Мошейники заинтересовались бонусами россиян в магазинах - количество попыток списать баллы из личных кабинетов на сайтах в 2019 году увеличилось в разы и достигло нескольких тысяч в месяц. Об этом "Известиям" рассказал эксперт компании "Инфосистемы Джет" Алексей Сизов, информацию подтвердили в "Деловой России" и торговой сети "Магнит". Злоумышленники активизировались из-за развития цифровых покупок и переориентации систем лояльности от карт с фиксированными скидками к накоплению бонусов с их последующей тратой. В итоге доверие клиентов к таким опциям снижается, а розничные сети недосчитываются не менее 2-3 млн рублей ежемесячно.
В прошлом году число попыток нелегитимно воспользоваться скидочными бонусами россиян в отдельных компаниях достигло нескольких тысяч в месяц. С проблемой столкнулись телеком-операторы, транспортные организации и крупные розничные сети. Об этом "Известиям" рассказал начальник отдела по противодействию мошенничеству Центра прикладных систем безопасности компании "Инфосистемы Джет" Алексей Сизов.
- В одном из вариантов злоумышленник получает доступ к личному кабинету клиента, а затем расплачивается его бонусами за свои покупки, - пояснил Алексей Сизов механизм обмана.
Ещё один вариант обмана - мошенник регистрирует личный кабинет на карту, выданную другому человеку. Гражданин даже не будет знать о существовании своего онлайн-профиля и продолжит накапливать баллы, физически прикладывая карту. При этом злоумышленник будет списывать бонусы в личном кабинете.
Алексей Сизов добавил, что бонусные баллы в основном крадут не организованные преступные группировки, а начинающие мошенники: частные лица, которыми могут быть даже студенты первых курсов.
Интерес злоумышленников оправдан: программы лояльности в денежном эквиваленте оцениваются примерно в 50 млрд рублей по 30 крупнейшим ритейлерам, посчитал Алексей Сизов. Он подчеркнул, что накопленные баллы можно легко монетизировать - во многих магазинах ими можно оплатить от 30 до 50% покупки, подчеркнул эксперт.
Проблема с кражей бонусов и скидок действительно остро встала в 2019 году - количество таких атак увеличилось в разы, подтвердил "Известиям" председатель комитета по торговле "Деловой России" Алексей Фёдоров. Он отметил, что часто под прицел мошенников попадают автозаправочные станции, которые ежемесячно недополучают прибыль в 2-3 млн рублей из-за неправомерно списанных льгот.
- Зачастую баллы крадут сами сотрудники магазинов или колл-центров, которые имеют доступ к информации о программах лояльности. Если клиент долгое время не пользуется накопленными бонусами, то продавец может незаметно для пользователя и магазина забрать их в счёт собственной покупки, - пояснил Алексей Фёдоров.
Проблему видят и в торговой сети "Магнит", сообщили "Известиям" в пресс-службе ритейлера. Там подчеркнули, что ущерб от действий мошенников в большей степени имиджевый, поскольку покупатели теряют доверие и разочаровываются в программе лояльности.
"Известия" также спросили крупнейших сотовых операторов, авиаперевозчиков, представителей автозаправочных станций, сталкивались ли они с кражей бонусных баллов своих клиентов.
ОТ КАРТ К КАБИНЕТАМ
Во втором полугодии 2019 года количество мошенничеств с бонусными программами увеличилось в полтора раза по сравнению с первыми шестью месяцами, оценил для "Известий" руководитель направления Kaspersky Fraud Prevention Максим Федюшкин. По его словам, это связано с увеличением конкуренции среди ритейлеров, ростом объёма онлайн-покупок и переходом программ лояльности в цифровой формат. Кроме того, играет роль безответственное отношение самих клиентов: лишь 20% из них помнят, имеют ли они право на льготы и в каком объёме, поэтому мошенники безнаказанно и незаметно их крадут.
Причина обострения проблемы в том, что ритейлеры массово переходят от скидочных систем к программам накопления бонусов, считает Алексей Фёдоров из "Деловой России". Он добавил, что клиенты также всё активнее пользуются именно онлайн-кабинетами, а не физическими картами лояльности.
В отличие от банковских сервисов, программы лояльности обычно слабо защищены, а мониторинг совершаемых по ним операций не проводится, знает Алексей Сизов из "Инфосисте-мы Джет". Он добавил, что в этой сфере нет регулятора, который регламентировал бы порядок защиты, как это делает, например, Центробанк в финансовой отрасли.
Зачастую посетители онлайн-магазинов применяют одинаковые пароли для десятков учётных записей или используют слишком простые коды, которые можно подобрать, отметили в Ozon. Тогда злоумышленнику легко попасть в личный кабинет.
Мошенник может это сделать и с помощью продаваемых в интернете баз данных с личной информацией о клиентах магазинов, предположил технический директор DeviceLock Ашот Оганесян. Он рассказал, что только в прошлом году в открытом доступе или в продаже на хакерских форумах оказалось несколько баз данных с информацией о покупателях и их приобретениях объёмом несколько миллионов записей. В некоторых из них присутствовали пары логин-пароль для входа в личные кабинеты, подчеркнул Ашот Оганесян.
В Роскомнадзоре "Известиям" сообщили, что мошенничество в интернете находится вне зоны компетенции службы, а бонусы - это не персональные данные.
Представители ритейла заявили "Известиям", что уже озаботились проблемой кражи скидочных баллов. Для защиты от таких мошенничеств продавцы вводят двухфакторную идентификацию - списание бонусов теперь необходимо подтверждать кодом из CMC по аналогии с банковскими операциями. Об этом "Известиям" рассказали в "Деловой России" и подтвердили в торговых сетях "Магнит", "Максидом", "Связной", Ozon, "М.Видео", Wildberries.
В "Магните" добавили, что пришлось вводить CVC-коды для карт лояльности, чтобы их было невозможно зарегистрировать на другого человека. В "МегаФоне" "Известиям" сообщили, что постоянно совершенствуют защиту личного кабинета клиентов.