Лояльні шахраї: як рітейлеру убезпечити програму лояльності від шахрайства

Згідно зі звітом CyberSource (дочірньої компанії Visa), за останній час 90% зі 120 опитаних компаній, керуючих програмами лояльності, стикалися з шахрайством. З них 84% назвали цю проблему значимою або дуже суттєвою.

Цей матеріал доступний російською мовою

У міру зростання популярності програм лояльності зростає і число випадків шахрайства. Як знизити ризики й убезпечити свої програми лояльності, розповіли фахівці компанії Comarch у колонці на ресурсі New Retail. RAU приводить адаптовану версію матеріалу.

Категорії шахрайства

З року в рік схеми шахрайства в програмах лояльності стають все більш витонченими, через що все важче їх виявляти. На думку фахівців, що займаються впровадженням CRM-систем і управлінням програмами лояльності, загалом ці схеми можна розділити на наступні категорії:

• шахрайство персоналу;
• шахрайство учасників;
• кібершахрайство, коли шахраї намагаються заволодіти обліковими записами учасників програми.

Шахрайство персоналу

Згідно з результатами дослідження, компанії Checkpoint Systems в 11 країнах Європи, втрати від крадіжок становлять 2,05% від щорічного обороту сектора рітейлу. Причому половина цих втрат – крадіжки співробітників. Касири часто використовують власні карти, коли покупці не пред’являють свої, або примудряються навіть підміняти карту клієнта на власну.

Так співробітниця лондонського luxery-універмагу Harrods була визнана винною в шахрайстві в рамках програми лояльності. За три роки вона зуміла накопичити 850 000 балів (еквівалентно 280 000 фунтів стерлінгів), скануючи власну карту замість карт клієнтів. Шахрайство вдалося випадково виявити, коли менеджер магазину звернув увагу на великий баланс балів на рахунку учасника, чиє ім’я було дуже схоже на ім’я цієї співробітниці.

Найпростіший, але дієвий метод боротьби з цим видом шахрайства – обмеження максимальної кількості операцій за карткою/рахунком в день. Крім цього, можливе лімітування кількості балів, нарахованих в рамках однієї транзакції, максимальна кількість карт, прив’язаних до одного облікового запису і т. д. Щоб не помилитися в межах лімітів, краще вивчити історію транзакцій за попередній рік, а потім встановити ліміт, який складе 110-115% цього значення.

Ліміт за кількістю операцій дозволяє боротися також з махінаторами з контакт-центру або бек-офісу компанії, що мають прямий доступ до рахунків учасників. Вони можуть вручну коригувати баланс, нараховуючи на свій рахунок або рахунок знайомого фіктивні бали, переводити бали з рахунків реальних клієнтів на свої або об’єднувати рахунки клієнтів зі своїми і списувати всі бали.

Ще одна корисна практика – застосування принципу «чотирьох очей», коли дії з підвищеним ризиком, такі як ручне коректування балансу балів понад установлений ліміт, злиття облікових записів і переведення балів з одного рахунку на інший, вимагають підтвердження не тільки з боку рядового співробітника контакт- центру, а й його супервайзера.

Шахрайство клієнтів

Для боротьби з шахрайством клієнтів часто використовується обмеження кількості карт для одного учасника. Але на ділі це не так просто реалізувати, як здається. Наприклад, можна визначити параметр, який буде служити унікальним ідентифікатором клієнта – адреса електронної пошти або номер телефону, і заблокувати можливість реєстрації нових карт/рахунків з аналогічними даними.

Але якщо у рітейлера партнерська програма з банком, то така заборона може спричинити проблеми при реєстрації ко-бренд карти вже зареєстрованим учасником. Тому перед запуском таких обмежень варто вивчити їх вплив на всі бізнес-процеси програми лояльності, щоб потім у сумлінних учасників не виникали труднощі.

Верифікація даних і обмеження операцій за анонімними рахунками (рахунки незареєстрованих учасників) – два основних способи роботи такої системи. Наприклад, достовірність номерів телефонів можна перевіряти за допомогою смс-кодів. Якщо в програмі дозволені анонімні рахунки, для них краще налаштувати окремі обмеження. Наприклад, заборонити списання балів або переведення балів з рахунку на рахунок, а також встановити більш короткий термін переведення в готівку балів.

Рахунки клієнтів, де виявлені факти шахрайства, блокуються, а їх імена заносять у чорний список, щоб не дати повторно зареєструватися. Крім персональних даних клієнтів, в чорний список потрібно заносити й IP-адресу або фізичну адресу пристрою, що використовується для реєстрації.

Використання “лазівок” в програмі

Нерідко клієнти знаходять лазівки і прогалини в правилах програми лояльності, що дозволяє їм отримувати додаткову вигоду. Наприклад, в рамках програми лояльності Starbucks дозволяє клієнту отримати безкоштовний напій в день народження або після накопичення 12 зірок. Один з клієнтів скористався вільною інтерпретацією правил програми, щоб створити свій напій-монстр за $54. Напій включав 60 порцій еспрессо, протеїновий порошок і ароматизований сироп. Гігантський фрапучіно був потім поміщений в скляну вазу і був на 100% безкоштовним. Тепер правила програми зазначають: «Застосовуються обмеження – тільки стандартні розміри меню Starbucks».

Starbucks втратив всього $54, тоді як Healthy Choice, американському виробникові заморожених продуктів, недбалість коштувала $25 000. Компанія запропонувала своїм споживачам заробити 1000 миль на авіаперельоти за кожні 10 штрих-кодів куплених пудингів. Один з клієнтів підрахував, що вартість призових миль перевищує ціну покупки пудингів. Він скупив 12 000 маленьких порцій пудингу за $3140 (по 25 центів за штуку). Щоб зняти всі штрих-коди вчасно, інженер залучив свою дружину і дітей, а також представників благодійної організації в обмін на пожертвування пудингів, і зумів заробити 1,2 млн миль. Запускаючи акцію, Healthy Choice не до кінця прорахував всі варіанти обміну між вартістю покупки і сумою винагороди, в результаті чого не обмежив розмір порцій пудингу, і як наслідок акція обійшлася дорожче, ніж розраховували.

Найчастіше клієнти проводять махінації з поверненням товарів, за покупку яких оператор нараховує бали. Запобігти цьому можна, відтермінувавши активацію балів для списання на період, протягом якого клієнт має право повернути товар. Або спланувати всі можливі сценарії, включаючи крайні випадки. Наприклад, що має статися, якщо учасник отримав 100 балів за покупку, витратив з них 80 балів, а потім вирішив повернути куплений товар? Чи повинна система враховувати негативний баланс балів? Якщо так, то чи повинна бути нижня межа?

Кібершахрайство

У 2017 році збитки операторів програм лояльності від кібератак в усьому світі склав $2,3 млрд. На чорному ринку Dark Web США ідентифікатори лояльності тепер продаються навіть дорожче, ніж номери соціального страхування. Кібершахрайство не має кордонів, тому зловмисники зламують рахунки учасників програм лояльності, а потім продають їх через форуми, а «покупці» використовують накопичені бонуси для оплати товарів.

Тому оператори програм лояльності все більше часу і грошей витрачають на безпеку кінцевих точок доступу користувачів: інтернет-сайт і мобільний додаток, додатки для адміністраторів системи і для контакт-центру (веб- або настільні), а також системи для звітності або бізнес-аналітики.

Можуть застосовуватися такі заходи:

• Перевірка справжності учасника або користувача. Поряд зі звичайними паролями все частіше застосовується двухфакторная аутентифікація (2FA) або одноразові паролі (OTP) для доступу до інформаційної системи лояльності і до таких операцій, як списання балів. Це також знижує ризик крадіжки облікових записів.
• Регулярні перевірки безпеки, краще з боку сторонньої організації. Це необхідно в силу розвитку технічного прогресу і появи нових вразливостей.
• Профілактика від атак ботів. Застосування простих механізмів CAPTCHA вже недостатньо для усунення ризику того, що веб-сканер, веб-скребок, веб-павук або будь-який інший тип небажаного автоматизованого бота отримає доступ до облікових даних учасників. Операторам слід розглянути можливість застосування технології Honeypot, чорних списків IP-адрес, регулярної зміни вихідного коду веб-сторінок і відстеження журналів веб-сервера на предмет будь-яких підозрілих дій.

Приводи для занепокоєння

За оцінками компанії Ai Group, Inc, 80% випадків шахрайства в програмах лояльності виявляється випадково. Тому вкрай важливо також відстежувати ключові показники програми лояльності, такі як реєстрація, нарахування та списання балів, розподіл учасників по рівнях і регулярна звірка балансу з партнерами.

Виявлення незвичайного піку або відхилення – причина для проведення розслідування, щоб виключити шахрайство.

Джерело New Retail

Читайте також –

Шахраї онлайн: нові способи обдурити споживача – дослідження Forter