Top.Mail.Ru
Колонки

Как хакеры атакуют программы лояльности и чем это грозит бизнесу и его клиентам

Колонки
Георгий Тарасов
Георгий Тарасов

Менеджер продукта Qrator Labs

Анастасия Удальцова

Мошенничество и атаки на программы лояльности — большая головная боль современных ритейлеров и золотая жила для злоумышленников. Кража данных, взлом пользовательских аккаунтов, охота за баллами, искажение бизнес-метрик и срыв маркетинговых кампаний — от таких действий бизнес теряет до 3 млн руб. ежемесячно. 

В 2021 жертвами мошенников стали 90% онлайн-магазинов. Георгий Тарасов, менеджер продукта Qrator Labs, рассказал, что делать, чтобы не попасть в этот список в 2023.

Как хакеры атакуют программы лояльности и чем это грозит бизнесу и его клиентам
  1. Колонки

Беспечность — главный бонус для злоумышленников 

Банки и финансовые организации совершенствуют средства защиты — тем более, что их активно стимулируют регуляторы. Пользователи тоже стремятся обеспечить конфиденциальность данных, из-за возможной утечки которых они могут лишиться собственных средств. «Спасибо» «службе безопасности» банка, — ее активные сотрудники постоянно напоминают о ценности пользовательской информации. 

Начни бизнес с RB.RU: 7 писем для старта

Аккаунты в системах программ лояльности такого пристального внимания не вызывают. Они мало ассоциируются с платежными системами и финансовыми сервисами, бонусные баллы и дисконтные предложения не имеют (да и не могут иметь) в глазах пользователей той же ценности, что и «живые» деньги.

Завести аккаунт в программе лояльности ритейла обычно проще, чем в банковском приложении, для этого требуется меньше этапов верификации — это облегчает доступ к системе как людям, так и ботам. На этом фоне интерес киберпреступников к программам лояльности не случаен.

 

Мошенники в погоне за лояльностью

«Живые» деньги имеют к программам лояльности опосредованное отношение. Персональные скидки, бонусные баллы или мили еще нужно монетизировать. Тем не менее стоимость этих активов весьма высока. Их совокупную стоимость оценить непросто, но представление о ней могут дать, к примеру, данные крупнейших банков, которые в рамках бонусных программ начислили своим клиентам более 140 млрд рублей.

Программа лояльности группы «М.Видео-Эльдорадо» насчитывает более 100 млн участников, которые оплачивают бонусами примерно 10% стоимости своих покупок. В 2022 году в Wildberries в скидки для своих покупателей инвестировали 249 млрд — на 38% больше, чем годом ранее. 


Читайте по теме: Базы данных компаний все чаще воруют. Вот конкретные действия, которые помогут этого избежать


И все эти цифры четко говорят о том, что стоимость бонусов, которые находятся «на руках» у участников программ лояльности, весьма велика. А значит, и сами бонусы стали лакомым куском для цифровых мошенников. Более того, бонусные баллы открыто продаются и покупаются за весьма высокий процент от их номинальной стоимости — а это говорит о том, что развиваются схемы их обналичивания

Еще одна цель хакеров, атакующих программы лояльности, — кража данных. Вместе с доступом к данным участников программ лояльности хакеры получают верифицированную информацию:

  • номера телефонов,
  • адреса электронной почты,
  • список покупок, который позволяет оценить состоятельность «клиента»,
  • информацию об используемых способах оплаты.

Все эти данные могут использоваться в дальнейшем. 

Целью хакеров могут быть и не сами потребители или их данные, а бизнес компании-оператора программы лояльности.

Так, заметные всплески активности хакеров отмечаются во время проведения акций и распродаж (таких, к примеру, как «Черная пятница» или «Киберпонедельник»). В этом случае преступники стремятся:

  1. Сорвать саму акцию;
  2. Нанести ущерб имиджу ритейлера;
  3. Заполнить программу лояльности «мусорными аккаунтами»;
  4. Дискредитировать маркетинговые данные, которые используются для анализа эффективности продаж;
  5. Потребовать выкуп за прекращение нападения.

Наконец, может преследоваться и такая цель, как парсинг контента — то есть кража содержания сайта интернет-магазина или маркетплейса.

 

Ботов много не бывает

Основное оружие хакеров — боты, с помощью которых злоумышленники создают паразитную активность на веб-ресурсах жертв. Часто ими оперируют независимые «игроки», держащие свою небольшую бот-ферму.

Проблема в том, что таких мелких игроков десятки тысяч, и они активно конкурируют за собираемые данные. К примеру, по нашим данным, в ноябре прошлого года в сфере онлайн-ритейла ежедневное количество обращений ботов достигало 300 тысяч в час. Для сравнения:месяцем ранее этот поток не превышал 10 тысяч.


Читайте по теме: Аналитики назвали топ-5 угроз кибербезопасности для бизнеса в 2023 году


Тогда же в ноябре произошла крупнейшая бот-атака на аптечные онлайн-сети: на пике трафик, генерируемый ботами, достигал 700-750 запросов в секунду — это на 400-800% больше, чем обычная нагрузка на сайты таких сетей. Последствия для бизнеса пострадавшей компании — потеря покупателей, которым не составляет труда просто перейти на другую работоспособную здесь и сейчас площадку. 

Есть и другие боты. Кражей пользовательских данных занимаются боты-брутфорсеры, которые подбирают ключи к пользовательским аккаунтам путем перебора.

Эти данные впоследствии могут быть перепроданы в даркнете сторонним мошенникам и использованы для проведения мошеннических действий с другими аккаунтами тех же пользователей — в других системах лояльности или банковских приложениях.


Читайте по теме: Вас взломали: признаки хакерской атаки и меры защиты


«Скраперы» (или «скребки») занимаются сбором размещенного на сайтах магазинов контента:

  • фотографий товара,
  • описаний,
  • видео.

И дело даже не в том, что такие боты создают дополнительную нагрузку на сайт — собранный контент может быть использован в последующем для создания фишинговых сайтов, предназначенных для выманивая и последующей кражи пользовательских данных.

Да и сам контент, потерявший уникальность, пострадавшей компании придется менять.

Боты-скальперы предназначены для вредительства иного рода. Они массово регистрируют аккаунты в системах лояльности и ждут своего часа. Он наступит в период распродажи, локальной или тотальной.

В этот момент скальперы начнут заказывать акционный товар. Торговая площадка, конечно, в итоге не отгрузит «недопроданный» товар, но во время проведения акции он станет недоступным для обычных покупателей, поскольку будет зарезервирован торговой системой.

Результат:

  1. Сорванная акция;
  2. Напрасно потраченный маркетинговый бюджет;
  3. Нераспроданные остатки;
  4. Загруженный склад;
  5. Перегруженная жалобами служба поддержки;
  6. Недостоверная аналитика продаж;
  7. Потеря рейтинга в поисковых системах;
  8. Недовольные покупатели, чувствующие себя обманутыми. 

 

Как определить атаку

Любые аномальные изменения активности на сайте программы лояльности — повод для усиленного беспокойства ее оператора. Активность ботов всегда значительно выше, чем активность легитимных пользователей — многие пользовательские аккаунты используются несколько раз в год, во время распродаж или сезонных всплесков спроса на отдельные товарные категории.

Поэтому любая аномалия может свидетельствовать об активности бот-сетей и стать поводом для проверки настроек систем безопасности и проведении фильтрации трафика (если по каким-то причинам компания не использует такие инструменты защиты). 


Читайте по теме: Вы ошибаетесь, если думаете, что вас это не касается. Пять выводов, которые я сделал после DDoS-атак


В качестве примера расскажем, как развивалась бот-атака на одного из онлайн-ритейлеров осенью прошлого года, когда компания (а вместе с ней и хакеры) готовилась к «Черному понедельнику».

Итак, в конце октября начались ежедневные атаки брутфорсеров на логины личных кабинетов пользователей. Начиная с 6 ноября, они распространились и на другие сервисы ритейлера — товарный каталог и корзину покупателя.

Интенсивность атак достигала 300 тысяч запросов в час.

Анализ трафика показал, что посещаемость сайта магазина легитимными пользователями с октября возросла примерно на 10% — это легко объяснимо развивающимся ажиотажем перед «Черным понедельником». Но средняя активность ботов в этот же период возросла в 30 раз.

Именно такой рост объемов трафика и стал основным признаком атаки, которую готовили хакеры к периоду ноябрьских распродаж.

 

Как защищаться

Использовать технологии дополнительной аутентификации при совершении транзакций с баллами 

Самый распространенный способ — отправка одноразового пароля по SMS. Это позволит существенно снизить риски мошенничества с транзакциями пользователей. Однако следует учитывать, что использование SMS-аутентификации повлечет за собой и серьезные дополнительные расходы для ритейлера. 


Если есть возможность использования push-уведомлений для двухфакторной аутентификации, выбирайте его.


Этот способ будет более безопасным, чем SMS, так как боты умеют атаковать SMS-шлюзы запросами и наносить серьезный ущерб бюджету компании — не говоря уже о дополнительных рисках для самих пользователей вроде мошенничества при помощи SMS.

Альтернативным способом в случае списания крупной суммы баллов или проведения операции из нестандартной для пользователя локации может стать использование биометрических данных для подтверждения проведения транзакции.

 

Знать базовые показатели покупательской активности и анализировать отклонения от нормы

Как показывает опыт, при проведении атаки на программы лояльности в разы увеличивается число нестандартных операций.


Читайте также: «Средний размер выкупа — $247 000». Киберкриминалист — о мотивации хакеров и атаках на российские компании


При понимании паттернов стандартного поведения пользователя (частота заказов, их сумма) можно легко выявить нелегитимное поведение, чаще всего относящееся к активности ботов.

 

Заботиться о пользователях

Повышайте информированность пользователей: напоминайте им о регулярной смене паролей, использовании двухфакторной аутентификации и регулярной проверке входа в учетную запись через свои устройства.

Это дополнительно поможет повысить общий уровень безопасности, снизив нелегитимную активность ботов на сайте и ущерб от них для бизнеса.

 

Фото на обложке сгенерировано нейросетью Midjourney

Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!

Нашли опечатку? Выделите текст и нажмите Ctrl + Enter

Материалы по теме

  1. 1 Сквозное шифрование: что за технология и где используется
  2. 2 «Требуются сотрудники для удаленной работы. Высокий доход, гибкий график»: кто такие дропперы и что им грозит
  3. 3 Что такое смарт-контракты в блокчейне и защищают ли они от мошенничества
  4. 4 Честный знак при карго-доставке из Китая: «серые» схемы и их последствия
  5. 5 Как взламывают корпоративные сайты и что сделать в компании, чтобы это предотвратить
7 писем для старта
Начни бизнес с RB.RU
Подписаться