злоумышленники специализируются на определенных этапах атаки, ограничивая общую прослеживаемость своих действий, но предоставляя им множество возможностей для получения выгоды от взломанных аккаунтов. Примером такого поведения является злоумышленник, чья единственная задача — кража баллов лояльности или учетных данных аккаунта, а затем продажа их другим злоумышленникам.

Кроме того, мы наблюдаем смещение от традиционной эксплуатации информации о кредитных картах к более целевому подходу, который направлен на использование программ лояльности и балансов баллов клиентов. Эта тенденция особенно заметна в гостиничной индустрии и обусловлена двумя факторами: 1) изменением путевых маршрутов после глобальной пандемии в 2020 году и 2) ограниченными возможностями вернуть потерянные баллы после атаки.

В самые ранние дни пандемического локдауна произошел резкий спад в путешествиях, и в результате большинство людей в течение длительного времени не получали доступа к своим учетным записям программ лояльности и не контролировали их. Это создало возможность для атакующих тихо нацеливаться на аккаунты и медленно похищать баллы клиентов, не вызывая подозрений.


Кроме того, баллы лояльности не отслеживаются и не управляются крупными финансовыми учреждениями, поэтому сложнее отменить несанкционированное использование баллов по сравнению с несанкционированным использованием кредитных карт. Мошенники быстро поняли, что они меньше подвержены последствиям, когда нацеливаются на программы лояльности, поэтому эти аккаунты стали главными целями.

И, наконец, баллы лояльности легче «обналичить», даже если злоумышленники не имеют доступа ко всей личной информации пользователя. С помощью программ лояльности несанкционированные пользователи могут более легко обменивать баллы на подарочные карты или передавать их на другие связанные аккаунты без дополнительной проверки личности. Хотя гости могут чаще получать доступ к этим аккаунтам по сравнению с периодом самого строгого локдауна, все же не так просто вернуть украденные баллы лояльности после обнаружения злоумышленников. Обычно не существует стандартизированного способа заморозки и повторной выдачи баллов лояльности при атаке методом несанкционированного доступа (ATO).

Злоумышленники, осуществляющие атаки методом несанкционированного доступа (ATO), наиболее часто используют технику наполнения учетных данных, ищут утечки учетных данных из предыдущих нарушений и используют эту информацию для доступа к другим аккаунтам с использованием аналогичных учетных данных. Эти злонамеренные действующие лица полагаются на исследование целей, резидентные прокси, методы социальной инженерии и настройки обхода, чтобы сделать свои атаки более эффективными и прибыльными.

Часто участники программ лояльности используют одни и те же или похожие учетные данные для своих аккаунтов лояльности и для других личных аккаунтов, что делает их особенно уязвимыми для атак методом наполнения учетных данных и методом несанкционированного доступа (ATO).



CAPTCHA: Недостаточная безопасность, наносящая вред пользовательскому опыту

CAPTCHA долгое время использовалась для проверки и защиты пользовательской идентификации на веб-сайтах, но по мере усовершенствования инструментов искусственного интеллекта CAPTCHA уже не является достаточной мерой.

Несколько генеративных инструментов искусственного интеллекта теперь способны обойти изображения и вопросы CAPTCHA. Также появляется все больше сервисов по решению CAPTCHA, которые могут быстро и доступно преодолеть барьеры CAPTCHA, в то время как делают это в шесть раз быстрее, чем человек.

В дополнение к ограничениям в области безопасности, CAPTCHA создает плохой пользовательский опыт для клиентов. Решение CAPTCHA может быть утомительным процессом, и каждая секунда имеет значение, когда вы пытаетесь убедить путешественников забронировать на вашем веб-сайте или мобильном приложении. Онлайн-отелям необходимо понимать ограничения CAPTCHA и рассматривать альтернативы, такие как невидимые вызовы для онлайн-безопасности.



Шаги по борьбе с атаками методом несанкционированного доступа (ATO) и онлайн-мошенничеством

  1. Остановить мошенничество на пороге: Примите проактивные меры для борьбы с атаками методом несанкционированного доступа в вашей организации. Ваша команда должна сместить свое внимание с борьбы с мошенничеством после его возникновения на этап предотвращения мошенничества при входе в аккаунт.
  2. Внедрить современные инструменты обнаружения угроз: CAPTCHA не являются идеальным решением в современной угрозовой среде, и существует множество других инструментов, которые могут обнаруживать и смягчать атаки методом несанкционированного доступа. Ищите надежные решения для обнаружения и смягчения ботов, которые не используют CAPTCHA и достаточно устойчивы для обнаружения атак методом несанкционированного доступа в реальном времени, даже когда злоумышленники меняют свои инструменты и техники.
  3. Преодоление внутренних разделений для улучшения межфункционального сотрудничества: Рассмотрите возможность объединения усилий по борьбе с мошенничеством и кибербезопасностью в одну команду и убедитесь, что они тесно сотрудничают и обмениваются информацией с командами управления аккаунтами или электронной коммерции для сокращения разрывов в реагировании на угрозы.


Современные ведущие отельные бренды стремятся обеспечить безопасность данных гостей, при этом улучшая общий гостевой опыт. В этом контексте отели должны предпринимать превентивные шаги для борьбы с неблагонадежными действиями атак методом несанкционированного доступа и мошенничеством в области лояльности. Вместо полагания на традиционные CAPTCHA, отели должны внедрять передовые практики кибербезопасности во всех аспектах своей деятельности. Важным элементом этого является получение внутренней поддержки для содействия более сильному и превентивному реагированию на угрозы ATO. В конечном итоге, это лежит на плечах лидеров в области технологий, чтобы возглавить эти усилия и гарантировать безопасность и защиту чувствительной информации гостей и баллов лояльности.

 
Рейтинг: 0/5 - 0 голосов

Комментарии ()

    Просмотров