Как хакеры атакуют программы лояльности и чем это грозит бизнесу и его клиентам

Беспечность — главный бонус для злоумышленников 

Банки и финансовые организации совершенствуют средства защиты — тем более, что их активно стимулируют регуляторы. Пользователи тоже стремятся обеспечить конфиденциальность данных, из-за возможной утечки которых они могут лишиться собственных средств. «Спасибо» «службе безопасности» банка, — ее активные сотрудники постоянно напоминают о ценности пользовательской информации. 

Аккаунты в системах программ лояльности такого пристального внимания не вызывают. Они мало ассоциируются с платежными системами и финансовыми сервисами, бонусные баллы и дисконтные предложения не имеют (да и не могут иметь) в глазах пользователей той же ценности, что и «живые» деньги.

Завести аккаунт в программе лояльности ритейла обычно проще, чем в банковском приложении, для этого требуется меньше этапов верификации — это облегчает доступ к системе как людям, так и ботам. На этом фоне интерес киберпреступников к программам лояльности не случаен.

Мошенники в погоне за лояльностью

«Живые» деньги имеют к программам лояльности опосредованное отношение. Персональные скидки, бонусные баллы или мили еще нужно монетизировать. Тем не менее стоимость этих активов весьма высока. Их совокупную стоимость оценить непросто, но представление о ней могут дать, к примеру, данные крупнейших банков, которые в рамках бонусных программ начислили своим клиентам более 140 млрд рублей.

Программа лояльности группы «М.Видео-Эльдорадо» насчитывает более 100 млн участников, которые оплачивают бонусами примерно 10% стоимости своих покупок. В 2022 году в Wildberries в скидки для своих покупателей инвестировали 249 млрд — на 38% больше, чем годом ранее. 

Читайте по теме: Базы данных компаний все чаще воруют. Вот конкретные действия, которые помогут этого избежать

И все эти цифры четко говорят о том, что стоимость бонусов, которые находятся «на руках» у участников программ лояльности, весьма велика. А значит, и сами бонусы стали лакомым куском для цифровых мошенников. Более того, бонусные баллы открыто продаются и покупаются за весьма высокий процент от их номинальной стоимости — а это говорит о том, что развиваются схемы их обналичивания. 

Еще одна цель хакеров, атакующих программы лояльности, — кража данных. Вместе с доступом к данным участников программ лояльности хакеры получают верифицированную информацию:

• номера телефонов,
• адреса электронной почты,
• список покупок, который позволяет оценить состоятельность «клиента»,
• информацию об используемых способах оплаты.

Все эти данные могут использоваться в дальнейшем. 

Так, заметные всплески активности хакеров отмечаются во время проведения акций и распродаж (таких, к примеру, как «Черная пятница» или «Киберпонедельник»). В этом случае преступники стремятся:

1. Сорвать саму акцию;
2. Нанести ущерб имиджу ритейлера;
3. Заполнить программу лояльности «мусорными аккаунтами»;
4. Дискредитировать маркетинговые данные, которые используются для анализа эффективности продаж;
5. Потребовать выкуп за прекращение нападения.

Наконец, может преследоваться и такая цель, как парсинг контента — то есть кража содержания сайта интернет-магазина или маркетплейса.

Ботов много не бывает

Основное оружие хакеров — боты, с помощью которых злоумышленники создают паразитную активность на веб-ресурсах жертв. Часто ими оперируют независимые «игроки», держащие свою небольшую бот-ферму.

Проблема в том, что таких мелких игроков десятки тысяч, и они активно конкурируют за собираемые данные. К примеру, по нашим данным, в ноябре прошлого года в сфере онлайн-ритейла ежедневное количество обращений ботов достигало 300 тысяч в час. Для сравнения:месяцем ранее этот поток не превышал 10 тысяч.

Читайте по теме: Аналитики назвали топ-5 угроз кибербезопасности для бизнеса в 2023 году

Тогда же в ноябре произошла крупнейшая бот-атака на аптечные онлайн-сети: на пике трафик, генерируемый ботами, достигал 700-750 запросов в секунду — это на 400-800% больше, чем обычная нагрузка на сайты таких сетей. Последствия для бизнеса пострадавшей компании — потеря покупателей, которым не составляет труда просто перейти на другую работоспособную здесь и сейчас площадку. 

Есть и другие боты. Кражей пользовательских данных занимаются боты-брутфорсеры, которые подбирают ключи к пользовательским аккаунтам путем перебора.

Эти данные впоследствии могут быть перепроданы в даркнете сторонним мошенникам и использованы для проведения мошеннических действий с другими аккаунтами тех же пользователей — в других системах лояльности или банковских приложениях.

Читайте по теме: Вас взломали: признаки хакерской атаки и меры защиты

«Скраперы» (или «скребки») занимаются сбором размещенного на сайтах магазинов контента:

• фотографий товара,
• описаний,
• видео.

И дело даже не в том, что такие боты создают дополнительную нагрузку на сайт — собранный контент может быть использован в последующем для создания фишинговых сайтов, предназначенных для выманивая и последующей кражи пользовательских данных.

Боты-скальперы предназначены для вредительства иного рода. Они массово регистрируют аккаунты в системах лояльности и ждут своего часа. Он наступит в период распродажи, локальной или тотальной.

В этот момент скальперы начнут заказывать акционный товар. Торговая площадка, конечно, в итоге не отгрузит «недопроданный» товар, но во время проведения акции он станет недоступным для обычных покупателей, поскольку будет зарезервирован торговой системой.

Результат:

1. Сорванная акция;
2. Напрасно потраченный маркетинговый бюджет;
3. Нераспроданные остатки;
4. Загруженный склад;
5. Перегруженная жалобами служба поддержки;
6. Недостоверная аналитика продаж;
7. Потеря рейтинга в поисковых системах;
8. Недовольные покупатели, чувствующие себя обманутыми. 

Как определить атаку

Любые аномальные изменения активности на сайте программы лояльности — повод для усиленного беспокойства ее оператора. Активность ботов всегда значительно выше, чем активность легитимных пользователей — многие пользовательские аккаунты используются несколько раз в год, во время распродаж или сезонных всплесков спроса на отдельные товарные категории.

Поэтому любая аномалия может свидетельствовать об активности бот-сетей и стать поводом для проверки настроек систем безопасности и проведении фильтрации трафика (если по каким-то причинам компания не использует такие инструменты защиты). 

Читайте по теме: Вы ошибаетесь, если думаете, что вас это не касается. Пять выводов, которые я сделал после DDoS-атак

В качестве примера расскажем, как развивалась бот-атака на одного из онлайн-ритейлеров осенью прошлого года, когда компания (а вместе с ней и хакеры) готовилась к «Черному понедельнику».

Итак, в конце октября начались ежедневные атаки брутфорсеров на логины личных кабинетов пользователей. Начиная с 6 ноября, они распространились и на другие сервисы ритейлера — товарный каталог и корзину покупателя.

Анализ трафика показал, что посещаемость сайта магазина легитимными пользователями с октября возросла примерно на 10% — это легко объяснимо развивающимся ажиотажем перед «Черным понедельником». Но средняя активность ботов в этот же период возросла в 30 раз.

Именно такой рост объемов трафика и стал основным признаком атаки, которую готовили хакеры к периоду ноябрьских распродаж.

Как защищаться

Использовать технологии дополнительной аутентификации при совершении транзакций с баллами 

Самый распространенный способ — отправка одноразового пароля по SMS. Это позволит существенно снизить риски мошенничества с транзакциями пользователей. Однако следует учитывать, что использование SMS-аутентификации повлечет за собой и серьезные дополнительные расходы для ритейлера. 

Если есть возможность использования push-уведомлений для двухфакторной аутентификации, выбирайте его.

Этот способ будет более безопасным, чем SMS, так как боты умеют атаковать SMS-шлюзы запросами и наносить серьезный ущерб бюджету компании — не говоря уже о дополнительных рисках для самих пользователей вроде мошенничества при помощи SMS.

Альтернативным способом в случае списания крупной суммы баллов или проведения операции из нестандартной для пользователя локации может стать использование биометрических данных для подтверждения проведения транзакции.

Знать базовые показатели покупательской активности и анализировать отклонения от нормы

Как показывает опыт, при проведении атаки на программы лояльности в разы увеличивается число нестандартных операций.

Читайте также: «Средний размер выкупа — $247 000». Киберкриминалист — о мотивации хакеров и атаках на российские компании

При понимании паттернов стандартного поведения пользователя (частота заказов, их сумма) можно легко выявить нелегитимное поведение, чаще всего относящееся к активности ботов.

Заботиться о пользователях

Повышайте информированность пользователей: напоминайте им о регулярной смене паролей, использовании двухфакторной аутентификации и регулярной проверке входа в учетную запись через свои устройства.

Это дополнительно поможет повысить общий уровень безопасности, снизив нелегитимную активность ботов на сайте и ущерб от них для бизнеса.