© 1995-2022 Компания «Инфосистемы Джет»
Как защитить программы лояльности от атак мошенников
Информационная безопасность Информационная безопасность

Почему мошенников привлекают программы лояльности? Как похищают бонусные баллы? Этапы создания защищенного онлайн-сервиса?

Главная>Информационная безопасность>Мошенничество в программах лояльности
Информационная безопасность Тема номера

Мошенничество в программах лояльности

21.07.2021

Посетителей: 576

Просмотров: 471

Время просмотра: 3.4 мин.

Авторы

Автор
Алексей Сизов начальник отдела по противодействию мошенничеству компании «Инфосистемы Джет»

Почему мошенников привлекают программы лояльности?

 

Как похищают бонусные баллы?

 

Этапы создания защищенного онлайн-сервиса?

 

Еще 5 лет назад цифровое мошенничество в ритейле в основном было связано с махинациями сотрудников — от рядовых кассиров до ИТ-специалистов. Самыми распространенными схемами были накрутка баллов программы лояльности и манипуляции с ценами. Сегодня же на этом поле орудуют профессиональные мошенники. И в зону их интереса попали электронные платежи, всевозможные бонусы и кешбэки. 

 

Почему за бонусами идет охота

 

1. По нашим оценкам, основанным на реализованных проектах, на конец 2019 г. объем безналичных денежных средств в программах лояльности российских компаний — баллов, миль и бонусных рублей — превышал 50 млрд руб. Для сравнения: это общий объем вкладов клиентов банка, занимающего примерно 45–50-ю строчку в российском топе. В 2020 г. сумма выросла более чем на 20%.

 

2. Средства, технологии и процессы защиты программ лояльности в ритейле существенно слабее, чем у финансовых организаций и операторов платежных систем. Провести такую атаку проще, и обойдется она дешевле. 

 

3. В финансовой сфере есть требования регуляторов и законодательства РФ. Компании обязаны внедрять процессы и технологии, минимизирующие риски совершения операций без ведома клиентов. В ритейле подобные требования отсутствуют, а значит, общий уровень ИТ-зрелости и защищенности бизнеса ниже. 

 

4. Похищенные баллы можно монетизировать и получить от 30 до 50% их номинальной стоимости. Это достаточно высокий показатель. 

 

5. Бонусные баллы авиакомпаний, крупных сетей электроники и автозаправок практически свободно продаются в интернете — порой спрос опережает предложение. Полученный за такие баллы товар зачастую выставляется на продажу в сети по привлекательным ценам. Это своеобразная схема обналичивания.

 

6. С точки зрения законодательства мошенничество в отношении программ лояльности гораздо менее формализовано. Ответственность за такие действия может быть существенно ниже, чем в случае атаки на банк.

95% мошеннических операций характеризуются отклонением от стандартного профиля: действий клиента, сотрудника или схемы процесса.

Как украсть миллион. Бонусов

 

Основной тренд — взлом учетной записи и использование средств клиента для приобретения товаров. Мошенники применяют достаточно известные в индустрии методы.

 

Для получения сведений о том, кто зарегистрирован в программе лояльности, зачастую используется простой перебор. В зависимости от того, как осуществляется доступ в личный кабинет, он может проводиться по номерам телефонов или по e-mail.

 

Далее мошенники могут воспользоваться уже скомпрометированными базами e-mail, телефонов и соответствующих им паролей. При желании их можно найти в интернете. Многие используют один пароль сразу в нескольких сервисах, поэтому и есть шанс авторизоваться в программе лояльности с помощью уже имеющейся в сети информации. 

 

Выманить данные для доступа к аккаунту можно и у самого клиента. Например, провести e-mail- или мобильную рассылку, идентичную настоящей. Пользователям предлагают ввести актуальный логин/пароль, чтобы поучаствовать в акции. Авторизация проводится на сайте-клоне, с которого злоумышленники забирают данные. Еще один популярный способ получения данных — обращение в call-центр под видом клиента. К примеру, это может быть запрос на сброс пароля из-за утраты доступа к телефону или e-mail. 

 

Операции по списанию накопленных баллов чаще всего подтверждаются смс-кодами или уведомлениями в мобильном приложении ритейлера. Из-за этого владельцу баллов сложнее заметить взлом и время обнаружения хищения заметно увеличивается. 

 

Реальные убытки и кобрендинг

 

Нельзя не упомянуть и об оценке убытков от мошеннических действий. Многие годы считалось, что мошенничество, связанное с программами лояльности, не несет прямых финансовых потерь для компании, а лишь снижает маржинальность продаж. Но ритейлеры учитывают модели накопления и расходования баллов при формировании цен на товары. При этом процент реально используемых баллов от общего количества начисляемых определенно не стремится к 100%. То есть бонусная программа влияет на цену товара, но часть баллов банально не используется, а что-то похищают мошенники. Получается, что весомая часть противоправно использованных бонусов — это реальные деньги, которые не получает владелец бизнеса. Кроме того, многие компании при определенных инцидентах компенсируют клиентам похищенные баллы.Ритейлеру приходится удваивать украденные злоумышленниками бонусы — доходность бизнеса или отдельного маркетингового предложения от этого падает еще сильнее. 

 

Проблема мошенничества для ритейлеров стала еще актуальнее с появлением объединенных программ лояльности. К примеру, когда за бонусные баллы FCMG-сети можно приобрести бытовую технику в соседнем магазине, и наоборот. В процессе взаиморасчета между компаниями определенное количество бонусов компенсируется реальными деньгами. Соответственно, в случае мошенничества владельцу программы лояльности придется оплатить партнеру живыми деньгами часть похищенного. 

 

Новые предложения и акции: точка роста или угроза?

 

Как показывает практика, самыми убыточными обычно оказываются первые минуты жизни самой программы лояльности, новых сервисов или акций. В большинстве случаев ритейлеры проводят качественную оценку возможного маркетингового эффекта, но недостаточно прорабатывают риски и уязвимости своих предложений. Существенные убытки могут принести отсутствие контроля уникальности скидок (когда купон используется не 1 раз, а 101), начисления за уникальные операции, которые по факту можно провести десятки и сотни раз (а-ля «приведи друга»), или ситуации, когда человек покупает товар за бонусные баллы, возвращает его и получает реальные деньги. На первый взгляд, эти примеры кажутся устаревшими, однако подобные инциденты возникают с завидной регулярностью. 

 

Внимание — на подделки

 

Мошенники используют поддельные онлайн-ресурсы для разных целей. Самый простой вариант — получение пользовательских данных: компрометация связки логин плюс пароль, инициация смены привязанных телефонных номеров и т.д. Также существуют сайты-подделки, заточенные на финансовые операции: покупка чего-либо превращается в перевод денег мошенникам. Компаний, предоставляющих P2P-сервисы по продаже товаров и услуг, а также сервисов для взаимодействия с самозанятыми становится все больше. Такие ресурсы обычно содержат и собственные платежные интерфейсы, что сразу же привлекает злоумышленников. Существуют сотни кейсов хищений и обманов с использованием сайтов — подделок известных ресурсов. Сейчас, к примеру, достаточно популярна мошенническая схема, которую реализовали с Booking.com. Вы бронируете и оплачиваете номер, а через некоторое время с вами связывается «администратор» и сообщает, что оплата не прошла — нужно повторить операцию. Само собой, общение проходит не во встроенном мессенджере приложения, а ссылка на оплату, которую вам предоставят мошенники, ведет на поддельный сайт. Подобные кейсы возникают достаточно часто и активно обсуждаются в прессе.  

Весомая часть противоправно использованных бонусов — это реальные деньги, которые не получает владелец бизнеса.

Как повысить защиту сервисов и процессов компании

 

Ввести общий контроль за работой сервиса, платежного интерфейса или цифровой инициативы. При появлении возможности для атаки мошенники почти всегда стараются получить как можно больше прибыли за минимальный промежуток времени. Значит, нехарактерных операций будет много и их можно достаточно быстро выявить. Как показывает наш опыт, если вы знаете базовые показатели покупательской активности (количество, сумма, частота покупок и др.) и в реальном времени анализируете отклонения от нормы, то в большинстве случаев практически сразу идентифицируете новую атаку. Иногда вообще во время ее подготовки. Если риски и уязвимости обнаружены поздно, вполне возможно, владельцу сервиса придется либо закрыть его, либо частично ограничить его работу. 

 

Развивать процессы и технологии аутентификации и обслуживания клиентов. Почти любой цифровой сервис сегодня требует от пользователя регистрации. Но данные для входа в аккаунт часто забываются или теряются, и в этом случае бывает сложно заново верифицировать клиента. Привязка аккаунтов к номеру телефона почти стала нормой, однако широкое использование СМС — это всегда дополнительные расходы для компании, а уведомления в мобильных приложениях не так безопасны (есть риски перехвата управления устройством). Необходимо развивать устойчивые к взлому и социальной инженерии средства аутентификации. Например, запрашивать у пользователя дополнительное биометрическое подтверждение операции, если речь идет о списании крупной суммы баллов, транзакция проводится с ранее скомпрометированного устройства или не в привычном для клиента регионе. 

 

Помнить, что мошенники — это не только «третьи лица». Сведения об организации сервисов компании, методах их контроля и клиентскую информацию мошенникам часто предоставляют сами сотрудники, причем не специально. За изменениями процессов эксплуатации, затрагивающих ключевые показатели и данные пользователей, также необходимо следить. 

1. Экспертный аудит существующей или разрабатываемой программы/сервиса. Он позволит:

  • Выявить риски в технологиях и процессах. 
  • Реально оценить текущие и возможные потери, чтобы выбрать релевантные меры защиты. 

 

В 99% случаев аудит, если он включает анализ активных операций программы или сервиса (например, за полгода), предоставит наглядные данные и по уже реализуемым хищениям, о которых вы не знали. На практике первичный аудит вскрывает ущерб (прямой или в виде недополученной прибыли) на сумму, превышающую стоимость внедрения и владения решением на 1–2 года.

 

2. Устранение уязвимостей

 

  • Замена или доработка технологий/процессов, которые могли послужить причиной компрометации данных и с помощью которых третьи лица могли получить доступ к сервису. Плюс устранение базовых уязвимостей сайта или мобильного приложения. 

 

  • Изменение процессов для минимизации риска совершения противоправных действий мошенником или сотрудником компании. В 80% случаев это организационные меры или автоматизация взаимодействия с клиентом через службу поддержки и в торговых точках. Опять же, исходя из нашего опыта, 80% уязвимостей могут быть устранены перенастройкой процессов или внедрением дополнительных технологий. Стоимость таких изменений колеблется в пределах 3–8% от потерь.

 

3. Построение систем контроля

 

Поскольку рисковые функции нельзя просто исключить из сервиса, нужно внедрять инструменты, позволяющие контролировать клиентскую активность и процесс работы сотрудников с данными пользователей. Кроме того, стоит ввести независимые метрики для оценки работы сервиса в целом: 

 

  • Аналитические транзакционные платформы, которые выявляют кейсы, схожие с атаками на клиента или сервис (в соответствии с профилями взлома). Также они позволяют контролировать статистические метрики и заранее обнаруживать аномалии, которые могут быть маркерами реализуемой атаки. 

 

  • Системы сессионного контроля, повышающие прозрачность работы веб- и мобильных приложений и осуществляющие контроль клиента — используемых устройств, геолокации и др. В том числе такие системы способны выявлять факты заражения пользовательских девайсов вредоносным ПО и применения программ удаленного управления. 

Уведомления об обновлении тем – в вашей почте

Защита персональных данных

Информация в руках мошенника превращается в орудие преступления, в руках уволенного сотрудника – в средство мщения, в руках инсайдера – товар для продажи конкуренту

Уже скоро во всех банках страны – новые рекомендации по кибербезопасности

В скором времени ЦБ РФ обяжет отечественные банки усилить контроль над дропами (конечными получателями несанкционированных денежных переводов, совершенных без согласия граждан и компаний — законных владельцев денежных средств).

Антифрод-команда и мошенники разыгрывают классический «киношный» сюжет

В остросюжетном кино популярна ситуация, когда преступная группировка и служба безопасности крупного предприятия или банка одновременно продумывают, каждая со своей стороны, способы ограбления и защиты материально-финансовых ресурсов этой организации. И это соревнование идет на всем протяжении фильма.

Пилотирование FMS-системы ДБО – факты и цифры

Наиболее объективную оценку работы системы противодействия мошенничеству, конечно, за исключением этапа ее промышленной эксплуатации, может дать только пилотный проект, во время которого потенциальное решение предварительно настраивается и апробируется на реальных операциях сервиса ДБО.

«Мы первыми приняли удар локдауна»

Почему ресторанный бизнес не замораживает ИТ-проекты? Как пандемия изменила сознание топ-менеджеров? Почему удаленные кухни все еще мало востребованы?

Антифрод-система заставляет сотрудников четко следовать бизнес-процессам

По каким законам развивается фрод у ритейлеров и что может противопоставить ему безопасность – об этом мы обстоятельно поговорили с Алексеем Овчинниковым, начальником Управления информационной безопасности X5 Retail Group.

Современные Сизифы

Сизиф, царь Коринфа, был великим мошенником. Благодаря своей хитрости он собрал несметные сокровища.

«Лаборатория стоит 15 млн рублей и не приносит сиюминутной прибыли. Но для компании это шанс выйти на устойчивое развитие»

Как отечественные ритейл-компании поняли, что им нужны инновационные лаборатории? Почему лаборатории не приносят денег, но нужны каждому? Насколько российский ритейл отстает от западного?

Борьба за доходы при реализации нефтепродуктов

Современный бизнес-процесс реализации нефтепродуктов ("Downstream") является сложным с точки зрения управления и контроля. Логистическая цепочка данного процесса состоит из множества различных объектов (НПЗ, нефтебаз, АЗК), удаленных друг от друга, и штаб-квартиры компании с большим количеством разнообразных ИТ-систем. Поэтому становится возможной потеря доходов на любом участке этой цепочки.

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня