Flare beobachtet Telegram-Kanäle, in denen Betrüger kompromittierte Airline-Meilen, Hotelpunkte und Loyalty-Zugangsdaten handeln. Auf den ersten Blick wirken diese Gruppen wie gewöhnliche Messaging-Kanäle, doch im Feed zeigt sich ein klares Muster: Es geht nicht um Diskussion, sondern um Warenbestand. Beiträge folgen einem festen Rhythmus mit Formulierungen wie “United verfügbar”, “Marriott mit hohem Guthaben”, “AA-Konten in großer Menge” oder “Buchungsservice startklar”.

Auffällig ist nicht, wie Konten gestohlen werden, sondern wie sie verkauft werden. Die Beiträge sind wie Anzeigen aufgebaut und listen oft mehrere Airline- und Hotelprogramme in derselben Nachricht – etwa United neben Marriott oder Delta neben Hilton. Die Wiederholung deutet laut Flare auf Zugriff auf große Pools kompromittierter Konten hin, nicht auf Einzelfälle. Zudem konzentriert sich die Aktivität auf eine kleinere Zahl regelmäßig postender Verkäufer, die eher wie Verwalter eines laufenden Warenbestands wirken als wie Gelegenheitsbetrüger.

Das Geschäftsmodell verläuft laut Flare in vier Stufen. Zunächst übernimmt ein meist technisch versierter Akteur per Infostealer-Malware, Phishing oder Brute-Force die Kontrolle über ein Loyalty-Konto und verkauft den Zugang weiter. Anschließend identifiziert der Betrüger gültige Konten – bevorzugt mit E-Mail-Zugang – und bewirbt sie als Warenbestand in Telegram-Gruppen. Im dritten Schritt löst er die Punkte oder Meilen in eine verkäufliche Ware um, in der Regel ein Flugticket oder eine Hotelübernachtung. Diese Buchung wird dann teils über soziale Medien zum reduzierten Preis weiterverkauft. Ist die Reise erst angetreten, fällt dem Opfer eine Rückbuchung schwer, weil die Meilen bereits in reale Güter umgewandelt wurden.

Die ausgewerteten Daten zeigen Breite statt Konzentration auf eine einzelne Datenpanne. Die Präsenz von über 20 Airline- und Hotelmarken spricht nach Einschätzung der Forscher für eine massenhafte Sammlung von Zugangsdaten, etwa durch Credential Stuffing oder Stealer-Logs. Die Dominanz der 20 meistbetroffenen Marken erklären die Forscher mit mehreren Faktoren: der Größe der Mitgliederbasen, der hohen Liquidität flexibel einlösbarer Programme wie United, American, Delta, Marriott und Hilton, dem Wert-Arbitrage zwischen niedrigem Kaufpreis und teuren Premium-Tickets, der programmübergreifenden Einlösung innerhalb der Allianzen Star Alliance, Oneworld und SkyTeam sowie dem Wiedererkennungswert großer Marken.

Anders als in vielen Untergrundmärkten wurden Preise selten öffentlich genannt; die Beiträge betonten Verfügbarkeit und verlagerten Verhandlungen in private Chats. In direkten Kontakten mit mehreren Verkäufern stellten die Flare-Forscher ein relativ einheitliches Preisniveau von rund einem US-Dollar pro 1.000 Meilen fest: 100.000 Meilen für 90 Dollar, 353.000 Meilen für 300 Dollar und 500.000 Meilen für 400 Dollar. Jeder Verkäufer betonte dabei den “vollen E-Mail-Zugang”, sodass der Käufer auch die mit dem Loyalty-Konto verknüpfte E-Mail-Adresse erhält – was eine schnelle Rückgewinnung durch den rechtmäßigen Besitzer erschwert.