Махинации с картами лояльности

В 2016 году Cyber Source опросила 120 компаний. 90% из них подтвердили у себя мошенничество с картами лояльности. С каждым годом эти цифры растут, и бизнес уже давно ощущает необходимость внедрения антифрод-технологий.

В мошенничестве могут быть задействованы персонал, участники программ лояльности, кибер-мошенники, что присваивают чужие учетные записи и накопленные баллы.

Мошенничество в ритейле

Иногда сотрудники вступают в сговор с участниками. Так в одном из магазинов бытовой техники, продавец-консультант предлагал клиенту провести покупку по своей служебной карте со скидкой в 20% за вознаграждение в 500 рублей. Раскрыли схему только после жалобы в Колл-центр. То, что количество покупок, совершенных со служебной карты, резко возросло, никто бы и не заметил.

Потери от краж составляют 2,05% от ежегодного оборота в ритейле. Половина этих потерь приходится на воровство сотрудников: кассиры, сотрудники Колл-центра и фронт-офиса. Сотрудница лондонского универмага Harrods за 3 года накопила на своей карте 850 тыс. баллов (что эквивалентно 280 тыс. фунтам стерлингам), проводя на кассе свою карту вместо тех, что подавали ей клиенты.

Как предотвратить мошенничество на предприятии

На предотвращение мошеннических действий работают различного рода ограничения:

• предельно допустимое количество транзакций;
• предельно допустимое количество карт, привязанных к 1 учетной записи;
• предельно допустимое количество накопленных баллов

Чтобы обозначить цифры предельно допустимых значений, необходимо посмотреть исторические данные за прошлые года и взять 110-115% от максимума.

Самый большой кофе в истории 

Тот самый парень, который получил от Starbucks свой 4-литровый фраппучино, всего лишь внимательно читал правила про 12 бесплатный напиток. Конечно, после этого случая Starbucks добавили ограничение: напиток должен быть стандартного размера.

Как минимизировать риски

Большинство махинаций становятся возможны, так как отсутствует должный контроль со стороны руководства, или у сотрудников есть чрезмерные полномочия. Для защиты и минимизации рисков необходимо соблюдать несколько правил.

Правило минимального необходимого доступа. Сотруднику в ПО нужны права только на выполнение своей работы, все остальные операции нужно ограничить. Достаточно оставить возможность проверки баланса и изменения адреса клиента.

Принцип «четырех» глаз. Если нужно совершить действия с повышенным риском (ручная корректировка, сверх предельно допустимых значений / лимитов, слияние учетных записей, перевод баллов на другой счет и т.д.) требуются подтверждение со стороны одного из наставников.

Один клиент - одна учетная запись. Дедупликация данных позволяет очистить базу от задвоенных клиентских карточек. Для дедупликации нужно выбрать либо номер телефон, либо емейл в качестве основного маркера личности и удалить лишние профили. Чтобы исключить возможность массовой регистрации в программах лояльности, необходимо обязательное подтверждение емейла или номера телефона участника путем отправки ему емейла или смс.

Черные списки клиентов, пойманных на мошенничестве, помогут избежать неприятных разбирательств с неблагонадежными участниками в дальнейшем.

Отсрочка активации баллов уместна минимум на 14 дней, так как законом о защите прав потребителей разрешено вернуть товар надлежащего качества без уважительных причин в течение 2-недельного периода «охлаждения». Если клиент передумал что-то покупать, магазин должен начисленные баллы за покупку изъять. Банки тоже следят за возвратами в выписке клиента и удерживают уже начисленный кэшбек за отмененную сделку.

Оценка кибер-защищенности всех точек взаимодействия с клиентом: сайт, приложение, ПО для сотрудников. В 2017 потери от кибер-атак составили 2,3 миллиарда долларов. Учетные записи участников востребованы, а кибер-защищенность у многих компаний еще на очень низком уровне. Хакеры взламывают аккаунты щедрых клиентов и продают их баллы через форумы. В 2016 году компания Fix Price сильно пострадала от кибер-мошенников. Автор  статьи на Хабре рассказал, как преступники подбирают пароли к аккаунтам участников и используют их бонусные баллы. История очень негативно повлияла на репутацию компании. После потока жалоб Fix Price пришлось на время совсем отказаться от бонусной программы и нивелировать причиненный урон.

Фокус на аномалии. Резкий рост или спад показателей, формирование тенденций должны приковывать пристальное внимание аналитиков в сфере безопасности к данным. К примеру, банки борются с кэшбэк-аферами, когда клиенты по сути ничего не покупают, а просто зарабатывают на вознаграждении: прогоняют деньги через карту, покупая электронные средства или пополняя счет в платежной системе. Показательна нашумевшая история с Альфа-Банком. Альфа отказался выплачивать клиенту 10% кэшбек по АЗС, потому что ежемесячные траты на бензин у этого автовладельца превышали среднестатистические в 5-10 раз. Представители посчитали такое использование программы злоупотреблением.

Соблюдая все эти правила можно не только снизить риск афер с бонусными баллами, но и исключить ошибки, вызванные «человеческим фактором». Нелишним будет также напомнить персоналу, что хотя бонусные баллы и не являются денежными средствами, их ценность приравнивается к таковым. И то, что идет в карман сотруднику, является недополученной прибылью компании. Кроме того, за прикарманивание бонусных баллов предполагается уголовная ответственность по 159 статье УК «Мошенничество». 

О том, как провести служебную проверку после инцидента, мы писали здесь.