Как мошенники воруют баллы с карт лояльности

Что такое мошенничество с программами лояльности?
78% россиян участвуют в разных видах программ лояльности — дисконтные карты, накопительные карты, кэшбеки, платные подписки (по данным ИАА TelecomDaily). Это отличная новость не только для компаний, но и для мошенников. Ведь они тоже стремятся получит свою выгоду любыми путями.
Обманы с вознаграждениями и баллами происходят, когда киберпреступники, проворные клиенты и даже сотрудники используют программы лояльности для личной выгоды. В сфере ритейла часто можно услышать термин «фрод» (от англ. «fraud»), который и переводится как «мошенничество».
Если случай с клиентом — единичный и означает, что кто-то просто обнаружил лазейку в условиях программы, то группа организованных мошенников прибегнет к техническим навыкам и хакерским инструментам для доступа к учетным записям большого числа клиентов и будет вести себя совсем не лояльно.
Назиля Нурмамедова, юрист, учредитель и генеральный директор юридической компании «НЭС»: «Киберпреступники абузят, то-есть крадут все, что «плохо лежит»: деньги, кэшбэки, товары в интернет-магазинах, поездки в такси, услуги хостинга, сервисов VPN, проката самокатов. Любые ценности, которые потом можно перепродать или обменять, в том числе и бонусные баллы с карт лояльности.
На фоне пандемии наблюдался резкий рост всех видов дистанционных преступлений, в том числе и краж баллов лояльности. Большинство объявлений на Авито и каналов в Telegram, предлагавших купить бонусы, были созданы в 2020 — 2021 годах, и к настоящему моменту не действуют.
Однако и сейчас злоумышленники распространяют баллы заправок Газпромнефть, торговых сетей DNS, «Эльдорадо», «Спортмастер», «М.Видео». Два последние ритейлера пользуются повышенной популярностью у криминальных дельцов, действующих через Авито. К примеру, баллы «Спортмастера» предлагаются в 9 городах (Чебоксары, Волгоград, Воронеж), а бонусы «М.Видео» в 6 городах (Санкт-Петербург, Казань, Тольятти).
Из последних новостей: в марте стали известны случаи хищения промокодов «СберМегаМаркет», бонусов розничной сети «Галамарт», бургерной «FARШ».
Как действуют преступники
Мошенничества в сфере программ лояльности часто связаны со взломами учетных записей пользователей. Захват аккаунтов — это форма кражи личных данных, так как подразумевает получение информации для входа в систему.
Мошенники сначала получают доступ к учетным записям клиентов, а затем крадут их баллы лояльности. Как они получат связку логин-пароль — дело их техники:
Утечки данных
Перебор паролей
Целевой фишинг
Сергей Кузьменко, руководитель направления информационной безопасности Центра цифровой экспертизы Роскачества:
«Баллы, бонусы, мили — все это разновидности цифровой валюты, активы пользователей, а значит, для мошенников лакомый кусочек. Многие не задумываются о ценности подобных сбережений, разбросанных на десятков сайтах и сами по сути передают их мошенникам, оставляя в учетных записях слабые пароли.
Немаловажный момент заключается в том, что мошенничество с лояльностью, как правило, раскрывается намного позже, чем, скажем, мошенничество с возвратом платежей. Ведь клиенты обычно не задумываются о защите своих баллов лояльности так же серьезно, как они заботятся о сохранности денег».
Отметим, что на сегодня наиболее привлекательными для мошенников направлениями являются:
интернет-магазины
турагентства
SaaS-компании
iGaming-бренды
финансовые услуги
Любая компания может стать целью аферистов, если предлагает баллы лояльности, которые можно обменять на деньги, бонусы, продукты или услуги.
Когда обманывают клиенты и сотрудники
Бывает и такое, что некоторые предприимчивые клиенты находят лазейки в программе лояльности и начинают использовать ее в личных целях. Поэтому грамотно выстраивать и внедрять систему бонусов в компании должна хорошая команда из программистов, юристов и менеджеров.
Нередко махинации проворачивает линейный персонал. Часто такое бывает в сфере общественного питания — начисление скидок на свой счет за заказ реального клиента, начисление баллов на свою анкету, использование фейкового счета и др. Это может долго продолжаться, если клиент не следит за счетом своих бонусов и не обращает внимания на уведомления о списании.
Как уберечься от противоправных действий
Самим пользователям, прежде всего, нужно осознать ценность их клиентских счетов. Ведь учетная запись сродни онлайн-кошельку. Баллы лояльности приравниваются к наличным деньгам, а личные данные — к идентификаторам.
Проведите ревизию своих учетных записей и клиентских счетов
Обновите пароли и придумайте сложные
Убедитесь, что ваши данные не были скомпрометированы