Мошенничество и атаки на программы лояльности — большая головная боль современных ритейлеров и золотая жила для злоумышленников. Кража данных, взлом пользовательских аккаунтов, охота за баллами, искажение бизнес-метрик и срыв маркетинговых кампаний — от таких действий бизнес теряет до 3 млн руб. ежемесячно.
В 2021 жертвами мошенников стали 90% онлайн-магазинов. Георгий Тарасов, менеджер продукта Qrator Labs, рассказал, что делать, чтобы не попасть в этот список в 2023.
Беспечность — главный бонус для злоумышленников
Банки и финансовые организации совершенствуют средства защиты — тем более, что их активно стимулируют регуляторы. Пользователи тоже стремятся обеспечить конфиденциальность данных, из-за возможной утечки которых они могут лишиться собственных средств. «Спасибо» «службе безопасности» банка, — ее активные сотрудники постоянно напоминают о ценности пользовательской информации.
Аккаунты в системах программ лояльности такого пристального внимания не вызывают. Они мало ассоциируются с платежными системами и финансовыми сервисами, бонусные баллы и дисконтные предложения не имеют (да и не могут иметь) в глазах пользователей той же ценности, что и «живые» деньги.
Завести аккаунт в программе лояльности ритейла обычно проще, чем в банковском приложении, для этого требуется меньше этапов верификации — это облегчает доступ к системе как людям, так и ботам. На этом фоне интерес киберпреступников к программам лояльности не случаен.
Мошенники в погоне за лояльностью
«Живые» деньги имеют к программам лояльности опосредованное отношение. Персональные скидки, бонусные баллы или мили еще нужно монетизировать. Тем не менее стоимость этих активов весьма высока. Их совокупную стоимость оценить непросто, но представление о ней могут дать, к примеру, данные крупнейших банков, которые в рамках бонусных программ начислили своим клиентам более 140 млрд рублей.
Программа лояльности группы «М.Видео-Эльдорадо» насчитывает более 100 млн участников, которые оплачивают бонусами примерно 10% стоимости своих покупок. В 2022 году в Wildberries в скидки для своих покупателей инвестировали 249 млрд — на 38% больше, чем годом ранее.
Читайте по теме: Базы данных компаний все чаще воруют. Вот конкретные действия, которые помогут этого избежать
И все эти цифры четко говорят о том, что стоимость бонусов, которые находятся «на руках» у участников программ лояльности, весьма велика. А значит, и сами бонусы стали лакомым куском для цифровых мошенников. Более того, бонусные баллы открыто продаются и покупаются за весьма высокий процент от их номинальной стоимости — а это говорит о том, что развиваются схемы их обналичивания.
Еще одна цель хакеров, атакующих программы лояльности, — кража данных. Вместе с доступом к данным участников программ лояльности хакеры получают верифицированную информацию:
- номера телефонов,
- адреса электронной почты,
- список покупок, который позволяет оценить состоятельность «клиента»,
- информацию об используемых способах оплаты.
Все эти данные могут использоваться в дальнейшем.
Целью хакеров могут быть и не сами потребители или их данные, а бизнес компании-оператора программы лояльности.
Так, заметные всплески активности хакеров отмечаются во время проведения акций и распродаж (таких, к примеру, как «Черная пятница» или «Киберпонедельник»). В этом случае преступники стремятся:
- Сорвать саму акцию;
- Нанести ущерб имиджу ритейлера;
- Заполнить программу лояльности «мусорными аккаунтами»;
- Дискредитировать маркетинговые данные, которые используются для анализа эффективности продаж;
- Потребовать выкуп за прекращение нападения.
Наконец, может преследоваться и такая цель, как парсинг контента — то есть кража содержания сайта интернет-магазина или маркетплейса.
Ботов много не бывает
Основное оружие хакеров — боты, с помощью которых злоумышленники создают паразитную активность на веб-ресурсах жертв. Часто ими оперируют независимые «игроки», держащие свою небольшую бот-ферму.
Проблема в том, что таких мелких игроков десятки тысяч, и они активно конкурируют за собираемые данные. К примеру, по нашим данным, в ноябре прошлого года в сфере онлайн-ритейла ежедневное количество обращений ботов достигало 300 тысяч в час. Для сравнения:месяцем ранее этот поток не превышал 10 тысяч.
Читайте по теме: Аналитики назвали топ-5 угроз кибербезопасности для бизнеса в 2023 году
Тогда же в ноябре произошла крупнейшая бот-атака на аптечные онлайн-сети: на пике трафик, генерируемый ботами, достигал 700-750 запросов в секунду — это на 400-800% больше, чем обычная нагрузка на сайты таких сетей. Последствия для бизнеса пострадавшей компании — потеря покупателей, которым не составляет труда просто перейти на другую работоспособную здесь и сейчас площадку.
Есть и другие боты. Кражей пользовательских данных занимаются боты-брутфорсеры, которые подбирают ключи к пользовательским аккаунтам путем перебора.
Эти данные впоследствии могут быть перепроданы в даркнете сторонним мошенникам и использованы для проведения мошеннических действий с другими аккаунтами тех же пользователей — в других системах лояльности или банковских приложениях.
Читайте по теме: Вас взломали: признаки хакерской атаки и меры защиты
«Скраперы» (или «скребки») занимаются сбором размещенного на сайтах магазинов контента:
- фотографий товара,
- описаний,
- видео.
И дело даже не в том, что такие боты создают дополнительную нагрузку на сайт — собранный контент может быть использован в последующем для создания фишинговых сайтов, предназначенных для выманивая и последующей кражи пользовательских данных.
Да и сам контент, потерявший уникальность, пострадавшей компании придется менять.
Боты-скальперы предназначены для вредительства иного рода. Они массово регистрируют аккаунты в системах лояльности и ждут своего часа. Он наступит в период распродажи, локальной или тотальной.
В этот момент скальперы начнут заказывать акционный товар. Торговая площадка, конечно, в итоге не отгрузит «недопроданный» товар, но во время проведения акции он станет недоступным для обычных покупателей, поскольку будет зарезервирован торговой системой.
Результат:
- Сорванная акция;
- Напрасно потраченный маркетинговый бюджет;
- Нераспроданные остатки;
- Загруженный склад;
- Перегруженная жалобами служба поддержки;
- Недостоверная аналитика продаж;
- Потеря рейтинга в поисковых системах;
- Недовольные покупатели, чувствующие себя обманутыми.
Как определить атаку
Любые аномальные изменения активности на сайте программы лояльности — повод для усиленного беспокойства ее оператора. Активность ботов всегда значительно выше, чем активность легитимных пользователей — многие пользовательские аккаунты используются несколько раз в год, во время распродаж или сезонных всплесков спроса на отдельные товарные категории.
Поэтому любая аномалия может свидетельствовать об активности бот-сетей и стать поводом для проверки настроек систем безопасности и проведении фильтрации трафика (если по каким-то причинам компания не использует такие инструменты защиты).
Читайте по теме: Вы ошибаетесь, если думаете, что вас это не касается. Пять выводов, которые я сделал после DDoS-атак
В качестве примера расскажем, как развивалась бот-атака на одного из онлайн-ритейлеров осенью прошлого года, когда компания (а вместе с ней и хакеры) готовилась к «Черному понедельнику».
Итак, в конце октября начались ежедневные атаки брутфорсеров на логины личных кабинетов пользователей. Начиная с 6 ноября, они распространились и на другие сервисы ритейлера — товарный каталог и корзину покупателя.
Интенсивность атак достигала 300 тысяч запросов в час.
Анализ трафика показал, что посещаемость сайта магазина легитимными пользователями с октября возросла примерно на 10% — это легко объяснимо развивающимся ажиотажем перед «Черным понедельником». Но средняя активность ботов в этот же период возросла в 30 раз.
Именно такой рост объемов трафика и стал основным признаком атаки, которую готовили хакеры к периоду ноябрьских распродаж.
Как защищаться
Использовать технологии дополнительной аутентификации при совершении транзакций с баллами
Самый распространенный способ — отправка одноразового пароля по SMS. Это позволит существенно снизить риски мошенничества с транзакциями пользователей. Однако следует учитывать, что использование SMS-аутентификации повлечет за собой и серьезные дополнительные расходы для ритейлера.
Если есть возможность использования push-уведомлений для двухфакторной аутентификации, выбирайте его.
Этот способ будет более безопасным, чем SMS, так как боты умеют атаковать SMS-шлюзы запросами и наносить серьезный ущерб бюджету компании — не говоря уже о дополнительных рисках для самих пользователей вроде мошенничества при помощи SMS.
Альтернативным способом в случае списания крупной суммы баллов или проведения операции из нестандартной для пользователя локации может стать использование биометрических данных для подтверждения проведения транзакции.
Знать базовые показатели покупательской активности и анализировать отклонения от нормы
Как показывает опыт, при проведении атаки на программы лояльности в разы увеличивается число нестандартных операций.
Читайте также: «Средний размер выкупа — $247 000». Киберкриминалист — о мотивации хакеров и атаках на российские компании
При понимании паттернов стандартного поведения пользователя (частота заказов, их сумма) можно легко выявить нелегитимное поведение, чаще всего относящееся к активности ботов.
Заботиться о пользователях
Повышайте информированность пользователей: напоминайте им о регулярной смене паролей, использовании двухфакторной аутентификации и регулярной проверке входа в учетную запись через свои устройства.
Это дополнительно поможет повысить общий уровень безопасности, снизив нелегитимную активность ботов на сайте и ущерб от них для бизнеса.
Фото на обложке сгенерировано нейросетью Midjourney
Нашли опечатку? Выделите текст и нажмите Ctrl + Enter
Материалы по теме
- Пройти курс «Выбор системы налогообложения»
- 1 МВД предупредило о вредоносной рассылке с вопросом «Это ты на видео?» в Telegram
- 2 В Госдуму внесли законопроект о запрете рекламы тарологов
- 3 Мошенники украли у россиян более 40 млн рублей с помощью легального приложения
- 4 Скам: как распознать и не попасться
ВОЗМОЖНОСТИ
28 января 2025
03 февраля 2025
28 февраля 2025