Подписаться
Читать в телеграм
Почему мошенников привлекают программы лояльности?
Как похищают бонусные баллы?
Этапы создания защищенного онлайн-сервиса?
Еще 5 лет назад цифровое мошенничество в ритейле в основном было связано с махинациями сотрудников — от рядовых кассиров до ИТ-специалистов. Самыми распространенными схемами были накрутка баллов программы лояльности и манипуляции с ценами. Сегодня же на этом поле орудуют профессиональные мошенники. И в зону их интереса попали электронные платежи, всевозможные бонусы и кешбэки.
Почему за бонусами идет охота
1. По нашим оценкам, основанным на реализованных проектах, на конец 2019 г. объем безналичных денежных средств в программах лояльности российских компаний — баллов, миль и бонусных рублей — превышал 50 млрд руб. Для сравнения: это общий объем вкладов клиентов банка, занимающего примерно 45–50-ю строчку в российском топе. В 2020 г. сумма выросла более чем на 20%.
2. Средства, технологии и процессы защиты программ лояльности в ритейле существенно слабее, чем у финансовых организаций и операторов платежных систем. Провести такую атаку проще, и обойдется она дешевле.
3. В финансовой сфере есть требования регуляторов и законодательства РФ. Компании обязаны внедрять процессы и технологии, минимизирующие риски совершения операций без ведома клиентов. В ритейле подобные требования отсутствуют, а значит, общий уровень ИТ-зрелости и защищенности бизнеса ниже.
4. Похищенные баллы можно монетизировать и получить от 30 до 50% их номинальной стоимости. Это достаточно высокий показатель.
5. Бонусные баллы авиакомпаний, крупных сетей электроники и автозаправок практически свободно продаются в интернете — порой спрос опережает предложение. Полученный за такие баллы товар зачастую выставляется на продажу в сети по привлекательным ценам. Это своеобразная схема обналичивания.
6. С точки зрения законодательства мошенничество в отношении программ лояльности гораздо менее формализовано. Ответственность за такие действия может быть существенно ниже, чем в случае атаки на банк.
95% мошеннических операций характеризуются отклонением от стандартного профиля: действий клиента, сотрудника или схемы процесса.
Как украсть миллион. Бонусов
Основной тренд — взлом учетной записи и использование средств клиента для приобретения товаров. Мошенники применяют достаточно известные в индустрии методы.
Для получения сведений о том, кто зарегистрирован в программе лояльности, зачастую используется простой перебор. В зависимости от того, как осуществляется доступ в личный кабинет, он может проводиться по номерам телефонов или по e-mail.
Далее мошенники могут воспользоваться уже скомпрометированными базами e-mail, телефонов и соответствующих им паролей. При желании их можно найти в интернете. Многие используют один пароль сразу в нескольких сервисах, поэтому и есть шанс авторизоваться в программе лояльности с помощью уже имеющейся в сети информации.
Выманить данные для доступа к аккаунту можно и у самого клиента. Например, провести e-mail- или мобильную рассылку, идентичную настоящей. Пользователям предлагают ввести актуальный логин/пароль, чтобы поучаствовать в акции. Авторизация проводится на сайте-клоне, с которого злоумышленники забирают данные. Еще один популярный способ получения данных — обращение в call-центр под видом клиента. К примеру, это может быть запрос на сброс пароля из-за утраты доступа к телефону или e-mail.
Операции по списанию накопленных баллов чаще всего подтверждаются смс-кодами или уведомлениями в мобильном приложении ритейлера. Из-за этого владельцу баллов сложнее заметить взлом и время обнаружения хищения заметно увеличивается.
Реальные убытки и кобрендинг
Нельзя не упомянуть и об оценке убытков от мошеннических действий. Многие годы считалось, что мошенничество, связанное с программами лояльности, не несет прямых финансовых потерь для компании, а лишь снижает маржинальность продаж. Но ритейлеры учитывают модели накопления и расходования баллов при формировании цен на товары. При этом процент реально используемых баллов от общего количества начисляемых определенно не стремится к 100%. То есть бонусная программа влияет на цену товара, но часть баллов банально не используется, а что-то похищают мошенники. Получается, что весомая часть противоправно использованных бонусов — это реальные деньги, которые не получает владелец бизнеса. Кроме того, многие компании при определенных инцидентах компенсируют клиентам похищенные баллы.Ритейлеру приходится удваивать украденные злоумышленниками бонусы — доходность бизнеса или отдельного маркетингового предложения от этого падает еще сильнее.
Проблема мошенничества для ритейлеров стала еще актуальнее с появлением объединенных программ лояльности. К примеру, когда за бонусные баллы FCMG-сети можно приобрести бытовую технику в соседнем магазине, и наоборот. В процессе взаиморасчета между компаниями определенное количество бонусов компенсируется реальными деньгами. Соответственно, в случае мошенничества владельцу программы лояльности придется оплатить партнеру живыми деньгами часть похищенного.
Новые предложения и акции: точка роста или угроза?
Как показывает практика, самыми убыточными обычно оказываются первые минуты жизни самой программы лояльности, новых сервисов или акций. В большинстве случаев ритейлеры проводят качественную оценку возможного маркетингового эффекта, но недостаточно прорабатывают риски и уязвимости своих предложений. Существенные убытки могут принести отсутствие контроля уникальности скидок (когда купон используется не 1 раз, а 101), начисления за уникальные операции, которые по факту можно провести десятки и сотни раз (а-ля «приведи друга»), или ситуации, когда человек покупает товар за бонусные баллы, возвращает его и получает реальные деньги. На первый взгляд, эти примеры кажутся устаревшими, однако подобные инциденты возникают с завидной регулярностью.
Внимание — на подделки
Мошенники используют поддельные онлайн-ресурсы для разных целей. Самый простой вариант — получение пользовательских данных: компрометация связки логин плюс пароль, инициация смены привязанных телефонных номеров и т.д. Также существуют сайты-подделки, заточенные на финансовые операции: покупка чего-либо превращается в перевод денег мошенникам. Компаний, предоставляющих P2P-сервисы по продаже товаров и услуг, а также сервисов для взаимодействия с самозанятыми становится все больше. Такие ресурсы обычно содержат и собственные платежные интерфейсы, что сразу же привлекает злоумышленников. Существуют сотни кейсов хищений и обманов с использованием сайтов — подделок известных ресурсов. Сейчас, к примеру, достаточно популярна мошенническая схема, которую реализовали с Booking.com. Вы бронируете и оплачиваете номер, а через некоторое время с вами связывается «администратор» и сообщает, что оплата не прошла — нужно повторить операцию. Само собой, общение проходит не во встроенном мессенджере приложения, а ссылка на оплату, которую вам предоставят мошенники, ведет на поддельный сайт. Подобные кейсы возникают достаточно часто и активно обсуждаются в прессе.
Весомая часть противоправно использованных бонусов — это реальные деньги, которые не получает владелец бизнеса.
Как повысить защиту сервисов и процессов компании
Ввести общий контроль за работой сервиса, платежного интерфейса или цифровой инициативы. При появлении возможности для атаки мошенники почти всегда стараются получить как можно больше прибыли за минимальный промежуток времени. Значит, нехарактерных операций будет много и их можно достаточно быстро выявить. Как показывает наш опыт, если вы знаете базовые показатели покупательской активности (количество, сумма, частота покупок и др.) и в реальном времени анализируете отклонения от нормы, то в большинстве случаев практически сразу идентифицируете новую атаку. Иногда вообще во время ее подготовки. Если риски и уязвимости обнаружены поздно, вполне возможно, владельцу сервиса придется либо закрыть его, либо частично ограничить его работу.
Развивать процессы и технологии аутентификации и обслуживания клиентов. Почти любой цифровой сервис сегодня требует от пользователя регистрации. Но данные для входа в аккаунт часто забываются или теряются, и в этом случае бывает сложно заново верифицировать клиента. Привязка аккаунтов к номеру телефона почти стала нормой, однако широкое использование СМС — это всегда дополнительные расходы для компании, а уведомления в мобильных приложениях не так безопасны (есть риски перехвата управления устройством). Необходимо развивать устойчивые к взлому и социальной инженерии средства аутентификации. Например, запрашивать у пользователя дополнительное биометрическое подтверждение операции, если речь идет о списании крупной суммы баллов, транзакция проводится с ранее скомпрометированного устройства или не в привычном для клиента регионе.
Помнить, что мошенники — это не только «третьи лица». Сведения об организации сервисов компании, методах их контроля и клиентскую информацию мошенникам часто предоставляют сами сотрудники, причем не специально. За изменениями процессов эксплуатации, затрагивающих ключевые показатели и данные пользователей, также необходимо следить.
1. Экспертный аудит существующей или разрабатываемой программы/сервиса. Он позволит:
- Выявить риски в технологиях и процессах.
- Реально оценить текущие и возможные потери, чтобы выбрать релевантные меры защиты.
В 99% случаев аудит, если он включает анализ активных операций программы или сервиса (например, за полгода), предоставит наглядные данные и по уже реализуемым хищениям, о которых вы не знали. На практике первичный аудит вскрывает ущерб (прямой или в виде недополученной прибыли) на сумму, превышающую стоимость внедрения и владения решением на 1–2 года.
2. Устранение уязвимостей
- Замена или доработка технологий/процессов, которые могли послужить причиной компрометации данных и с помощью которых третьи лица могли получить доступ к сервису. Плюс устранение базовых уязвимостей сайта или мобильного приложения.
- Изменение процессов для минимизации риска совершения противоправных действий мошенником или сотрудником компании. В 80% случаев это организационные меры или автоматизация взаимодействия с клиентом через службу поддержки и в торговых точках. Опять же, исходя из нашего опыта, 80% уязвимостей могут быть устранены перенастройкой процессов или внедрением дополнительных технологий. Стоимость таких изменений колеблется в пределах 3–8% от потерь.
3. Построение систем контроля
Поскольку рисковые функции нельзя просто исключить из сервиса, нужно внедрять инструменты, позволяющие контролировать клиентскую активность и процесс работы сотрудников с данными пользователей. Кроме того, стоит ввести независимые метрики для оценки работы сервиса в целом:
- Аналитические транзакционные платформы, которые выявляют кейсы, схожие с атаками на клиента или сервис (в соответствии с профилями взлома). Также они позволяют контролировать статистические метрики и заранее обнаруживать аномалии, которые могут быть маркерами реализуемой атаки.
- Системы сессионного контроля, повышающие прозрачность работы веб- и мобильных приложений и осуществляющие контроль клиента — используемых устройств, геолокации и др. В том числе такие системы способны выявлять факты заражения пользовательских девайсов вредоносным ПО и применения программ удаленного управления.
