У служб безопасности торговых сетей утвердилась новая проблема: частым явлением стали не только кражи в магазинах, но и взломы программ лояльности и кассовых систем, приносящие еще больший ущерб. Мария Форостьянова, директор по продукту Loymax, рассказала, как противостоять этому.
Каждый месяц российские ретейлеры теряют до 3 млн руб. из-за злонамеренных действий с программами лояльности. В 2021 году число мошеннических операций с бонусными картами выросло на 89% по сравнению с 2021 годом. С фродом в ретейле тогда столкнулись 90% компаний. А по итогам 2022 года утечки в российских компаниях из сферы торговли и HoReCa даже превысили средний мировой показатель по фроду — 27% против 22%.
Ради чужих скидок и баллов злоумышленики взламывают аккаунты покупателей. Для этого они используют троянцы-стилеры, слитые данные, ищут уязвимости в программных решениях, методом перебора подбирают пароли и даже номера бонусных карт. Баллы они либо продают в даркнете или чат-ботах, либо тратят на покупку товаров.
Погоня за бонусами
Фрод с каждым годом становится все масштабнее и изощреннее, несмотря на то, что торговые сети делают все для повышения уровня защиты программ.
Одна из самых известных историй, связанных с кражей бонусов, случилась с кофейней Starbucks. В день рождения компания предлагала клиентам получить бесплатно любой напиток. О наличии уязвимости узнали, только когда один из посетителей кафе бесплатно заказал гигантский стакан кофе. В напиток себестоимостью $54 поместилось 60 порций эспрессо с безлактозным молоком, сливками, множеством сиропов и добавок себестоимостью.
В российской практике таких ситуаций тоже вполне достаточно. Известен пример, когда сотрудник одной из торговых сетей организовал мошенническую схему с купонами на сумму более 700 тыс. баллов, что равноценно той же сумме в рублях. Все эти баллы мошенники перевели на свой счет и в течение месяца совершали в супермаркете покупки, расплачиваясь баллами.
Подобное может произойти и когда подключением касс занимаются сторонние подрядчики. Так они получают доступ к протоколам программы лояльности. При этом бонусы генерируются практически из воздуха, покупки не проходят через официальную кассу и не попадают в программу лояльности, а на счетах у пользователей появляются миллионы.
Профилактика мошенничества
Чтобы не дать ход массовому мошенничеству, нужно, для начала, любые наклейки, купоны и бонусные счета закреплять не за пластиковыми носителями или флаерами, а за конкретным клиентом или сертификатом.
Лучший вариант — сделать так, чтобы накопление этих фишек и наклеек происходило на электронном кошельке пользователя. Так все операции с пополнением, сгоранием, гашением баллов будут привязаны к конкретным действиям по акциям, счетам, времени, чеку, клиенту и даже к кассиру. Данный подход позволит строить аналитику, проводить мониторинги, потому как все операции в программе лояльности станут прозрачными.
Кроме того, списание с бонусных счетов должно быть защищено хотя бы одним из трех способов:
- код подтверждения,
- предъявление карты,
- QR-код с регулярным обновлением.
Защитить бонусы можно еще одним способом — ограничить максимальный процент списания в рамках одного чека. Так выгода мошенников упадет пропорционально изменению процента, и интерес к хищению и продаже карт снизится.
Требования к безопасности
Советы по информационной безопасности в ретейле условно делятся на несколько групп: одни помогут защитить данные при работе с клиентскими сервисами, другие — обеспечат безопасность операций на кассе.
Первая группа требований связана с клиентскими сервисами:
- личными кабинетами,
- мобильными приложениями,
- интернет-магазинами,
- онлайн-доставками и т.д.
Самое важное здесь — соблюдать требования к паролям, использовать капчи и протокол OAuth, устанавливать лимиты, делать прозрачными требования к инфраструктуре решения.
Вторая группа требований касается работы касс. Если ограничить списания бонусов в 50% от суммы чека, доходы мошенников заметки понизятся, а безопасность системы лояльности ретейлера повысится.
Что касается велком-бонусов, здесь ограничение можно поставить всего лишь одним условием — бонусы начисляются на первую покупку на сумму, которая превысит размер начисления самих приветственных баллов.
Для большей безопасности системы лояльности важно использовать уникальные комбинации логинов и паролей, регулярно их менять, централизованно заводить кассы в системе, а также задействовать ЭЦП (цифровой аналог личной подписи от руки) при взаимодействии с процессингом.