Em setembro, o IHG Hotels & Resorts relatou um acesso não autorizado a um de seus sistemas de tecnologia. Recentemente, a rede informou que o ataque hacker não violou os dados pessoais de seus hóspedes. O grupo de hotéis faz parte de uma ampla lista de empresas do setor de turismo que já foram vítimas de cibercriminosos. Por mais que a segurança da informação seja um assunto latente entre os players do segmento, invasores estão constantemente aprimorando seus métodos.

Seja uma multinacional ou uma pequena startup, nenhuma empresa de viagens está imune à ameaça de cibercriminosos e fraudadores. De acordo com um relatório desenvolvido pela Phocuswright, o segmento de lazer é um dos mais impactados globalmente, com aumento de 155,9% de tentativas de fraude em 2021.

De acordo com o Phocuswire, os ataques cibernéticos no setor de viagens visam principalmente dados de cartão de crédito, informações de identificação pessoal, programas de recompensa e internet pública. Contudo, tendências de tecnologia no segmento abrem novas margens de crime, como inteligência artificial e metaverso.

“O setor de viagens funciona em um ambiente em que vários pontos potenciais de falha tornam a prevenção e a detecção de violações de segurança cibernética significativamente mais difíceis em relação a outros setores”, diz Robert Cole, analista sênior de Pesquisa, Hospedagem e Viagens de Lazer da Phocuswright.

O levantamento aponta que 88% dos conselhos corporativos consideram a cibersegurança um risco para os negócios, e não apenas um problema do departamento de TI (Tecnologia da Informação). O grande desafio das empresas é gerenciar as dissonâncias internas entre diferentes áreas.

Indústria suscetível a ataques

O estudo, intitulado “A cibersegurança nas viagens vai além da tecnologia” e previsto para outubro, aponta várias características da indústria global de viagens que a tornam suscetível a hackers, incluindo:

• Arquiteturas de sistemas complexos
• Tecnologias principais legadas
• Vários pontos de contato da equipe e do cliente
• Falta de pessoal e alta rotatividade de funcionários
• Grandes programas de recompensa
• Amplos perfis de clientes
• Baixa sofisticação técnica
• Operações dispersas e localizadas
• Serviço 24/7/365
• Extensos descontos e esquemas de recompensa
• Pontos de venda digitais e locais
• Diferentes métodos de pagamento

Os vendedores de viagens apaixonados por influenciadores de mídia social podem ser enganados por alegações de grandes seguidores e alto engajamento se os processos de verificação não forem seguidos. Hotéis e companhias aéreas que fornecem serviços de Wi-Fi precisam estar cientes de indivíduos capazes de falsificar pontos de acesso à internet com IDs de rede semelhantes aos reais.

Os hotéis que permitem cobranças de acomodações, restaurantes e instalações recreativas geralmente exigem apenas um nome e número do quarto para validação. Se as informações forem ouvidas na recepção, ou um pacote de chaves perdido com o nome/número do quarto for encontrado, serviços incorretos podem ser cobrados.

Destruição de dados

Agora que a pandemia diminuiu, a indústria do turismo é o principal alvo dos ataques cibernéticos, afirma Darren Williams, CEO da BlackFog , um dos vários líderes de empresas de segurança cibernética que conversaram com a Phocuswire. “Obviamente, é uma tendência que está aumentando e, à medida que saímos da pandemia e mais pessoas estão viajando, parece ser um fruto muito bom para os cibercriminosos”, avalia o executivo.

O ransomware é uma das maiores ameaças, onde o objetivo tradicionalmente tem sido fazer com que as empresas paguem para que seus dados não sejam criptografados, explica o especialista. Agosto viu o maior número de ataques de ransomware até o momento em 2022, e setembro deve chegar aos mesmos patamares.

Nas últimas semanas, os cibercriminosos se aventuraram além da criptografia de dados para novos territórios de exfiltração (transferência) e destruição de informações. “Eles estão dizendo: ‘Vamos entrar em sua máquina, vamos excluir todos os seus dados e levá-los embora, e somos as únicas pessoas com uma cópia real das informações’”, salienta Williams

Os criminosos procuram os alvos mais fáceis que podem encontrar, então pequenas redes de hotéis sem infraestrutura adequada são os principais candidatos, pois são menos propensas a investir em ferramentas, processos e pessoas para proteger a organização.

Ameaça existencial

Chris Clements, vice-presidente de Arquitetura de Soluções da Cerberus Sentinel, diz que uma tática comum é o phishing, em que os invasores enviam um e-mail de engenharia social que engana as pessoas para que cliquem em links e forneçam informações como senhas.

A autenticação multifator pode ajudar a evitar violações, mas não é infalível, de acordo com Clements. O especialista salienta que, quanto mais nova e menor uma organização, mais segura ela é. Ou seja, é mais fácil proteger 20 computadores do que 10 mil.

Apesar da necessidade de reforço na cibersegurança, Clements é contra sair e comprar o produto mais recente do mercado. “Vai realmente começar com os fundamentos de onde está meu risco, onde estão meus dados e como posso ter certeza de que estou protegendo isso?”, questiona. Em contrapartida, o executivo recomenda minimizar o armazenamento de informações.

O metaverso: um novo playground

O cofundador e CEO da HUMAN , Tamer Hassan, diz que os bots maliciosos representam 77% de todos os ataques digitais. “Os cibercriminosos sempre seguem o dinheiro e se tornaram muito mais sofisticados em sua abordagem aos ataques, ignorando as ferramentas de segurança atuais e usando bots como um meio para enganar, roubar e causar estragos.”

Se uma organização forçar os usuários a alternar as senhas periodicamente, os agentes mal-intencionados podem ter mais dificuldade. E contrapartida, o advento da inteligência artificial e metaverso são os novos playgrounds dos fraudadores.

“O metaverso é uma nova fronteira importante e empolgante, apresentando uma nova economia com uma moeda distinta. Embora o potencial seja ilimitado, qualquer oportunidade de incentivo ou monetização é forjada com fraude, e os fraudadores já estão se antecipando”, avalia Hassan.

Steven Puddephatt, arquiteto de soluções da GlobalDots, explica que o setor é atacado por bots que realizam todos os tipos de atividades, desde raspagens de preços até a aquisição de contas maliciosas. De acordo com o profissional, a maior ameaça vem de interfaces de aplicativos B2B e B2C.

“Houve uma explosão total de APIs em todos os setores, mas especialmente nas empresas de viagens. Isso deixou uma lacuna em termos de segurança, pois nenhuma das tecnologias existentes é projetada especificamente para proteger o tráfego. Se você leva a sério a segurança, precisa de uma ferramenta de proteção específica para cobrir suas bases”, complementa Puddephatt.

Mas nenhuma empresa é 100% segura.“Se um invasor realmente quiser entrar em sua organização, de uma forma ou de outra ele encontrará uma maneira de entrar”, finaliza Puddephatt.

(*) Crédito da foto: Mika Baumeister/Unsplash