По данным центра противодействия мошенничеству компании «Информзащита», в 2021 году количество злонамеренных действий с бонусными картами выросло более чем в два раза по сравнению с 2020 годом.
Эксперты считают, что эта тенденция будет сохраняться в связи с распространением программ лояльности по всем возможным направлениям, начиная от финансовой области и банковских карт и заканчивая ритейлом и туризмом, где развитие идёт семимильными шагами. В зоне риска находятся прежде всего супермаркеты и онлайн-магазины, так как создание программ лояльности является одним из ключевых средств для привлечения потребителя.
По статистике, три четверти взрослого населения России пользуются бонусными картами различных торговых сетей. Стоит отметить, что данный тип взаимоотношений выгоден для обеих сторон — и для клиентов, и для ритейлеров. Первые получают возможность накапливать и тратить бонусные баллы, приобретая товары по более выгодной цене. Магазинам, в свою очередь, удаётся удерживать клиентов, стимулировать первичные и повторные покупки и накапливать сведения о покупателях (например, какие продукты пользуются спросом в определённом районе), благодаря чему корректируются поставки и тем самым выстраиваются эффективные схемы продаж.
Киберпреступникам тоже нравятся программы лояльности — благодаря им мошенники собирают личные данные и информацию о накоплениях, бонусах и другие подробности, то есть они могут направить атаку как на самого клиента, так и на ритейлера, который владеет данной программой. В результате торговые сети только ежемесячно теряют не менее 2–3 млн рублей.
КИБЕРАТАКИ С РАЗНЫХ СТОРОН
Первым фронтом атаки являются внешние киберпреступники, которые взламывают личные кабинеты клиентов, в том числе путём перебора учётных данных. Что они могут сделать с кошельком бонусной карты, зависит от самой программы лояльности — и тут есть несколько вариантов. Первый — расходование баллов для покупки товара, который потом можно легко сбыть на торговых площадках либо использовать для личных нужд. Также можно собрать все баллы на одном кошельке, если, конечно, программа лояльности это позволяет.
Вторым способом мошенничества является продажа как самих бонусных баллов, так и скидки, которую накопил клиент. Зачастую мошенники сбывают всё это посредством публичных телеграм-ботов.
Ещё один вариант: перевод накопленных баллов в реальные деньги, опять же при условии, что программа лояльности позволяет сделать это. В данном случае хакеры используют анонимные электронные кошельки или моментальные карты, чтобы скрыть следы.
Однако доступ к данным киберпреступники получают не только для использования баллов — его применяют и для захвата персональных данных клиентов, которые понадобятся для дальнейших кейсов, связанных с социальной инженерией. Знание личной информации о жертве поможет мошеннику втереться в доверие и вывести денежные средства уже с реальных счетов. Самих способов получения доступа к кошелькам у хакеров огромное количество — начиная от рассылки фишинговых писем и заканчивая покупкой в даркнете ранее слитых баз данных, которые мог выставить как обиженный сотрудник, так и нечистый на руку администратор. Кроме того, очень часто сам клиент может использовать одни и те же данные аутентификации на разных сайтах, в том числе в личном банковском кабинете, что тоже будет огромным полем для дальнейших действий кибермошенников.
Следующее направление атаки может исходить от собственных клиентов бренда, которые могут воспользоваться лазейками в программе, например, создать несколько учётных записей для получения вознаграждения. Они могут долго пользоваться своими преступными схемами, не рассказывая об этом никому, а затем в какой-то момент выдать эту информацию в каком-нибудь телеграм-канале, чтобы похвастаться перед публикой, и тут-то обман вскроется. Злоупотребление условиями программ лояльности часто может быть незаметно в течение длительного времени и обнаружено только с помощью случайно найденной закономерности в результате анализа.
И наконец, внутренний мошенник — самый опасный нарушитель, которого сложнее всего выявить. Эксперты сходятся во мнении, что большинство утечек данных и обманов с картами лояльности приходится на самих сотрудников торговых сетей. Имея доступ к базам данных, можно без особых усилий заполнять в свою пользу балансы вознаграждений, пользоваться невостребованными бонусами из бездействующих учётных записей, особенно тех, у кого количество баллов накоплено в больших количествах, а также красть персональные данные клиентов. Сотрудники, работающие с самими бизнес-процессами программ лояльности, прекрасно знают все уязвимости и нередко пользуются ими, заодно подчищая за собой следы после совершённых действий. Также у них есть KPI, которые необходимо выполнить, поэтому они могут выпускать карты лояльности для нецелевого использования, чтобы закрыть план.
КАК ПРЕДОТВРАТИТЬ?
Мошенничество с программами лояльности обходится дорого, но сами ритейлеры неохотно говорят на эту тему, вероятно, остерегаясь возможных репутационных потерь. Все риски, как правило, уже бывают заложены в суммы товаров и возможные операционные потери.
Одним из вариантов является многофакторная аутентификация. Добавление дополнительного контроля для входа в личный кабинет или при расходовании баллов поможет значительно уменьшить количество несанкционированных применений программы лояльности как со стороны внешнего нарушителя, так и со стороны внутреннего. Также одним из способов борьбы с мошенничеством является установка лимитов на использование баллов, но данное решение можно настроить только после запуска программы лояльности и анализа на большом периоде. Стоит отметить, что оба варианта могут как снизить количество мошенничеств, так и увеличить число жалоб клиентов и уменьшить их лояльность в целом, что, в свою очередь, понесёт за собой отток покупателей, а следовательно, лишение части прибыли.
Если смотреть в сторону внутренних мошенников, то самым действенным способом всегда являлось внедрение управления доступом на основе ролей и отслеживание сетевой активности сотрудников на наличие признаков нелегитимных действий. Любые избыточные права доступа работников ведут к увеличению риска утечки информации. Также необходимо проводить постоянную инвентаризацию прав доступа, чтобы контролировать необходимые права, которые требуются для выполнения должностных обязанностей, возложенных на сотрудника в настоящий момент.
БЕЗ АНТИФРОДА НЕ ОБОЙТИСЬ
Но в случае если система программы лояльности является громоздкой, то более выгодным решением может оказаться внедрение комплексной системы антифрода, которая закроет многие проблемные зоны. Сегодня современные системы позволяют собирать большое количество событий из разных источников (поведенческие, сессионные, транзакционные метрики) со стороны клиентов, сотрудников, кассиров и других лиц, участвующих в программе лояльности.
НЕ ОБОЙТИСЬ И БЕЗ АУДИТА
При этом любое построение системы антифрода или введение других необходимых контролей неразрывно связано с проведением качественного и многогранного аудита бизнес-процессов, которые задействованы в программе лояльности. Детальный анализ следует проводить не только в плоскости бизнес-процессов. Помимо того, что нужно понимать, где именно проблема, необходимо знать, какие существуют уязвимости, в том числе в коде и периметре. Такой аудит лучше всего выполнять внешними компаниями, что позволит получить независимую и объективную оценку текущего состояния систем, в которых могут быть реализованы мошеннические схемы, а также выявить уязвимости и потенциально возможные сценарии фрода.
Кроме того, такой аудит поможет повысить эффективность работы бизнес-процессов, в которых есть место для хакерских действий, что, в свою очередь, поможет увеличить прибыль от программы лояльности, созданной ритейлером. Особенно отметим, что все векторы атак и последующие сбыт/использование программ лояльности в мошеннических схемах отличаются в зависимости от того, чья это система поощрения. И каждый отдельно взятый вид мошенничества может иметь свои особенности: для ритейла — анализ площадок, где идёт реализация бонусов или товаров, для заправочного бизнеса — изменение оборота на каких-либо АЗС по бензину или использованию баллов отдельным лицом, для тревел-области — корректность начисления миль и так далее. Но нужно понимать, что в любой области без качественного аудита не удастся выявить весь спектр уязвимостей, а некоторые более хитрые схемы останутся без внимания и могут приносить ощутимый убыток компании.
Подведём итог вышесказанному: мошенничество в программах лояльности не просто увеличивается, а растёт в геометрической прогрессии в связи с развитием данного типа взаимоотношений между супермаркетами и покупателями и привлечением всё большего количества клиентов. Негативные комментарии, которые возникают в соцсетях и СМИ после появления новостей о каких-либо утечках, мошенничестве или хитростях использования баллами, очень негативно сказываются на репутации как самой программы лояльности, так и всего бренда. Поэтому каждый ритейлер, который предоставляет подобную систему поощрения, должен выбрать подходящий именно его бизнесу метод борьбы с охотниками за бонусными счетами, однако понять, какой именно, можно только после оценки потерь.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных