Авторские материалы Вы копите, мошенники тратят: как защитить свои баллы на «картах лояльности»

Новый вид кражи – присвоение бонусов покупателей. Мошенники уже увели с "карт лояльности" россиян миллионы миль, баллов и других поощрительных призов, которые можно монетизировать. Как это происходит и есть ли защита от такого «тихого» грабежа, узнала Марина Костюкевич.

Баллы вместо скидок: чем больше тратите – тем больше бонусов на карте. Ими впоследствии можно и расплатиться. Такую схему используют очень многие магазины. Выгодно обеим сторонам: магазин привлекает к себе клиентов, покупатель – экономит. Но в какой-то момент в этом тандеме появился третий лишний. Интернет-мошенники стали присваивать себе бонусы. Количество попыток списать баллы только в прошлом году достигло нескольких тысяч в месяц. Захват происходит, как правило, через личный кабинет, рассказывает начальник отдела по противодействию мошенничеству компании «Инфосистемы Джет» Алексей Сизов.

СИЗОВ: Пароли доступа к личному кабинету, идентификаторы чаще всего совпадают с почтовыми, а самое главное – между собой. И поэтому компрометация одной программы лояльности потенциально приводит к тому, что злоумышленники получают доступ ко всем. Это – основной механизм получить логин-пароль: либо вследствие того, что та или иная база была вскрыта, либо при помощи социальной инженерии выманить логин-пароль и получить доступ к личному кабинету.

Есть и другой способ: мошенник регистрирует личный кабинет на карту, выданную добросовестному покупателю. Последний даже не будет знать о существовании своего онлайн-профиля и продолжит накапливать баллы, физически прикладывая карту. А списывать их будет злоумышленник, продолжает Алексей Сизов.

СИЗОВ: Большинство программ лояльности сегодня имеют 2 степени регистрации. То есть человек оформляет такую программу и имеет возможность накапливать бонусные баллы за покупки, услуги, товары. И когда он хочет расплатиться баллами, которые он накопил, его просят пройти усиленную идентификацию, привязать свой номер телефона или еще какой-то идентификатор. К сожалению, очень часто люди регистрируются, начинают накапливать баллы, но не проходят второй уровень. Злоумышленники этим пользуются и пытаются под видом того или иного клиента зарегистрировать на себя его программу и воспользоваться баллами.

Интерес злоумышленников оправдан: программы лояльности в денежном эквиваленте оцениваются примерно в 50 миллиардов рублей только по 30 крупнейшим ретейлерам. Накопленные баллы можно легко монетизировать. Во многих магазинах ими можно оплатить от 30 до 50% покупки. А, например, в некоторых авиакомпаниях бонусами можно оплатить до 80% стоимости билета.

Чаще всего под прицел воришек попадают транспортные компании, автозаправочные станции, магазины модной одежды и аксессуаров, крупные розничные сети. Из-за неправомерно списанных льгот компании могут ежемесячно недополучать прибыль в 2 – 3 миллионов рублей. Является ли это нарушением прав потребителей? Вряд ли, рассуждает адвокат, член коллегии адвокатов «Люди дела» Алишер Захидов. А вот незаконным обогащением – да. И это должно преследоваться по закону.

ЗАХИДОВ: Материальное положение потребителя не ухудшается. Нет здесь нарушения закона о защите прав потребителя. Есть снижение привлекательности того или иного бренда, того или иного продавца, который нарушает свои же правила работы с покупателем, то есть свою же клиентскую политику. Вопрос воровства – это, скорее, вопрос незаконного обогащения и уголовного преследования со стороны правоохранительных органов. Потому что, конечно же, когда воруют баллы и их монетизируют, есть признаки кражи.

В результате добросовестный покупатель лишается законно полученных дивидендов, а магазин – покупателей. Потому что доверие клиентов к таким опциям снижается. А значит, подрывается и доверие к продавцу.

В чем уязвимость системы? В отличие от банковских сервисов, программы лояльности обычно слабо защищены. Карты не именные, не кодированы. Бонусы – это не персональные данные. Продавцам самим приходится работать на упреждение атак. Уже сейчас крупные сети для защиты своих "карт лояльности" вводят двухфакторную идентификацию. Списание бонусов теперь необходимо подтверждать кодом из СМС – по аналогии с банковскими операциями. А где-то даже пришлось вводить CVC-коды для "карт лояльности", чтобы их было невозможно зарегистрировать на другого человека.