2023年です。あなたのロイヤルティメンバーシップポイントがどこにあるかご存知ですか?もしあなたが、ロイヤルティ プログラムが非アクティブな消費者の 45%の 1 人であれば、答えはおそらく「いいえ」です。そして、それはホスピタリティ詐欺の脅威の増大を招くことになります。詐欺は銀行の問題であると考えられることが多いですが、ホスピタリティや旅行業が提供する特典や会員ポイントは、詐欺師にとって同様に儲かるチャンスとなります。しかし、銀行やその他の金融口座とは異なり、ロイヤルティ プログラムは厳重に監視および保護されていないことが多く、非アクティブで安全でない特典アカウントはサイバー犯罪者にとって格好の標的となり、ますます人気が高まっています。では、ホスピタリティ企業はどのようにしてこの増大する脅威を防ぐことができるのでしょうか?このブログでは、ホスピタリティ詐欺の原因、詐欺師がポイントを盗むために使用する戦術、企業が顧客を保護するためにできることなどについて背景を説明します。
ホスピタリティ業界における詐欺の傾向を牽引しているものは何でしょうか?
ホスピタリティおよび旅行アカウントに関連付けられたリワード ポイントとロイヤルティ プログラムの特典は、無料のホテル宿泊、割引航空券、アップグレード、またはその他の価値あるサービスと引き換えることができます。さらに、詐欺師はこれらのアカウントにリンクされた盗まれたクレジットカード情報を使用して、高額な旅行の予約や高級宿泊施設の予約など、不正な購入を行う可能性があります。しかし、こうした不正に得た利益の価値は相当なものになる可能性があるものの、顧客は、銀行口座よりもホスピタリティや旅行の口座にアクセスするときに摩擦を加えるセキュリティ対策を容認する可能性は低いかもしれない。その結果、企業はユーザーエクスペリエンスを優先し、セキュリティを妥協点とみなすようになります。加えて、 ロイヤルティプログラムに関する研究 消費者の 72% が従来の会員権の 50% 以下しか使用しておらず、31% の消費者は 25% しか使用していないことが示されています。消費者がサイトに戻ってくる頻度は低いため、詐欺行為にすぐに気付かず、報告しない、あるいはまったく報告しない可能性があります。航空会社、ホテル、その他のホスピタリティ業界の企業にとって、これは確認された詐欺事件の減少を意味し、詐欺師が攻撃を成功させるハードルを下げ、複数回の攻撃や大規模なキャンペーンでさえも気付かれずに済むようになります。これは特にパンデミック中に当てはまり、非アクティブなアカウントの割合が上昇し、企業がポイント使用の有効期限を延長したため、ホスピタリティ業界や航空会社の詐欺が急増しました。
ロイヤルティポイント詐欺の例と統計
2017年には航空会社の60%が ロイヤルティ プログラム詐欺の事例が数多くあり、それ以来その傾向は拡大するばかりです。これらの詐欺が成功したことで、パンデミック関連の渡航制限が解除された後もホスピタリティ業界の詐欺が根強く残り、組織化された詐欺グループやオンラインマーケットプレイスが詐欺師にオンラインでポイントを売買する容易な機会を提供している。航空会社の詐欺に関する最近の統計 不正取引の 46% を占めていることが示されています。当社のセキュリティ調査チームは、以下に示すように、マイルやポイントが販売されるインターネット上のロイヤルティ ポイント詐欺の例を多数発見しました。
そして、ハッカーにとってこれらのロイヤルティポイントを取得することは、あなたが思っているよりも簡単かもしれません。2023年、ハッカーのサム・カリーは 多くの大手航空会社のポイント取引を扱うプラットフォームであるPoints.comに重大なセキュリティ上の欠陥が見つかった。これらの脆弱性により、他のリスクの中でも、マイレージ番号、クレジットカード、その他の顧客データを含む 2,200 万件の注文へのアクセス、ポイントの追加、削除、転送、顧客アカウントの変更権限などが可能になりました。豊富な顧客データと顧客アカウントへのアクセスを武器に、詐欺師は 攻撃を開始するだけでなく、大規模に攻撃を拡大することを可能にするさまざまな戦術。この規模であれば、詐欺師はポイントを金銭的価値よりも大幅に割引して販売した場合でも利益を得ることができるため、ポイントを購入する犯罪者にとってさらに魅力的になります。
接客業や旅行業を狙った詐欺行為
航空会社やホスピタリティ業界は詐欺の格好の標的であるだけでなく、発見される機会も少ないため、詐欺師はさまざまな戦術を使って顧客のポイントや支払い認証情報を盗むことができます。ホスピタリティ詐欺に使用される戦術には次のようなものがあります。
- アカウント乗っ取り: 詐欺師は、ダークウェブマーケットプレイス、ブルートフォース攻撃、セッションハイジャックなどの方法を通じてログイン認証情報に不正にアクセスし、個人のアカウントを標的にすることができます。一度制御権を握れば、ユーザーのクレジットカード情報やポイントを盗んで使用したり販売したりできるようになります。
- 偽の旅行ウェブサイト: 詐欺師は、類似したドメイン名とデザインを持つ正規の旅行プラットフォームを模倣した不正な Web サイトを作成し、ユーザーを騙してサイトの偽のログイン フォームに認証情報を入力させ、ポイントや支払い認証情報を含む被害者のアカウントにアクセスできるようにします。
- Phony が提供するもの: 詐欺師は、偽の旅行プランや会員限定特典を宣伝する広告やフィッシングメールを使用して、ユーザーに支払い情報や会員情報を提供させようとすることがあります。
- 航空券をキャンセルしてフライトクレジットを獲得: 詐欺師は 合成ID詐欺 または自動化フレームワークを利用して新しいアカウント詐欺を実行し、キャンセルポリシーを悪用してシステムを操作し、実際に予定していた旅行を完了することなく、フライトクレジットやその他の特典を不正に取得します。
- マイレージ詐欺: 正当なユーザーが旅行の際にマイレージカード番号や特典番号を提出しなかった場合、詐欺師は最近のフライトの乗客全員にブルートフォース攻撃をかけて、この未請求の価値を悪用することができます。 マイルを遡及的に請求する デジタルチャネルを通じて特典を獲得します。
ホスピタリティ詐欺を減らしながら強力なUXを提供する方法
報酬プログラムの不正行為の問題を解決するには、ホスピタリティおよび旅行会社は、UX とセキュリティを必要なトレードオフと見なすのではなく、不正行為検出を活用してより優れたユーザー エクスペリエンスを提供するソリューションに投資する必要があります。UX とセキュリティの両方を最適化するために使用できるサービスには、次のようなものがあります。
- 強力な認証 と 面倒なパスワードやOTPを生体認証に置き換えるパスキーなどのフィッシング不可能な認証情報
- 詐欺防止 高いレベルの保証リスクと信頼のシグナルを提供し、企業はセッションを延長したり、2要素認証を減らしたりすることで、信頼できる顧客との摩擦を減らすことができます。
- 本人確認 搭乗前の本人確認のために顧客のパスポートを検証するために使用できる
- アイデンティティオーケストレーション これにより、企業は不正検出ソリューションの呼び出し順序をA/Bテストして最適化し、セキュリティを強化しながらパフォーマンスを最大化できます。
- 追加の摩擦を生じさせることなく、登録フォームに入力された電子メールと電話の評判、名前、その他のデータを同時にチェックすることで、アカウント開設詐欺を受動的に検出するデータ検証
Transmit Securityは、顧客のIDセキュリティを目的としたネイティブ統合プラットフォームを提供し、企業が報酬プログラムや会員ポイントを不正行為から保護するだけでなく、 不正分析を簡素化し、 ベンダーを統合する そして パスキーの実装を強化する およびその他のセキュリティ対策。Transmit Securityが、増加するリワードプログラム詐欺の脅威からホスピタリティおよび旅行会社をどのように支援できるかについて詳しくは、営業担当者にお問い合わせいただくか、当社の Transmit Security による不正行為検出に関するケーススタディ。