A World Travel Agents Associations Alliance (WTAAA) emitiu um alerta global às agências de viagens, na sequência da identificação de um esquema fraudulento que envolve a utilização não autorizada de números de acreditação IATA para obtenção de acesso a conteúdos NDC e emissão de bilhetes fraudulentos.
Em comunicado divulgado esta segunda-feira, a organização dá conta de incidentes confirmados “em múltiplos mercados a nível global”, com casos registados em várias regiões, incluindo na América do Norte e do Sul, bem como tentativas de atividade fraudulenta noutras geografias. A WTAAA refere que o objetivo do aviso é garantir que as agências de viagens “estão conscientes da ameaça e a tomar as medidas de precaução adequadas”.
Segundo a entidade, os fraudadores recorreram a domínios de e-mail falsificados ou muito semelhantes aos de agências legítimas para solicitar processos de onboarding NDC ou acesso a portais de agentes das companhias aéreas. Apresentando um número de acreditação IATA válido, associado a uma “identidade convincente, mas fraudulenta”, conseguiram, em alguns casos, obter autorização para emissão de bilhetes “sem o conhecimento ou consentimento da agência cujas credenciais foram utilizadas”.
Uma vez obtido o acesso, os bilhetes eram emitidos em volume com recurso a cartões de crédito roubados. As agências legítimas apenas tomavam conhecimento da situação quando recebiam notificações de chargeback, numa fase em que os prejuízos financeiros já eram significativos. Num dos casos confirmados, foram registadas emissões fraudulentas no valor superior a 350 mil dólares (cerca de 300 mil euros).
A organização sublinha que “não existe atualmente qualquer evidência de violação de sistemas GDS”, indicando que a vulnerabilidade parece estar relacionada com processos de onboarding e verificação que assentam sobretudo na validação do número IATA.
O diretor executivo da WTAAA, Otto de Vries, afirma que este é “um lembrete oportuno de que, à medida que a indústria adota novas tecnologias de distribuição, as práticas de segurança têm de acompanhar esse ritmo”. O responsável salienta que “as agências afetadas nestes casos não fizeram nada de errado; as suas credenciais foram utilizadas sem o seu conhecimento” e apela a que todas as agências adotem medidas simples de proteção, ao mesmo tempo que insta companhias aéreas e parceiros tecnológicos a reforçarem os processos de verificação no momento de onboarding NDC.
A WTAAA recomenda que as agências revejam todas as ligações ativas a portais de companhias aéreas e acordos NDC associados à sua operação, investigando de imediato qualquer registo desconhecido, e que monitorizem regularmente “a atividade BSP e ARC”, sem aguardarem pelo fecho do ciclo de faturação. A organização aconselha ainda vigilância relativamente a domínios de e-mail semelhantes aos das próprias agências e a comunicação célere de qualquer atividade suspeita às companhias aéreas, equipas de segurança dos GDS, à IATA e às associações nacionais do setor.
Ao mesmo tempo, a entidade informa que está a coordenar esforços com associações-membro em várias regiões e que continuará a partilhar informação à medida que a situação evoluir. A organização apela aos parceiros de distribuição e às companhias aéreas para que revejam “com carácter de urgência” os seus processos de onboarding e verificação NDC, defendendo que a validação do número IATA, por si só, “não é uma salvaguarda suficiente”, devendo integrar-se mecanismos mais robustos de verificação de identidade.
