Hoe zit het eigenlijk met cyber fraude in travel? De transitie van travel naar de digitale wereld brengt bedreigingen en uitdagingen met zich mee. Hoe staat het met de online zwarte markt voor het verkopen van airline miles, loyaliteitspunten en tickets? Hoe veilig is alle data? En de website gegevens van bedrijven in travel? Welke stappen kun je ondernemen?
In samenwerking met American Express bracht Skift een rapport uit over Cyber Fraude in Travel.
Data lekkage
Reisorganisaties zijn rijk, of proberen het te worden, aan persoonsgegevens en transactievolumes online. Dat maakt de reiswereld een interessant doelwit voor cyber criminaliteit. Digitale fraude blijkt het probleem van deze tijd, met reizen als een van de top targets vanwege de hoeveelheid aan informatie die reisorganisaties verzamelen en beheren van klanten. Deze informatie loopt uiteen van persoonlijke gegevens, werk gerelateerde gegevens en natuurlijk financiële klantinformatie. Het hoge aantal transacties dat met reisproducten gemoeid gaat, maakt het een interessante markt. Ook het lekken van data komt voor, volgens het rapport hebben onder andere het Hilton, Starwood, Marriott, British Airways (loyaltyprogramma) en Uber te maken gehad met dit probleem.
Bitcoin
Sinds 2014 is in de reiswereld met Bitcoins te betalen. Expedia begon in 2014 met het aanvaarden van de digitale munt, maar ook Air Baltic is een voorbeeld van een organisatie die ermee werkt. Het worden ook wel de zogenaamde ‘cryptocurrencies’ genoemd en daaruit is ook het woord ‘CryptoOTA’ voortgekomen, waarmee gebruikers direct vluchten en hotels kunnen boeken met bitcoins.
Andere internationale voorbeelden komen van websites waar je met bitcoins vouchers kunt kopen voor een breed aanbod aan travel & hospitality gerelateerde ondernemingen, zoals American Airlines, Delta, Hotels.com, Hyatt, Zuidwesten, Ryanair, en het Radisson Blu (via Gyft).
Er is zelfs een heuse Bitcoin travelblog ontstaan van een blogger/vlogger die in 365 door de wereld reist met Bitcoins. Op diverse bestemmingen laat hij zien hoe het met het aanvaarden van de bitcoins gesteld is.
Andere digitale valuta in opkomst
Hoewel Bitcoins gelinkt worden aan cyber criminaliteit, wordt er wel verder ontwikkeld op het gebied van digitale munten. In de loop der jaren zijn er nieuwe ‘cryptocurrencies’ ontstaan die beter bestand zijn tegen criminaliteit en hogere anonimiteit in betalingen garanderen.
Monero is een digitale valuta die op grote schaal gebruikt wordt de afgelopen maanden en biedt een hogere mate van privacy en anonimiteit ten opzichte van Bitcoin. Voor gebruikers betekent de valuta van Zcash de hoogste mate van anonimiteit, er is doorgebouwd op de kern van Bitcoin, maar er is een grotere mate van anonimiteit haalbaar.
Loyaliteitsfraude
Merken willen loyale klanten. Ze betalen meer, ze reizen meer en vermelden je als merk vaker in vriendenkringen en online. Hoeveel zijn die loyaliteitsprogramma’s waard in onze industrie? En waar bevinden zich de zwarte markten?
Loyaliteitsprogramma’s bevorderen de klantrelatie, heft geeft continu prikkels om terug te keren als klant. Hotels en luchtvaartmaatschappijen waren early adopters van de trend, de meeste grote bedrijven zijn bezig met een dergelijk programma. Ook wordt er in de reisbranche flink vernieuwd met loyaliteitsprogramma’s.
Gespaarde punten worden vaak gezien als geld, als zij gebruikt kunnen worden voor het kopen van vluchten en hotelkamers. Maar er mist een regelgeving. Puntensystemen zijn vaag en er is een grote zwarte markt in de reiswereld en gerelateerde spaarpunten.
In het onderzoek naar de services in relatie tot airlines, zijn er drie soorten ‘zwarte markten’ voor de reisindustrie:
- Loyaliteitspunten
- Accounts
- Boeking services
Voor accommodaties gelden de volgende zwarte markten:
- Boeking services
- Gehackte accounts (Airbnb)
- Loyaliteitspunten
En voor vervoer onderstaande markten:
- Sharing dienst accounts (Uber)
- Autoverhuur

Preventie
Wat kan de reisbranche doen om cyber fraude te voorkomen en te beperken?
De diverse typen fraude gevoelige info vragen allen om een andere aanpak. Allereerst biedt onderstaand model een overzicht in hoe lang het duurt voor een cybercrimineel om iets te hacken, data te verzamelen en wanneer het slachtoffer erachter komt.
Stukje opvoeding door reisorganisaties: extern
Wachtwoorden en authenticatie-informatie van de gebruikers moeten altijd worden opgeslagen volgens de hoogste veiligheidsnormen en versleuteld zijn met moderne cryptografie. Vaak worden deze regels geschonden als gevolg van zwakke wachtwoorden aan de consumentenzijde, wat het voor veel bedrijven lastig maakt om het probleem bij de kern aan te pakken.
Een steentje bijdragen aan de bewustwording van de klanten kan helpen maar de handhaving ervan blijkt lastig. Consumenten zijn eraan gewend om authenticatie met 1 klik te doen, en er is een duidelijke tweedeling van consumenten te zien die dat bijvoorbeeld prima vinden om met hun Facebook account te doen, of juist overal een ander account voor hebben.
Kennis data security bij medewerkers: intern
Ook dient basiskennis al bij personeel aanwezig te zijn. Bewustwording van fraude en methoden van preventie onder het personeel is van cruciaal belang voor het
bedrijf en de algemene veiligheid. Het opleiden van de eigen medewerkers over de beveiliging van de gegevens is de sleutel tot het voorkomen dat medewerkers ook zelf slachtoffer worden van social – engineering aanvallen. Een vooraf bepaalde procedure voor het ophalen van gegevens en toegang tot specifieke gevoelige informatie moet worden opgezet, hoe groot of klein de reisorganisatie ook is.
Hoewel data en cyber security doorgaans ligt bij de IT afdeling van het bedrijf, wordt het door de vervaging van het totale digitale landschap en de transformatie daar naartoe, een uitdaging om leider te zijn in de preventie. Door als organisatie en medewerkers regelmatig op de hoogte gesteld te worden van cyber criminaliteit kan inzicht geven in wat de zwakke punten zijn binnen ieder reisbedrijf.
Meer tips staan in het volledige rapport.