Лояльные мошенники: как обезопасить свою программу лояльности о мошенничества

Из года в год схемы мошенничества в программах лояльности становятся все более изощрёнными из-за чего все труднее их обнаруживать. По мнению специалистов компании Comarch, которые занимаются внедрением CRM-систем и управлением программами лояльности, в общем эти схемы можно разделить на следующие категории:

• мошенничество персонала из-за недостатка контроля со стороны оператора программы;
• мошенничество участников из-за недостатка того же контроля со стороны оператора программы;
  
• кибермошенничество, когда мошенники пытаются завладеть учетными записями участников программы.
  

Мошенничество персонала. Согласно результатам исследования, которое компания Checkpoint Systems проводила в 11 странах Европы, включая Россию, потери от краж составляют 2.05% от ежегодного оборота сектора ритейла. Причем половина этих потерь – это воровство сотрудников. 

Программы лояльности тому не исключение. Кассиры часто используют собственные карты, когда покупатели не предъявляют свои, или умудряются даже подменять карту клиента на собственную. Так сотрудница лондонского лакшери-универмага Harrods была признана виновной в мошенничестве в рамках программы лояльности. За 3 года она сумела накопить 850 тыс. баллов (эквивалентно 280 тыс. фунтов стерлингов), сканируя собственную карту вместо карт клиентов. Мошенничество удалось случайно обнаружить, когда менеджер магазина обратил внимание на большой баланс баллов на счету участника, чье имя было очень похоже на имя этой сотрудницы. 

Самым простым, но в то же время действенным способом борьбы с мошенничеством персонала является ограничение максимального количества операций по карте/счету в день. Например, «Магнит» не разрешает совершать более 5 покупок в день с применением одной карты. Похожее ограничение работает и в супермаркетах «Перекрёсток». 

Хотя такой механизм имеет свои ограничения, все же важно настроить такие лимиты, как максимальное количество транзакций начисления и списания в день, лимитация количества баллов, начисленных в рамках одной транзакции, максимальное количество карт, привязанных к одной учетной записи и т. д. Самый простой способ установить эти лимиты - посмотреть исторические данные (например, максимальное количество транзакций списания баллов в день за предыдущий год), а затем установить лимит, который составит 110-115% от этого значения. Этот простой механизм предотвратит любые существенные отклонения от нормы и, следовательно, может предотвратить ряд потенциальных мошеннических действий.

Мошенничество совершают не только кассиры, но и сотрудники контакт-центра и бек-офиса компании, имеющие прямой доступ к счетам участников. Они могут делать несанкционированные ручные корректировки баланса баллов, начисляя на свой счет или счет знакомого фиктивные баллы, переводить баллы со счетов реальных клиентов на свои или объединять счета клиентов со своими и списывать все баллы. Ограничение максимального количества операций эффективно в борьбе и с такими злоупотреблениями, но дополнительно необходимо соблюдать правило минимально необходимого доступа для сотрудников, имеющих доступ к счетам ваших клиентов. Это значит, что такие пользователи должны получить достаточные привилегии в системе, чтобы выполнять свою работу, и ничего более. В подавляющем большинстве сотрудникам контакт-центра требуется только возможность проверки баланса баллов и изменения адресных данных. Любые другие операции должны быть ограничены с целью снижения рисков. 

Еще одна полезная практика – применение принципа «четырех глаз», когда действия с повышенным риском, такие как ручная корректировка баланса баллов сверх установленного лимита, слияние учетных записей и перевод баллов с одного счета на другой, требую подтверждения не только со стороны рядового сотрудника контакт-центра, но и супервайзера. Это принцип поможет предотвращать потенциальные мошеннические действия и снизит риск человеческой ошибки, которую иначе сложно было бы обнаружить.



Для борьбы с мошенничеством клиентов часто используется ограничение количества карт для одного участника. Например, «Магнит» не разрешает участнику иметь более 3 пластиковых карт и 1 одну виртуальную, а супермаркеты «Виктория» и «Лента» разрешают покупателю иметь только одну активную карту.

Но для того, чтобы ограничение по количеству карт и транзакций действительно работало, необходима дедупликация данных участников. Такой механизм должен работать как часть процесса регистрации, чтобы гарантировать, что как созданные, так и отредактированные профили клиентов являются уникальными и подлинными. 

На первый взгляд процесс дедупликации, кажется, простым – нужно всего лишь определить параметр, например адрес электронной почты или номер телефона, который будет служить уникальным идентификатором клиента и заблокировать возможность регистрации новых карт/счетов с аналогичным. Но если у вас партнерская программа с банком, то такой запрет может повлечь проблемы при регистрации ко-бренд карты уже зарегистрированным участником. Соответственно перед тем, как запускать дедупликацию, вам необходимо проанализировать ее влияние на все бизнес-процессы программы, чтобы потом у честных участников не возникали трудности.

Чтобы избежать мошенничества с массовым созданием учетных записей и гарантировать, что зарегистрированный участник является реальным человеком, необходимо проводить обязательную проверку адреса электронной почты или номера телефона, а также ограничить операции по анонимным счетам (счета незарегистрированных участников). Например, «Аэрофлот Бонус» проверяет достоверность номеров телефонов с помощью смс-кодов, а «Много.ру» - адреса электронной почты. В сочетании с дедупликацией это является хорошей отправной точкой для безопасного процесса регистрации. Если в программе разрешены анонимные счета, то рекомендуется настроить дополнительные ограничения для таких учетных записей. Например, запретить списание баллов или перевод баллов со счета на счет, а также установить более короткий срок действия баллов.

Счета клиентов, где обнаружены факты мошенничества, должны быть заблокированы, а сами клиенты занесены в черный список с целью исключить возможность повторной регистрации.  Например, Райффайзенбанк единовременно отключил нескольких держателей карт #всесразу от программы лояльности, заподозрив, что клиенты, оплачивая услуги связи через операторов, выводят деньги на свои же карты. Кроме персональных данных клиентов, в черный список нужно заносить и IP-адрес или физический адрес устройства, используемого для регистрации.

---

Читайте также: Главные ошибки в создании и управлении программой лояльности

---

Не редки случаи, когда клиенты находят лазейки и пробелы в правилах программы лояльности, что позволяет им получать дополнительную выгоду, которую оператор программы не планировал. Один из красочных примеров такого мошенничества – напиток Starbucks за 54 доллара. В рамках программы лояльности Starbucks позволяет клиенту получить бесплатный напиток в день рождения или после накопления 12 звезд. Один из клиентов воспользовался свободной интерпретацией правил программы, чтобы создать свой напиток-монстр за $54. Напиток включал 60 порций эспрессо, протеиновый порошок и ароматизированный сироп. Гигантский фраппучино был затем помещен в стеклянную вазу и был на 100% бесплатным. Теперь правила программы гласят: «Применяются ограничения – только стандартные размеры меню Starbucks».

Starbucks такой недосмотр в правилах программы обошелся всего лишь в $54, тогда как Healthy Choice, американскому производителю замороженных продуктов, он стоил $25 тыс. Компания предложила своим потребителям заработать 1000 миль на авиаперелеты за каждые 10 штрих-кодов купленных пудингов. Один из клиентов, инженер-строитель по образованию, подсчитал, что стоимость призовых миль превышает цену покупки пудингов. Он скупил в десяти магазинах Сакраменто 12 тысяч маленьких порций пудинга за $3140 (по 25 центов за штуку). Для того, что снять все штрих-коды вовремя, инженер привлек свою жену и детей, а также представителей благотворительной организации в обмен на пожертвования пудингов, и сумел заработать 1,2 млн. миль. Теперь этот инженер известен как «Пудинг-парень». У него есть своя страничка в Википедии и видео на YouTube, где он с гордостью объясняет свой подвиг. Запуская акцию, Healthy Choice не до конца просчитал все варианты обмена между стоимостью покупки и суммой вознаграждения, в результате чего не ограничил размер порций пудинга, и как следствие акция обошлась дороже, чем рассчитывали. 

Конечно, такие ситуации как со Starbucks и Healthy Choice не встречаются каждый день. Чаще всего клиенты проводят махинации с возвратом товаров, за покупку которых оператор начисляет баллы. Одним из самых простых методов предотвращения такого рода мошенничества является отсрочка активации баллов для списания на период, в течении которого клиент вправе вернуть товар. Если в программе не используется такая отсрочка, то чтобы снизить риски, рекомендуем четко спланировать все возможные сценарии, включая крайние случаи. Например, что должно произойти, если участник получил 100 баллов за покупку, потратил из них 80 баллов, а затем решил вернуть купленный товар? Должна ли система учитывать отрицательный баланс баллов? Если да, то должна ли быть нижняя граница? 

В подавляющем большинстве подтвержденных случаев мошенничества, вызванных неверной конфигурацией или технической лазейкой, участники, как правило, используют свои баллы очень быстро. Типичный период накопления баллов для мошеннического счета намного короче, чем в среднем по программе.

Кибермошенничество. Процент кибератак, нацеленных на программы лояльности, растёт из года в год. В 2017 году ущерб операторов программ от таких кибератак во всем мире составил 2,3 миллиарда долларов. Рост кибермошенничества связан как с недостаточными мерами безопасности, так и ростом спроса на учетные данные участников программы. На черном рынке Dark Web США идентификаторы лояльности теперь продаются даже дороже, чем номера социального страхования. 



Кибермошенничество не имеет границ и жертвами становятся как зарубежные программы лояльности, так и российские. В июне 2018 года сотрудники управления «К» МВД России задержали двух хакеров, подозреваемых во взломе и краже около 700 тысяч счетов участников программ лояльности популярных интернет-магазинов, платежных систем и букмекерских компаний. Жертвами мошенников стали клиенты десятков компаний и сервисов, включая «Юлмарт», «Биглион», «Купикупон», PayPal и многие другие. Злоумышленники взламывали счета участников программ лояльности, а потом продавали их через форумы, а «покупатели» использовали накопленные бонусы для оплаты товаров.

В связи с растущим кибермошенничеством операторы программ лояльности все больше времени и денег уделяют безопасности конечных точек. Безопасность конечных точек охватывает все точки доступа пользователей и участников к информационной системе лояльности: интернет-сайт и мобильное приложение, приложения для администраторов системы и для контакт-центра (веб- или настольные), а также системы для отчетности или бизнес-аналитики. 

В частности, для повышения безопасности конечных точек могут применяться следующие меры:

• Проверка подлинности участника или пользователя. Помимо применения политики паролей, существует растущая тенденция к внедрению механизмов двухфакторной аутентификации (2FA) или одноразовых паролей (OTP) для доступа к информационной системе лояльности и к таким операциям, как списание баллов. Хотя они, возможно, не идеальны с точки зрения взаимодействия с пользователем, но значительно повышают общую безопасность программы, особенно с точки зрения снижения риска кражи личных данных или данных учетной записи.
  
  
• Регулярные проверки безопасности. Независимо от того, какие технологии и процедуры внедрены, новые технические уязвимости появляются каждый день. Надежно защищенная платформа требует циклических проверок безопасности и тестов на проникновение, предпочтительно со стороны сторонней организации.
  
  
• Профилактика от атак ботов. Сегодня применения простых механизмов CAPTCHA уже недостаточно для устранения риска того, что веб-сканер, веб-скребок, веб-паук или любой другой тип нежелательного автоматизированного бота получит доступ к учетных данным участников. Операторам следует рассмотреть возможности применения технологии Honeypot, черных списков IP-адресов, регулярного изменения исходного кода веб-страниц и отслеживания журналов веб-сервера на предмет любых подозрительных действий.
  

По оценкам компании Ai Group, Inc, 80% случаев мошенничества в программах лояльности обнаруживается случайно. Поэтому операторам, в дополнении ко всем вышеперечисленным мерам, крайне важно отслеживать ключевые показатели программы лояльности, такие как регистрация, начисление и списание баллов, распределение участников по уровням и регулярная сверка баланса с партнерами. Обнаружение необычного пика или отклонения должно за собой потянуть расследовании, чтобы исключить мошенничество. Отслеживать аномалии относительно просто на уровне всей программы, но довольно сложно или даже невозможно это делать вручную на уровне отдельных участников. Именно для таких целей компания Comarch использует искусственный интеллект и разрабатывает алгоритмы машинного обучения, поскольку они способны обрабатывать огромные объемы данных в режиме реального времени, выявлять и предотвращать действия мошенников.

* * *

Пытаясь максимально обезопаситься от мошенничества, не стоит забывать, что 99% ваших клиентов честно копят баллы. Если вы установите жесткие правила и проверки, вы будете чаще ловить мошенников, но вы также рискуете создать неудобство и бюрократию для честных и лояльных клиентов. Поэтому сохраняйте спокойствие и будьте лояльны к своим клиентам!

Людмила Москаль,
Консультант в области автоматизации программ лояльности
Comarch