Suitecase on a conveyor belt

航空会社のマイルは報酬として設計されたものだが、サイバー犯罪市場においては在庫となる。多くの場合、窃盗はクレデンシャルの漏洩から 始まり、マイルが航空券やホテルの宿泊に静かに変換されて終わる。

Flareの研究者は、地下コミュニティからの何百もの投稿を分析した。一見すると、アカウントの不正使用が散在しているように見えるが、実際は旅行特典の着実な商業取引に似ている。

ロイヤリティ詐欺が独自のカテゴリーとして公式の犯罪ダッシュボードに表示されることはほとんどない。しかし、ロイターの記事によると、業界の推定では、旅行や小売のエコシステム全体における不正なリワードの利用は、年間10億ドルから30億ドルの金銭的損失を被害者に与えている。

完全な不正サイクル – リワードを収益に変える

収益化モデルは単純明快で、4つの段階に分かれている:

Full fraud cycle
完全な詐欺サイクル

  1. ポイント・アカウントを管理する: 多くの場合、これは別の脅威行為者によって達成されます。通常、より技術的な脅威行為者は、情報窃取や フィッシングなどのマルウェアを展開したり、これらのアカウントにブルートフォースで侵入したりします。このアクセス権は通常、詐欺師に売却されます。

  2. 有効なマイルおよび旅行アカウントの特定:この段階では、脅威者は有効なアカウントを特定し、通常は詐欺が成功する可能性を高めるために電子メールにアクセスできるようにし、これをTelegramグループのインベントリとして宣伝します。

  3. マイルを合法的な旅行に交換する: 見込み客を見つけた後、詐欺師はポイントやマイルを販売可能な商品(通常は航空券やホテルの宿泊券)に交換します。

  4. 予約を割引価格で転売する:場合によっては、この商品を格安航空券や宿泊施設としてソーシャルメディアで転売します。

不正行為者は、正規の航空券やホテル宿泊にマイルを交換し、それらの予約を割引料金で転売する。

旅行が完了すると、ポイントやマイルはすでに現実の商品に変換されているため、被害者によるチャージバックは困難になります。

a.fl_button { background-color:#border:1px solid #3b59aa; color:#text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; margin:4px 2px; cursor: pointer; padding:12px 28px; } .fl_ad { background-color:#width: 95%; margin: 15px auto 15px auto; border-radius: 8px; border:1px solid #d6ddee; box-shadow: 2px 2px #728cb8; min-height: 200px; display: flex; align-items: center; } .fl_lef>a>img { margin-top: 0px !important; } .fl_rig>p { font-size: 16px; } .grad-text { background-image: linear-gradient(45deg, var(–dawn-red), var(–iris)54%, var(–aqua)); -webkit-text-fill-color: transparent; -webkit-background-clip: text; background-clip: text; } .fl_rig h2 { font-size: 18px!important; font-weight: 700; color:color: #333; line-height: 24px; font-family:font-family: Georgia, times new roman, Times, serif; display: block; text-align: left; margin-top: 0; } .fl_lef { display: inline-block; min-height: 150px; width: 25%; padding:10px 0 10px 10px; } .fl_rig { padding:10px; display: inline-block; min-height: 150px; width: 100%; vertical-align: top; } .fl_lef>a>img { border-radius: 8px; } .cz-news-title-right-area ul { padding-left: 0px; } @media screen and (max-width: 1200px) { .fl_ad { min-height: 184px; } .fl_rig>p { margin: 10p10px; } .fl_rig { padding:0 10px 10px 10px; width: 100%; } } @media screen and (max-width: 400px) { .cz-story-navigation ul li:first-child { padding-left: 6px; } .cz-story-navigation ul li:last-child { padding-right: 6px; } } }.

サイバー犯罪市場全体で旅行詐欺を監視する

Flareは、詐欺師が漏洩した航空会社のマイル、ホテルのポイント、ロイヤリティ認証情報を取引する地下Telegramチャンネルを追跡します。

Flareの脅威インテリジェンスが、特典が流出する前にアカウントの侵害を検知するのに役立つことをご覧ください。

Flareについてさらに詳しく

チャットグループを装った販売チャネル

一見すると、このグループは他のメッセージング・チャネルと同じように見えます。しかし、フィードをスクロールすると、あるパターンが明らかになります。これはディスカッションではなく、在庫管理なのだ。

投稿は、「ユナイテッド航空利用可能」、「高残高のマリオット」、「AAの一括アカウント」、「予約サービス準備完了」といったリズムに従っている。

A typical Telegram post
典型的なTelegramの投稿
Flareのリンクから投稿、まだ顧客でない場合は無料トライアルに登録してアクセスする。

このグループで際立っているのは、アカウントがどのように盗まれるかではなく、どのように売られるかである。投稿は広告のように構成され、多くの場合、同じメッセージの中に複数の航空会社やホテルのプログラムがリストアップされている。

例えば、ユナイテッド航空がマリオット航空と並んでいたり、デルタ航空がヒルトン航空と並んでいたりする。このような繰り返しは、単独で発生したインシデントではなく、侵害されたアカウントの大規模なプールへのアクセスを示唆している。

アクティビティはまた、定期的に投稿する少数のセラーに集中しており、日和見的な詐欺師ではなく、継続的な在庫を管理する行為者の印象を与えている。

流通しているブランド

Flareの研究者は、詐欺に特化したチャットグループにおいて、35人のユニークな行為者によって投稿された322件の投稿を分析し、侵害された航空会社やホテルのロイヤルティアカウントを中心に構築された構造的な転売エコノミーを明らかにしました。

Miles and points of these companies were sold in the dataset Flare analyzed
Flareが分析したデータセットでは、これらの企業のマイルやポイントが販売されていました。

対象となった上位20ブランドの優位性には、いくつかの要因が考えられます:

  • 会員基盤の規模– これらの航空会社やホテルチェーンは、世界最大級のロイヤリティプログラムを運営している。ユーザー数が多いほど、クレデンシャルの再利用、フィッシング、情報窃取の可能性が高まります。

  • 流動性の高さ– ユナイテッド、アメリカン、デルタ、マリオット、ヒルトンなどのプログラムでは、柔軟な交換が可能で、幅広い路線や施設のネットワークがあります。そのため、盗まれたマイルは販売可能な予約に変換しやすくなる。

  • ポイントバリューアービトラージ– マイレージプログラムでは、多くの場合、換金性の高いプレミアムキャビンへの交換が可能です。90ドルの購入で数千ドル相当の航空券が手に入るのであれば、転売の可能性は魅力的です。

  • アライアンスとの統合– グローバルなアライアンス(スターアライアンス、ワンワールド、スカイチーム)に加盟している航空会社では、航空会社をまたいだ交換が可能です。これにより、流動性と転売の柔軟性が高まる。

  • 市場での認知度– 購入者は主要ブランドを認知している。ユナイテッド航空100K」の販売は、小規模航空会社や地域航空会社の販売よりも容易である。

特筆すべきは、データセットが単一の違反に集中するのではなく、幅の広さを示していることである。20を超える航空会社やホテルブランドが存在することは、1回限りの侵害ではなく、クレデンシャル・スタッフィングや窃盗犯のログを利用した大規模なクレデンシャル・ハーベスティングを強く示唆しています。

取引の背後にある価格設定

多くの アンダーグラウンド・マーケットとは異なり、明確な価格設定が公に表示されることはほとんどありませんでした。投稿ではコストよりも入手可能性が強調されており、交渉が内輪の会話に終始していたことがうかがえる。

Miles prices are seldom published on these Telegram channels
Miles prices are seldom published on these Telegram channels
Flare link to post, sign up for free trial to access if you haven’t yet a customer.

Flareのリサーチャーは、複数の売り手と関わる追加調査を行った。ユナイテッド航空、アメリカン航空、デルタ航空のアカウントを提供していた。価格は比較的一貫しており、1,000マイルあたり平均約1ドルであった:

  • 100,000マイルが90ドル

  • 353,000マイル 300ドル

  • 500,000マイルで$400

各販売業者は、アカウントに「フルEメール・アクセス」が含まれていることを強調していた。つまり、購入者はロイヤリティ・アカウントにリンクされたEメールアドレスの管理も受けることになり、正規の所有者がすぐに復元できる可能性は低くなる。

ロイヤリティ詐欺が魅力的な理由

旅行リワードは保存価値があり、柔軟に利用でき、銀行口座よりも監視が緩いことが多い。多くの利用者は金融機関の残高を毎日チェックするが、ロイヤリティの残高はたまにしかチェックしないため、詐欺師が悪用する検知ギャップが生じる。

静かだが収益性の高いエコシステム

分析された投稿から、繰り返し出品される出品者、在庫スタイルの広告、数量ベースのオファーなど、構造化された転売環境が明らかになった。地下市場では、航空会社のマイルやホテルのポイントは、測定可能で、取引可能で、換金可能なデジタル商品のように機能している。

詳しくは、無料トライアルにご登録ください。

スポンサーおよび執筆:Flare.