Ритейлеры ежемесячно теряют до 3 млн руб. из-за мошенничеств с программами лояльности, число которых за 2021 год увеличилось на 89%, подсчитали в «Информзащите». Это может быть связано с ростом количества подобных программ и относительно невысокими требованиями к безопасности данных в них, полагают эксперты. В большинстве случаев мошенники пытаются получить доступ к аккаунту клиентов, используя информацию из утекших в сеть баз данных, но в инцидентах могут быть замешаны также сами покупатели и сотрудники сетей.
Рисунок: Виктор Чумачев, Коммерсантъ
В 2021 году количество «злонамеренных действий» с бонусными картами выросло на 89%, с мошенничеством столкнулись 90% компаний, у которых есть такие программы, рассказали “Ъ” в «Информзащите» (крупный участник рынка информбезопасности). Абсолютные показатели в компании не раскрывают. Исследование проводилось путем опроса ритейла и e-commerce. Прежде всего, с проблемой сталкиваются супермаркеты и онлайн-площадки.
По оценке аналитиков, потери составляют не менее 2–3 млн руб. ежемесячно: «Оценить общий объем сложно, поскольку сети фиксируют не все инциденты».
Объемы мошенничества, связанного с программами лояльности, действительно растут, подтвердил технический консультант Kaspersky Fraud Prevention Кирилл Кулаков. Мошенничества с бонусными картами ритейла, АЗС, быстрого питания усиливаются на протяжении двух лет, уточнил ведущий аналитик отдела выявления цифровых угроз Infosecurity a Softline Company Александр Вураско.
За чужими баллами и скидками охотятся внешние хакеры, которые взламывают кабинеты клиентов, в том числе с помощью подбора учетных данных, говорят в «Информзащите». Это отдельная специализация для злоумышленников: чаще всего они пытаются получить доступ к аккаунту, используя информацию из утекших в сеть баз данных, атакуют пользователей с помощью троянцев-стилеров или пытаются подобрать пароли методом перебора, рассказывает Кирилл Кулаков. Также для подбора паролей пользователей или перебора промокодов используются автоматизированные бот-атаки, добавляет эксперт. Добытые баллы и скидки используются для покупки товаров либо продажи, например, в чат-ботах или в теневом интернете.
Скрытыми лазейками в программе лояльности могут пользоваться и клиенты — например, создавая несколько учетных записей для получения вознаграждения.
Кроме того, отмечает господин Кулаков, сами сотрудники торговых сетей «нередко используют дыры в программах лояльности и злоупотребляют предложениями». Такие случаи выявлять сложнее всего, отмечают аналитики. В теневом интернете «масса предложений» с приглашением к сотрудничеству кассиров в целях проверки валидности сгенерированных карт и уточнения их баланса, поясняет Александр Вураско. По его словам, за этим стоят те же люди, что и за мошенничествами на самих торговых площадках: в большинстве случаев одна преступная группа эксплуатирует несколько криминальных схем параллельно.
Увеличение случаев мошенничеств связано с ростом числа программ лояльности у российских торговых сетей на 20% в 2021 году, полагает ведущий инженер CorpSoft24 Михаил Сергеев: «Баллы и карты ушли из пластика в онлайн, и это открывает большие возможности для мошенников».
Существенным фактором выступают и относительно невысокие требования к безопасности данных в таких программах, считает менеджер по развитию бизнеса Angara Security Анна Михайлова:
«Например, при доступе к личному кабинету в банке требования к пользователям и к самому приложению по умолчанию значительно выше и регламентируются не только банком, но и необходимым уровнем защиты сервиса».
Ритейлеры борются с проблемой: некоторые ограничивают количество операций по карте в сутки или, например, максимальное число карт, привязанных к одной учетной записи, отмечает Михаил Сергеев. «Наши IТ-команды работают над тем, чтобы программа лояльности была надежно защищена от любого внешнего и внутреннего фрода»,— пояснили в Wildberries. Там заверили, что не наблюдают всплеска мошеннических схем.