まず1つ目は、クレジットカード詐欺への対策が強化された結果、犯罪者がより簡単なターゲットを探し求めるようになったことだ。そして2つ目は、サイバー犯罪者らがこのような攻撃を実行するためのツールを地下で販売し、コーディングのスキルを持たない犯罪者がアカウントに侵入できるようになったことだ。
「毎年、数十億ドル相当の報酬がやり取りされるマイレージプログラムは、基本的には銀行口座のようなものです。しかし、運営元はこれらのアカウントを銀行ほど厳しく保護する義務はないのです」と、シンガポールを拠点とするマーケティングコンサルタントのニック・レイミングは話す
そんな中、サイバー犯罪者たちは、ウェブサイトから流出したデータベースを入手し、ボットを使って航空会社やホテルの報酬プログラムのアカウントに大量の攻撃を仕掛けている。カリフォルニア州サンマテオに拠点を置くサイバーセキュリティ企業Arcos Labsの創業者であるケビン・ゴッシュカルクは、「犯罪者たちは、同じパスワードを使い回す人々を狙っている」と述べている。
同社が保護する航空会社のアカウントに対するボットの攻撃は、2023年第4四半期から2024年第1四半期にかけて166%増加したという。
近年は、このような攻撃を実行するためのツールがベトナムや中国、ロシアのサイバー犯罪者たちによって販売されており、買い手は技術サポートも受けられるという。「このようなインフラが整備されたおかげで、サイバー犯罪のハードルは下がっている」とゴッシュカルクは説明した。
航空会社のマイレージの約1%がハッキングや詐欺によって奪われており、スタッフの対応時間や一部の顧客への払い戻しなどの関連費用を含めると、損失は全体の約3%に達するというデータもある。世界の航空会社で構成される業界団体の国際航空運送協会(IATA)は2020年に支払い詐欺による被害が、業界全体で年間10億ドル(約1451億円)以上に達していると試算した。