Лояльные мошенники: как ритейлеру обезопасить программу лояльности от мошенничества

Согласно отчету CyberSource (дочерней компании Visa), за последнее время 90% из 120 опрошенных компаний, управляющих программами лояльности, сталкивались с мошенничеством. Из них 84% назвали эту проблему значимой или очень существенной.

Читати українською

По мере роста популярности программ лояльности растет и число случаев мошенничества. Как снизить риски и обезопасить свои программы лояльности, рассказали специалисты компании Comarch в колонке на ресурсе New Retail. RAU приводит адаптированную версию материала.

Категории мошенничества

Из года в год схемы мошенничества в программах лояльности становятся все более изощренными, из-за чего все труднее их обнаруживать. По мнению специалистов, занимающихся внедрением CRM-систем и управлением программами лояльности, в общем эти схемы можно разделить на следующие категории:

• мошенничество персонала;
• мошенничество участников;
• кибермошенничество, когда мошенники пытаются завладеть учетными записями участников программы.

Мошенничество персонала

Согласно результатам исследования, компании Checkpoint Systems в 11 странах Европы, потери от краж составляют 2,05% от ежегодного оборота сектора ритейла. Причем половина этих потерь – воровство сотрудников. Кассиры часто используют собственные карты, когда покупатели не предъявляют свои, или умудряются даже подменять карту клиента на собственную.

Так сотрудница лондонского luxery-универмага Harrods была признана виновной в мошенничестве в рамках программы лояльности. За три года она сумела накопить 850 000 баллов (эквивалентно 280 000 фунтов стерлингов), сканируя собственную карту вместо карт клиентов. Мошенничество удалось случайно обнаружить, когда менеджер магазина обратил внимание на большой баланс баллов на счету участника, чье имя было очень похоже на имя этой сотрудницы.

Самый простой, но действенный метод борьбы с этим видом мошенничества — ограничение максимального количества операций по карте/счету в день. Кроме этого, возможна лимитация количества баллов, начисленных в рамках одной транзакции, максимальное количество карт, привязанных к одной учетной записи и т. д. Чтобы не ошибиться в пределах ограничений, лучше изучить историю транзакций за предыдущий год, а затем установить лимит, который составит 110-115% этого значения.

Лимит по количеству операций позволяет бороться также с махинаторами из контакт-центра или бек-офиса компании, имеющих прямой доступ к счетам участников. Они могут вручную корректировать баланс, начисляя на свой счет или счет знакомого фиктивные баллы, переводить баллы со счетов реальных клиентов на свои или объединять счета клиентов со своими и списывать все баллы.

Еще одна полезная практика – применение принципа «четырех глаз», когда действия с повышенным риском, такие как ручная корректировка баланса баллов сверх установленного лимита, слияние учетных записей и перевод баллов с одного счета на другой, требуют подтверждения не только со стороны рядового сотрудника контакт-центра, но и его супервайзера.

Мошенничество клиентов

Для борьбы с мошенничеством клиентов часто используется ограничение количества карт для одного участника. Но на деле это не так просто реализовать, как кажется. Например, можно определить параметр, который будет служить уникальным идентификатором клиента — адрес электронной почты или номер телефона, и заблокировать возможность регистрации новых карт/счетов с аналогичными данными.

Но если у ритейлера партнерская программа с банком, то такой запрет может повлечь проблемы при регистрации ко-бренд карты уже зарегистрированным участником. Потому перед запуском таких ограничений стоит изучить их влияние на все бизнес-процессы программы лояльности, чтобы потом у добросовестных участников не возникали трудности.

Верификация данных и ограничение операций по анонимным счетам (счета незарегистрированных участников) — два главных метода работы такой системы. Например, достоверность номеров телефонов можно проверять с помощью смс-кодов. Если в программе разрешены анонимные счета, для них лучше настроить отдельные ограничения. Например, запретить списание баллов или перевод баллов со счета на счет, а также установить более короткий срок обналичивания баллов.

Счета клиентов, где обнаружены факты мошенничества, блокируются, а их имена заносят в черный список, чтобы не дать повторно зарегистрироваться. Кроме персональных данных клиентов, в черный список нужно заносить и IP-адрес или физический адрес устройства, используемого для регистрации.

Использование «лазеек» в программе

Нередко клиенты находят лазейки и пробелы в правилах программы лояльности, что позволяет им получать дополнительную выгоду. Например, в рамках программы лояльности Starbucks позволяет клиенту получить бесплатный напиток в день рождения или после накопления 12 звезд. Один из клиентов воспользовался свободной интерпретацией правил программы, чтобы создать свой напиток-монстр за $54. Напиток включал 60 порций эспрессо, протеиновый порошок и ароматизированный сироп. Гигантский фраппучино был затем помещен в стеклянную вазу и был на 100% бесплатным. Теперь правила программы гласят: «Применяются ограничения – только стандартные размеры меню Starbucks».

Starbucks потерял всего $54, тогда как Healthy Choice, американскому производителю замороженных продуктов, небрежность стоила $25 000. Компания предложила своим потребителям заработать 1000 миль на авиаперелеты за каждые 10 штрих-кодов купленных пудингов. Один из клиентов подсчитал, что стоимость призовых миль превышает цену покупки пудингов. Он скупил 12 000 маленьких порций пудинга за $3140 (по 25 центов за штуку). Чтобы снять все штрих-коды вовремя, инженер привлек свою жену и детей, а также представителей благотворительной организации в обмен на пожертвования пудингов, и сумел заработать 1,2 млн миль. Запуская акцию, Healthy Choice не до конца просчитал все варианты обмена между стоимостью покупки и суммой вознаграждения, в результате чего не ограничил размер порций пудинга, и как следствие акция обошлась дороже, чем рассчитывали.

Чаще всего клиенты проводят махинации с возвратом товаров, за покупку которых оператор начисляет баллы. Предотвратить это можно, отсрочив активацию баллов для списания на период, в течение которого клиент вправе вернуть товар. Либо спланировать все возможные сценарии, включая крайние случаи. Например, что должно произойти, если участник получил 100 баллов за покупку, потратил из них 80 баллов, а затем решил вернуть купленный товар? Должна ли система учитывать отрицательный баланс баллов? Если да, то должна ли быть нижняя граница?

Кибермошенничество

В 2017 году ущерб операторов программ лояльности от кибератак во всем мире составил $2,3 млрд. На черном рынке Dark Web США идентификаторы лояльности теперь продаются даже дороже, чем номера социального страхования. Кибермошенничество не имеет границ, потому злоумышленники взламывают счета участников программ лояльности, а потом продают их через форумы, а «покупатели» используют накопленные бонусы для оплаты товаров.

Поэтому операторы программ лояльности все больше времени и денег тратят на безопасность конечных точек доступа пользователей: интернет-сайт и мобильное приложение, приложения для администраторов системы и для контакт-центра (веб- или настольные), а также системы для отчетности или бизнес-аналитики.

Могут применяться следующие меры:

• Проверка подлинности участника или пользователя. Наряду с обычными паролями все чаще применяется двухфакторная аутентификация (2FA) или одноразовые пароли (OTP) для доступа к инфосистеме лояльности и к таким операциям, как списание баллов. Это также снижает риск кражи учетных записей.
• Регулярные проверки безопасности, предпочтительно со стороны сторонней организации. Это необходимо в силу развития технического прогресса и появления новых уязвимостей.
• Профилактика от атак ботов. Применения простых механизмов CAPTCHA уже недостаточно для устранения риска того, что веб-сканер, веб-скребок, веб-паук или любой другой тип нежелательного автоматизированного бота получит доступ к учетных данным участников. Операторам следует рассмотреть возможности применения технологии Honeypot, черных списков IP-адресов, регулярного изменения исходного кода веб-страниц и отслеживания журналов веб-сервера на предмет любых подозрительных действий.

Поводы для беспокойства

По оценкам компании Ai Group, Inc, 80% случаев мошенничества в программах лояльности обнаруживается случайно. Поэтому крайне важно также отслеживать ключевые показатели программы лояльности, такие как регистрация, начисление и списание баллов, распределение участников по уровням и регулярная сверка баланса с партнерами.

Обнаружение необычного пика или отклонения — причина для проведения расследования, чтобы исключить мошенничество.

Источник New Retail

Читайте также —

Мошенники онлайн: новые способы обмануть потребителя — исследование Forter