Краткое описание:
Персональные скидки, бонусные баллы или мили еще нужно монетизировать. ... отмечаются во время проведения акций и распродаж (таких, к примеру, ...
Как хакеры атакуют программы лояльности и чем это грозит бизнесу и его клиентам (https://rb.ru).
![Как хакеры атакуют программы лояльности и чем это грозит бизнесу и его клиентам | Rusbase window.yaContextCb = window.yaContextCb || []; RB.RU EVENTS CHANCE DATA courses Закрыть Рубрики Новости Бизнес Технологии RB Talks Карьера Сервисы EVENTS CHANCE DATA courses RB.RU О Компании Реклама Подписка Написать в редакцию Все материалы Социальные сети Telegram Вконтакте Twitter Одноклассники Viber Pinterest Новости Бизнес Технологии RB Talks Карьера DeepFoodTech Поиск Меню-гамбургер Новости Бизнес Технологии RB Talks Карьера DeepFoodTech Поиск Продолжение сюжета от Новости СМИ2 Скопировать ссылку Колонки 12:56 26 апреля 2023 Как хакеры атакуют программы лояльности и чем это грозит бизнесу и его клиентам Колонки 12:56 26 апреля 2023 Георгий Тарасов Менеджер продукта Qrator Labs Анастасия Удальцова Мошенничество и атаки на программы лояльности — большая головная боль современных ритейлеров и золотая жила для злоумышленников. Кража данных, взлом пользовательских аккаунтов, охота за баллами, искажение бизнес-метрик и срыв маркетинговых кампаний — от таких действий бизнес теряет до 3 млн руб. ежемесячно. В 2021 жертвами мошенников стали 90% онлайн-магазинов. Георгий Тарасов, менеджер продукта Qrator Labs, рассказал, что делать, чтобы не попасть в этот список в 2023. Как хакеры атакуют программы лояльности и чем это грозит бизнесу и его клиентам Анастасия Удальцова Беспечность — главный бонус для злоумышленников Банки и финансовые организации совершенствуют средства защиты — тем более, что их активно стимулируют регуляторы. Пользователи тоже стремятся обеспечить конфиденциальность данных, из-за возможной утечки которых они могут лишиться собственных средств. «Спасибо» «службе безопасности» банка, — ее активные сотрудники постоянно напоминают о ценности пользовательской информации. RB.RU готовит большое обновление — и мы хотим учесть пожелания и интересы вас, наших читателей. Если вы готовы поделиться своим мнением об RB.RU, переходите по ссылке , чтобы заполнить короткую анкету. Аккаунты в системах программ лояльности такого пристального внимания не вызывают. Они мало ассоциируются с платежными системами и финансовыми сервисами, бонусные баллы и дисконтные предложения не имеют (да и не могут иметь) в глазах пользователей той же ценности, что и «живые» деньги. Завести аккаунт в программе лояльности ритейла обычно проще, чем в банковском приложении, для этого требуется меньше этапов верификации — это облегчает доступ к системе как людям, так и ботам. На этом фоне интерес киберпреступников к программам лояльности не случаен. Мошенники в погоне за лояльностью «Живые» деньги имеют к программам лояльности опосредованное отношение. Персональные скидки, бонусные баллы или мили еще нужно монетизировать. Тем не менее стоимость этих активов весьма высока. Их совокупную стоимость оценить непросто, но представление о ней могут дать, к примеру, данные крупнейших банков, которые в рамках бонусных программ начислили своим клиентам более 140 млрд рублей. Программа лояльности группы «М.Видео-Эльдорадо» насчитывает более 100 млн участников, которые оплачивают бонусами примерно 10% стоимости своих покупок. В 2022 году в Wildberries в скидки для своих покупателей инвестировали 249 млрд — на 38% больше, чем годом ранее. Читайте по теме: Базы данных компаний все чаще воруют. Вот конкретные действия, которые помогут этого избежать И все эти цифры четко говорят о том, что стоимость бонусов, которые находятся «на руках» у участников программ лояльности, весьма велика. А значит, и сами бонусы стали лакомым куском для цифровых мошенников. Более того, бонусные баллы открыто продаются и покупаются за весьма высокий процент от их номинальной стоимости — а это говорит о том, что развиваются схемы их обналичивания . Еще одна цель хакеров, атакующих программы лояльности, — кража данных. Вместе с доступом к данным участников программ лояльности хакеры получают верифицированную информацию: номера телефонов, адреса электронной почты, список покупок, который позволяет оценить состоятельность «клиента», информацию об используемых способах оплаты. Все эти данные могут использоваться в дальнейшем. Целью хакеров могут быть и не сами потребители или их данные, а бизнес компании-оператора программы лояльности. Так, заметные всплески активности хакеров отмечаются во время проведения акций и распродаж (таких, к примеру, как «Черная пятница» или «Киберпонедельник»). В этом случае преступники стремятся: Сорвать саму акцию; Нанести ущерб имиджу ритейлера; Заполнить программу лояльности «мусорными аккаунтами»; Дискредитировать маркетинговые данные, которые используются для анализа эффективности продаж; Потребовать выкуп за прекращение нападения. Наконец, может преследоваться и такая цель, как парсинг контента — то есть кража содержания сайта интернет-магазина или маркетплейса. Ботов много не бывает Основное оружие хакеров — боты , с помощью которых злоумышленники создают паразитную активность на веб-ресурсах жертв. Часто ими оперируют независимые «игроки», держащие свою небольшую бот-ферму. Проблема в том, что таких мелких игроков десятки тысяч, и они активно конкурируют за собираемые данные. К примеру, по нашим данным, в ноябре прошлого года в сфере онлайн-ритейла ежедневное количество обращений ботов достигало 300 тысяч в час. Для сравнения:месяцем ранее этот поток не превышал 10 тысяч. Читайте по теме: Аналитики назвали топ-5 угроз кибербезопасности для бизнеса в 2023 году Тогда же в ноябре произошла крупнейшая бот-атака на аптечные онлайн-сети: на пике трафик, генерируемый ботами, достигал 700-750 запросов в секунду — это на 400-800% больше, чем обычная нагрузка на сайты таких сетей. Последствия для бизнеса пострадавшей компании — потеря покупателей, которым не составляет труда просто перейти на другую работоспособную здесь и сейчас площадку. Есть и другие боты. Кражей пользовательских данных занимаются боты-брутфорсеры , которые подбирают ключи к пользовательским аккаунтам путем перебора. Эти данные впоследствии могут быть перепроданы в даркнете сторонним мошенникам и использованы для проведения мошеннических действий с другими аккаунтами тех же пользователей — в других системах лояльности или банковских приложениях. Читайте по теме: Вас взломали: признаки хакерской атаки и меры защиты «Скраперы» (или «скребки») занимаются сбором размещенного на сайтах магазинов контента: фотографий товара, описаний, видео. И дело даже не в том, что такие боты создают дополнительную нагрузку на сайт — собранный контент может быть использован в последующем для создания фишинговых сайтов, предназначенных для выманивая и последующей кражи пользовательских данных. Да и сам контент, потерявший уникальность, пострадавшей компании придется менять. Боты-скальперы предназначены для вредительства иного рода. Они массово регистрируют аккаунты в системах лояльности и ждут своего часа. Он наступит в период распродажи, локальной или тотальной. В этот момент скальперы начнут заказывать акционный товар. Торговая площадка, конечно, в итоге не отгрузит «недопроданный» товар, но во время проведения акции он станет недоступным для обычных покупателей, поскольку будет зарезервирован торговой системой. Результат: Сорванная акция; Напрасно потраченный маркетинговый бюджет; Нераспроданные остатки; Загруженный склад; Перегруженная жалобами служба поддержки; Недостоверная аналитика продаж; Потеря рейтинга в поисковых системах; Недовольные покупатели, чувствующие себя обманутыми. Как определить атаку Любые аномальные изменения активности на сайте программы лояльности — повод для усиленного беспокойства ее оператора. Активность ботов всегда значительно выше, чем активность легитимных пользователей — многие пользовательские аккаунты используются несколько раз в год, во время распродаж или сезонных всплесков спроса на отдельные товарные категории. Поэтому любая аномалия может свидетельствовать об активности бот-сетей и стать поводом для проверки настроек систем безопасности и проведении фильтрации трафика (если по каким-то причинам компания не использует такие инструменты защиты). Читайте по теме: Вы ошибаетесь, если думаете, что вас это не касается. Пять выводов, которые я сделал после DDoS-атак В качестве примера расскажем, как развивалась бот-атака на одного из онлайн-ритейлеров осенью прошлого года, когда компания (а вместе с ней и хакеры) готовилась к «Черному понедельнику». Итак, в конце октября начались ежедневные атаки брутфорсеров на логины личных кабинетов пользователей. Начиная с 6 ноября, они распространились и на другие сервисы ритейлера — товарный каталог и корзину покупателя. Интенсивность атак достигала 300 тысяч запросов в час. Анализ трафика показал, что посещаемость сайта магазина легитимными пользователями с октября возросла примерно на 10% — это легко объяснимо развивающимся ажиотажем перед «Черным понедельником». Но средняя активность ботов в этот же период возросла в 30 раз . Именно такой рост объемов трафика и стал основным признаком атаки, которую готовили хакеры к периоду ноябрьских распродаж. Как защищаться Использовать технологии дополнительной аутентификации при совершении транзакций с баллами Самый распространенный способ — отправка одноразового пароля по SMS . Это позволит существенно снизить риски мошенничества с транзакциями пользователей. Однако следует учитывать, что использование SMS-аутентификации повлечет за собой и серьезные дополнительные расходы для ритейлера. Если есть возможность использования push-уведомлений для двухфакторной аутентификации , выбирайте его. Этот способ будет более безопасным, чем SMS, так как боты умеют атаковать SMS-шлюзы запросами и наносить серьезный ущерб бюджету компании — не говоря уже о дополнительных рисках для самих пользователей вроде мошенничества при помощи SMS. Альтернативным способом в случае списания крупной суммы баллов или проведения операции из нестандартной для пользователя локации может стать использование биометрических данных для подтверждения проведения транзакции. Знать базовые показатели покупательской активности и анализировать отклонения от нормы Как показывает опыт, при проведении атаки на программы лояльности в разы увеличивается число нестандартных операций. Читайте также: «Средний размер выкупа — $247 000». Киберкриминалист — о мотивации хакеров и атаках на российские компании При понимании паттернов стандартного поведения пользователя (частота заказов, их сумма) можно легко выявить нелегитимное поведение, чаще всего относящееся к активности ботов. Заботиться о пользователях Повышайте информированность пользователей: напоминайте им о регулярной смене паролей, использовании двухфакторной аутентификации и регулярной проверке входа в учетную запись через свои устройства. Это дополнительно поможет повысить общий уровень безопасности, снизив нелегитимную активность ботов на сайте и ущерб от них для бизнеса. Фото на обложке сгенерировано нейросетью Midjourney Подписывайтесь на наш Telegram-канал , чтобы быть в курсе последних новостей и событий! Бизнес Клиенты Кибербезопасность Как защититься от мошенников Нашли опечатку? Выделите текст и нажмите Ctrl + Enter Материалы по теме 1 Как купить готовый бизнес и не совершить ошибок? 2 Информационная безопасность предприятия: угрозы и средства защиты 3 Как гарантированно защитить свой Telegram-аккаунт от «угона» с помощью NFT 4 Потребительский экстремизм: как компании бороться с ним, чтобы сохранить репутацию и нервы сотрудников 5 Мошенники в Telegram: топ-5 способов обмана Новости СМИ2 AgroCode Hub Последние новости, актуальные события и нетворкинг в AgroTech-комьюнити — AgroCode Hub Присоединяйся! ВОЗМОЖНОСТИ 26 апреля 2023 Онлайн-магистратура для разработчиков от «Яндекса» и ИТМО 27 апреля 2023 «Интегрируй!» 29 апреля 2023 Game Jam Lvl 1 Все ВОЗМОЖНОСТИ Популярное Истории «Автономный ChatGPT»: что такое AutoGPT и почему о нем все говорят Колонки «Я не хочу ничего решать, я хочу дашборд»: как аналитическая безграмотность ставит точку на BI-проектах Истории «Сейчас мы на](https://lh3.googleusercontent.com/blogger_img_proxy/AEn0k_tnEelGXzd-ZoKjY63rWBSjscsxKi14WiDjZL3_QnwTruXSwmVWlWZuOM06xvjjbFLiwtRe_mn2HUr6RHCnncQtQ5K-B7GYqO38gERqVo5-0h2JNLC650s5GewM8U-lCQwOkMoUFffkf1yxX574u1C5pibe_xGs2SwOqJH6sXwHvkaCMGwxzpo=s0-d)
0 коммент.:
Отправить комментарий