© 1995-2021 Компания «Инфосистемы Джет»
Мошенничество в программах лояльности
Информационная безопасность

Почему мошенников привлекают программы лояльности? Как похищают бонусные баллы? Этапы создания защищенного онлайн-сервиса?

Информационная безопасность Тема номера

Мошенничество в программах лояльности

21.07.2021

Посетителей: 20

Просмотров: 21

Время просмотра: 5.2 мин.

Почему мошенников привлекают программы лояльности?

 

Как похищают бонусные баллы?

 

Этапы создания защищенного онлайн-сервиса?

 

Еще 5 лет назад цифровое мошенничество в ритейле в основном было связано с махинациями сотрудников — от рядовых кассиров до ИТ-специалистов. Самыми распространенными схемами были накрутка баллов программы лояльности и манипуляции с ценами. Сегодня же на этом поле орудуют профессиональные мошенники. И в зону их интереса попали электронные платежи, всевозможные бонусы и кешбэки. 

 

Почему за бонусами идет охота

 

1. По нашим оценкам, основанным на реализованных проектах, на конец 2019 г. объем безналичных денежных средств в программах лояльности российских компаний — баллов, миль и бонусных рублей — превышал 50 млрд руб. Для сравнения: это общий объем вкладов клиентов банка, занимающего примерно 45–50-ю строчку в российском топе. В 2020 г. сумма выросла более чем на 20%.

 

2. Средства, технологии и процессы защиты программ лояльности в ритейле существенно слабее, чем у финансовых организаций и операторов платежных систем. Провести такую атаку проще, и обойдется она дешевле. 

 

3. В финансовой сфере есть требования регуляторов и законодательства РФ. Компании обязаны внедрять процессы и технологии, минимизирующие риски совершения операций без ведома клиентов. В ритейле подобные требования отсутствуют, а значит, общий уровень ИТ-зрелости и защищенности бизнеса ниже. 

 

4. Похищенные баллы можно монетизировать и получить от 30 до 50% их номинальной стоимости. Это достаточно высокий показатель. 

 

5. Бонусные баллы авиакомпаний, крупных сетей электроники и автозаправок практически свободно продаются в интернете — порой спрос опережает предложение. Полученный за такие баллы товар зачастую выставляется на продажу в сети по привлекательным ценам. Это своеобразная схема обналичивания.

 

6. С точки зрения законодательства мошенничество в отношении программ лояльности гораздо менее формализовано. Ответственность за такие действия может быть существенно ниже, чем в случае атаки на банк.

95% мошеннических операций характеризуются отклонением от стандартного профиля: действий клиента, сотрудника или схемы процесса.

Как украсть миллион. Бонусов

 

Основной тренд — взлом учетной записи и использование средств клиента для приобретения товаров. Мошенники применяют достаточно известные в индустрии методы.

 

Для получения сведений о том, кто зарегистрирован в программе лояльности, зачастую используется простой перебор. В зависимости от того, как осуществляется доступ в личный кабинет, он может проводиться по номерам телефонов или по e-mail.

 

Далее мошенники могут воспользоваться уже скомпрометированными базами e-mail, телефонов и соответствующих им паролей. При желании их можно найти в интернете. Многие используют один пароль сразу в нескольких сервисах, поэтому и есть шанс авторизоваться в программе лояльности с помощью уже имеющейся в сети информации. 

 

Выманить данные для доступа к аккаунту можно и у самого клиента. Например, провести e-mail- или мобильную рассылку, идентичную настоящей. Пользователям предлагают ввести актуальный логин/пароль, чтобы поучаствовать в акции. Авторизация проводится на сайте-клоне, с которого злоумышленники забирают данные. Еще один популярный способ получения данных — обращение в call-центр под видом клиента. К примеру, это может быть запрос на сброс пароля из-за утраты доступа к телефону или e-mail. 

 

Операции по списанию накопленных баллов чаще всего подтверждаются смс-кодами или уведомлениями в мобильном приложении ритейлера. Из-за этого владельцу баллов сложнее заметить взлом и время обнаружения хищения заметно увеличивается. 

 

Реальные убытки и кобрендинг

 

Нельзя не упомянуть и об оценке убытков от мошеннических действий. Многие годы считалось, что мошенничество, связанное с программами лояльности, не несет прямых финансовых потерь для компании, а лишь снижает маржинальность продаж. Но ритейлеры учитывают модели накопления и расходования баллов при формировании цен на товары. При этом процент реально используемых баллов от общего количества начисляемых определенно не стремится к 100%. То есть бонусная программа влияет на цену товара, но часть баллов банально не используется, а что-то похищают мошенники. Получается, что весомая часть противоправно использованных бонусов — это реальные деньги, которые не получает владелец бизнеса. Кроме того, многие компании при определенных инцидентах компенсируют клиентам похищенные баллы.Ритейлеру приходится удваивать украденные злоумышленниками бонусы — доходность бизнеса или отдельного маркетингового предложения от этого падает еще сильнее. 

 

Проблема мошенничества для ритейлеров стала еще актуальнее с появлением объединенных программ лояльности. К примеру, когда за бонусные баллы FCMG-сети можно приобрести бытовую технику в соседнем магазине, и наоборот. В процессе взаиморасчета между компаниями определенное количество бонусов компенсируется реальными деньгами. Соответственно, в случае мошенничества владельцу программы лояльности придется оплатить партнеру живыми деньгами часть похищенного. 

 

Новые предложения и акции: точка роста или угроза?

 

Как показывает практика, самыми убыточными обычно оказываются первые минуты жизни самой программы лояльности, новых сервисов или акций. В большинстве случаев ритейлеры проводят качественную оценку возможного маркетингового эффекта, но недостаточно прорабатывают риски и уязвимости своих предложений. Существенные убытки могут принести отсутствие контроля уникальности скидок (когда купон используется не 1 раз, а 101), начисления за уникальные операции, которые по факту можно провести десятки и сотни раз (а-ля «приведи друга»), или ситуации, когда человек покупает товар за бонусные баллы, возвращает его и получает реальные деньги. На первый взгляд, эти примеры кажутся устаревшими, однако подобные инциденты возникают с завидной регулярностью. 

 

Внимание — на подделки

 

Мошенники используют поддельные онлайн-ресурсы для разных целей. Самый простой вариант — получение пользовательских данных: компрометация связки логин плюс пароль, инициация смены привязанных телефонных номеров и т.д. Также существуют сайты-подделки, заточенные на финансовые операции: покупка чего-либо превращается в перевод денег мошенникам. Компаний, предоставляющих P2P-сервисы по продаже товаров и услуг, а также сервисов для взаимодействия с самозанятыми становится все больше. Такие ресурсы обычно содержат и собственные платежные интерфейсы, что сразу же привлекает злоумышленников. Существуют сотни кейсов хищений и обманов с использованием сайтов — подделок известных ресурсов. Сейчас, к примеру, достаточно популярна мошенническая схема, которую реализовали с Booking.com. Вы бронируете и оплачиваете номер, а через некоторое время с вами связывается «администратор» и сообщает, что оплата не прошла — нужно повторить операцию. Само собой, общение проходит не во встроенном мессенджере приложения, а ссылка на оплату, которую вам предоставят мошенники, ведет на поддельный сайт. Подобные кейсы возникают достаточно часто и активно обсуждаются в прессе.  

Весомая часть противоправно использованных бонусов — это реальные деньги, которые не получает владелец бизнеса.

Как повысить защиту сервисов и процессов компании

 

Ввести общий контроль за работой сервиса, платежного интерфейса или цифровой инициативы. При появлении возможности для атаки мошенники почти всегда стараются получить как можно больше прибыли за минимальный промежуток времени. Значит, нехарактерных операций будет много и их можно достаточно быстро выявить. Как показывает наш опыт, если вы знаете базовые показатели покупательской активности (количество, сумма, частота покупок и др.) и в реальном времени анализируете отклонения от нормы, то в большинстве случаев практически сразу идентифицируете новую атаку. Иногда вообще во время ее подготовки. Если риски и уязвимости обнаружены поздно, вполне возможно, владельцу сервиса придется либо закрыть его, либо частично ограничить его работу. 

 

Развивать процессы и технологии аутентификации и обслуживания клиентов. Почти любой цифровой сервис сегодня требует от пользователя регистрации. Но данные для входа в аккаунт часто забываются или теряются, и в этом случае бывает сложно заново верифицировать клиента. Привязка аккаунтов к номеру телефона почти стала нормой, однако широкое использование СМС — это всегда дополнительные расходы для компании, а уведомления в мобильных приложениях не так безопасны (есть риски перехвата управления устройством). Необходимо развивать устойчивые к взлому и социальной инженерии средства аутентификации. Например, запрашивать у пользователя дополнительное биометрическое подтверждение операции, если речь идет о списании крупной суммы баллов, транзакция проводится с ранее скомпрометированного устройства или не в привычном для клиента регионе. 

 

Помнить, что мошенники — это не только «третьи лица». Сведения об организации сервисов компании, методах их контроля и клиентскую информацию мошенникам часто предоставляют сами сотрудники, причем не специально. За изменениями процессов эксплуатации, затрагивающих ключевые показатели и данные пользователей, также необходимо следить. 

1. Экспертный аудит существующей или разрабатываемой программы/сервиса. Он позволит:

  • Выявить риски в технологиях и процессах. 
  • Реально оценить текущие и возможные потери, чтобы выбрать релевантные меры защиты. 

 

В 99% случаев аудит, если он включает анализ активных операций программы или сервиса (например, за полгода), предоставит наглядные данные и по уже реализуемым хищениям, о которых вы не знали. На практике первичный аудит вскрывает ущерб (прямой или в виде недополученной прибыли) на сумму, превышающую стоимость внедрения и владения решением на 1–2 года.

 

2. Устранение уязвимостей

 

  • Замена или доработка технологий/процессов, которые могли послужить причиной компрометации данных и с помощью которых третьи лица могли получить доступ к сервису. Плюс устранение базовых уязвимостей сайта или мобильного приложения. 

 

  • Изменение процессов для минимизации риска совершения противоправных действий мошенником или сотрудником компании. В 80% случаев это организационные меры или автоматизация взаимодействия с клиентом через службу поддержки и в торговых точках. Опять же, исходя из нашего опыта, 80% уязвимостей могут быть устранены перенастройкой процессов или внедрением дополнительных технологий. Стоимость таких изменений колеблется в пределах 3–8% от потерь.

 

3. Построение систем контроля

 

Поскольку рисковые функции нельзя просто исключить из сервиса, нужно внедрять инструменты, позволяющие контролировать клиентскую активность и процесс работы сотрудников с данными пользователей. Кроме того, стоит ввести независимые метрики для оценки работы сервиса в целом: 

 

  • Аналитические транзакционные платформы, которые выявляют кейсы, схожие с атаками на клиента или сервис (в соответствии с профилями взлома). Также они позволяют контролировать статистические метрики и заранее обнаруживать аномалии, которые могут быть маркерами реализуемой атаки. 

 

  • Системы сессионного контроля, повышающие прозрачность работы веб- и мобильных приложений и осуществляющие контроль клиента — используемых устройств, геолокации и др. В том числе такие системы способны выявлять факты заражения пользовательских девайсов вредоносным ПО и применения программ удаленного управления. 

Уведомления об обновлении тем – в вашей почте

Борьба за доходы при реализации нефтепродуктов

Современный бизнес-процесс реализации нефтепродуктов ("Downstream") является сложным с точки зрения управления и контроля. Логистическая цепочка данного процесса состоит из множества различных объектов (НПЗ, нефтебаз, АЗК), удаленных друг от друга, и штаб-квартиры компании с большим количеством разнообразных ИТ-систем. Поэтому становится возможной потеря доходов на любом участке этой цепочки.

Использование инструментов бизнес-анализа в ритейле

Сегодня ритейлеры все чаще внедряют BI-системы, поскольку им все более необходим качественный анализ успешности проводимых маркетинговых кампаний, программ лояльности и эффективности работы персонала. Как правило, интересующая ритейлеров информация содержится в системе обработки клиентских данных – CRM.

Контроль уязвимостей в программных приложениях

IT -индустрия – самая быстро развивающаяся отрасль в истории человечества, опережающая радио, телевидение и телефонию

В России проведено первое сравнение вендоров Wi-Fi 6. Что выяснили специалисты тестовой лаборатории «Инфосистемы Джет»?

В чем преимущества Wi-Fi 6? Особенности решений от Huawei, Cisco, Aruba и Ruijie? Результаты тестирования технологии в нашей лаборатории?

Антифрод-система заставляет сотрудников четко следовать бизнес-процессам

По каким законам развивается фрод у ритейлеров и что может противопоставить ему безопасность – об этом мы обстоятельно поговорили с Алексеем Овчинниковым, начальником Управления информационной безопасности X5 Retail Group.

Рабочая лошадка современного антифрода

Банк, 2016 год. Облачные технологии стали популярны 5 лет назад, распределенные вычисления – 7, а облачный антифрод, стартовавший на тех же временных рубежах, только сейчас выходит на уровень реально работающих решений для защиты ресурсов и технологий от атак третьих лиц.

Сплошная фальшь, или Стоит ли доверять доверенности

Насколько сложно изготовить фальшивые паспорта и доверенности для получения SIM-карт и дальнейшего осуществления мошеннических действий, что для этого нужно? Как банкам обезопасить своих клиентов от подобного рода мошенничества? Как должны действовать сотовые операторы, чтобы подобных нарушений не было? На эти вопросы отвечает наш эксперт Василий Сергацков.

Оленеводы в пределах Садового кольца

Стремительное развитие российского ритейла характеризуется автоматизацией кас-совых операций, операций ценообразования и логистики, развитием области кредитования и функций платежных агентов

Просканировать потребительскую корзину

Путешествие Джети подходило к концу, пора было возвращаться в родной город

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня