Непродуманные программы лояльности приводят к тому, что скидкой/бонусом пользуются те люди, которые в любом случае приобрели бы товар. Кроме того, они несут в себе значительные риски, связанные с мошенничеством и следствием финансовых и репутационных потерь.

По оценкам The New York Times мошенничество с программами лояльности уже составляет 1 миллиард долларов в год. Скидки и баллы программ лояльности в ритейле – это тоже валюта, столь же ценная, как и настоящие деньги. При этом, в отличие от банковской сферы менее защищенная, как со стороны торговых сетей, так и личных аккаунтов самих покупателей.

Какая из программ лояльности является более эффективной и не направлена на «слив» бюджета? Как избежать коррупционных рисков при выборе решения (подрядчиков) внедряемой и масштабируемой программы лояльности? Как избежать излишних затрат на рекламные кампании, направленные на продвижение системы лояльности. Пока оставим ответы на эти вопросы честным маркетологам.

Популярным способом привлечения и удержания покупателя являются скидочные и бонусные программы. Дисконтные программы (скидки) как снижение стоимости товаров (стимулирование текущей покупки), а бонусные — Накопительные программы (кешбэк) — как инвестиции в будущую покупку (стимул вернуться за покупкой в этот же магазин).

Программы лояльности также могут включать в себя:

Иерархии;
Подарки за покупку;
Геймификацию;
Скидки определенным социальным группам и скидки по временному интервалу;
Скидки персоналу;
Партнерские программы;
Гибридные кампании лояльности.

К кампаниям лояльности можно отнести и Markdown; Черную пятницу; Акционные скидки (промоакции) – действия, направленные на снижение стоимости товара, которые также влияют на потребительский спрос и также несут в себе риски злоупотреблений и потерь*.

* Примечание. Реализация товаров ниже их закупочной себестоимости должна отражаться в учете и попадать в товарные потери (списания + недостачи товаров + сумма скидок при реализации ниже себестоимости закупочной цены — излишки).

Исторический факт: массовым системам лояльности в ритейле более 100 лет. Их появление относится к началу XX века. Так, в 1914 году в США ряд магазинов начал выдавать специальные карточки состоятельным клиентам.
Развитие систем лояльности прошло путь от бумаги через пластик к приложениям в телефоне, личным кабинетам и комбинируется с NFC технологией, в том числе в направлении персонализации через биометрию. Развитие уже учитывает искусственный интеллект (ИИ), направленный на формирование уникальной программы лояльности, AR и VR для расширения коммуникации. Куда и в каком направлении технологии будут развивать системы лояльности в дальнейшем, покажет время.

⎋ Кейс «История с «улетевшими» милями»

Инцидент 2014 года не имеет прямого отношения к ритейлу, за исключением того факта, что секретарь украла мили из системы лояльности авиакомпании у собственника торговой сети. К общим обязанностям секретаря входил и процесс покупки авиабилетов. Барышня с «липкими руками» смекнула, что у нее есть возможность распоряжаться не только покупкой билетов, но и накопленными бонусами. Программа позволяла потратить накопленные бонусы на партнерские предложения. Так, несколько раз дама устроила свой отдых в spa-салонах. Несмотря на собранные службой безопасности неоспоримые доказательства и явку с повинной в органы самой злоумышленницы, полиция отказала в возбуждении уголовного дела.

Определяем, что планируем защищать. Каждое направление имеет свой перечень уязвимостей.

Стоит отметить, что кампании лояльности без цифровой основы по-прежнему широко представлены в современном офлайн-ритейле. Например, накопительные (на подарок или скидку) наклейки и т.п. В кафе можно получить визитку с отметками для штампов о покупке стаканчика кофе и предложением получить пятый или десятый в подарок.

Пример купона с отметками для штампов о покупке

Стоит ли упоминать, что подделать такой штамп не очень сложно и дорого.

Начнем с блока офлайн-ритейла

Ритейла в традиционном его понимании, когда торговля осуществляется в определенном месте, где покупатель имеет возможность оценить физические свойства товара перед покупкой.

В этом направлении можно выделить два основных центра угроз: недобросовестный персонал и недобросовестные покупатели. При этом, с учетом проникновения в офлайн-ритейл онлайн-форм коммуникации с клиентом, угрозой являются и хакеры. Сбои и ошибки в работе систем лояльности также могут нанести значительный ущерб.

Дисконтные программы (скидки)

Одна из самых популярных форм лояльности в ритейле. Могут иметь накопительные уровни, увеличивая процент скидки. Это так называемые Иерархии: при достижении каких-либо лимитов участники получают дополнительные преимущества (например, бронзовый, серебряный и золотой уровни держателя карты).

Возможные махинации со стороны персонала магазина:

Проведение при оплате клиентами товаров «своих» (принадлежащих персоналу) карт для достижения на них максимального % скидки. Такая же схема работает и в Бонусных — Накопительных программах (кешбэк), работающих на стимулирование будущих покупок.

Недобросовестный кассир может пополнять баланс своих карт лояльности за счет покупок клиентов, не использующих карты. Один из самых наглых вариантов увести бонусы клиента – это имитация сканирования предъявленной бонусной карты. Клиент предъявляет карту, кассир подносит сканер, имитируя сканирование, далее опускает сканер и сканирует уже свою карту, заранее незаметно помещенную в кассовую зону.

Кассир может подменить бонусную карту, передав покупателю пустую. Затем списать баллы и эту карту использовать для новой подмены. Вряд ли кто-то будет проверять серийный номер бонусной карты на кассе. Даже если покупатель обнаружит подмену, кассир всегда может сослаться на невнимательность.

Применение скидок после получения от покупателя наличных денег при соответствующем способе расчета. Кассир демонстрирует покупателю стоимость товара, получает наличные деньги, а после проводит свою дисконтную карту, уменьшая стоимость покупки. Сдачу сдает с первоначальной суммы. Разницу забирает себе в карман.

Отдельно отмечу сопутствующие уловки. Зачастую используют несколько карт, чтобы не попадать в топы аналитики. Карты хранят виртуально в телефоне или могут обмениваться картами со своим подельником из другого магазина для эффективного накопления, не попадая при этом в списки подозрительных.

Профилактика махинаций со стороны персонала магазина:

Определение правил и должное уведомление;
Технические ограничения;
Контрольные процедуры;
Ясность и неотвратимость наказания.

Примерный коктейль контрольных мероприятий может быть дополнен:

Запретом нахождения на кассе и в личных вещах дисконтных карт (немедленная передача старшему кассиру забытых покупателями карт).
Проведением службой безопасности контрольных мероприятий (тайный покупатель).
Включением вопросов о махинациях со скидками при тестировании персонала на полиграфе и уведомлением о таком вопросе заранее.
Уведомлением персонала о выявленных махинациях и увольнение по 81 ст. ТК РФ «по инициативе работодателя», подачей материалов факта махинации в полицию.

Рекомендация: обратите внимание на то, по каким картам идут операции проверки баланса сразу после времени закрытия смены. Зачастую злоумышленники из числа персонала в это время проверяют, сколько накопилось «левых» бонусов.

Махинации недобросовестными клиентами.

Несколько человек используют одну и ту же карту лояльности (мошенничество только в том случае, если это запрещено условиями программы).
Использование приобретённых чужих карт с бонусами.

Махинации с баллами

Бонусхантеры. Термин состоит из двух слов английского языка: «бонус» и «хантинг» (to hunt — «охотиться»). Причина обострения проблемы в процессе массового перехода в ритейле от скидочных систем к программам накопления бонусов. В отличие от банковских сервисов программы лояльности в ритейле обычно слабо защищены.

⎋ Кейс «Баллы Пятёрочка»

Одна из самых больших розничных сетей в России привлекает не только добропорядочных гостей, но и мошенников. Атаки на программу лояльности для покупателей магазинов «Пятёрочка», на текущий момент можно, наверное, назвать самыми масштабными в российском продуктовом ритейле. Купить карты лояльности «Пятерочка» с баллами за полцены от номинала предлагалось как в VK, так и в Telegram-каналах и чатах. Особенно активно это информация распространялась в чатах шоплифтеров (магазинных воров). Самый распространённый способ покупки – через Telegram-ботов. Недобросовестный покупатель пополняет баланс бота, выбирает нужный магазин и покупает интересующий его номинал за 20-40% от итоговой цены. Далее ему приходит ссылка с штрихкодом, которую он открывает и списывает баллы на кассе, тем самым участвуя в совершении преступления.

Объявления о продаже карт лояльности ТС «Пятерочка»

Возможность совершить подобные махинации может приводить к росту потерь по определённым группам товаров, которые пользуются спросом при дальнейшней реализации.

Правила программы лояльности «Выручай-карта» магазинов торговой сети «Пятёрочка» от 20.01.2022 включают пункт:

Не допускается списание Баллов при совершении покупок товаров в Магазинах на товары, входящие в перечень товаров в Приложении №1 к настоящим правилам. В перечень включены все виды сахара и масла подсолнечное.

Также новые правила теперь содержат следующие пункты:

Участник при совершении покупки товаров и/или услуг может оплатить баллами до 50% от стоимости одной покупки товаров.
В течение 24 (двадцати четырех) часов Участник может списать Баллы с Карты при оплате покупок: — не более 2 (двух) раз; и — в суммарном размере, составляющем не более чем 10 000 (десять тысяч) Баллов.
Не допускается списание Баллов ранее, чем через 30 (Тридцать) календарных дней после регистрации Карты.
Срок действия Баллов равен 12 (Двенадцати) календарным месяцам. По истечению указанного срока неиспользованные Баллы автоматически списываются с Балльного счета Участника без возможности их восстановления.
Списание Баллов для получения скидки при совершении покупок в магазинах «Пятёрочка» с использованием Мобильного приложения возможно только с последнего устройства Участника, на которое оно было установлено.

Неизвестно, решен ли полностью этот непростой вопрос с безопасностью карт лояльности на 2022 год. Подобные проблемы фиксируются с упоминанием и других торговых сетей и носят массовый характер. Интернет наполнен подобными видео.

Ажиотаж вокруг темы покупки баллов для «халявного» приобретения товаров порождает и такие предложения мошенников, когда по факту баллы не предоставляют, списывая деньги и обманывая потенциальных злоумышленников. Подобные объявления по иронии подрывают доверие к «теме» и положительно влияют на отток потенциальных злоумышленников.

Накрутки баллов лояльности на эмуляторе

Такие манипуляции возможны, если злоумышленники украли коды и ключи, или же имеются программные уязвимости, позволяющие генерировать карты с бонусными баллами или просто начислять бонусные баллы на уже действующие карты.

Рассылки мошенников, дубликаты сайтов направление на сбор данных аккаунтов

Фишинговая активность мошенников может выражаться в массовых рассылках с обещанием купонов. При переходе по ссылке пользователь или получает на смартфон вирус, или перенаправляется на дубликат официального сайта, где его попросят внести данные аккаунта.

⎋ Кейс «Утечка данных»

Одна из самых крупных утечек в российском ритейле произошла в 2019 году. В интернет утекла база программы лояльности сети «Красное и белое». В документе содержатся записи о 17 млн человек. В базе есть их фамилия, имя, отчество, дата рождения и номер телефона.

Компания «Красное и Белое» считает, что данные ее клиентов могли утечь в интернет из-за преступных действий одного из сотрудников. «Стороннее проникновение в базу данных невозможно в силу ее изолированности от внешней сети. Похищенная информация в любом случае никак не угрожает нашим клиентам», — добавили в компании.

Вариантом минимизации мошеннических действий может стать Технология Near field communication (NFC).

Покупатель выбирает товар. Кассир просит предъявить карту лояльности. При поднесении смартфона к NFC-ридеру (в заблокированном состоянии) владелец смартфона должен подтвердить действие, пройдя идентификацию с использованием Face ID или Touch ID. Информация с номером карты попадает в кассу и CRM, применяются индивидуальные условия в соответствии со статусом, накопленными бонусами. NFC карты лояльности обеспечивают защиту от мошенничества. Обычные электронные карты можно сфотографировать, выдать за свою. Карту NFC нельзя подделать. Ее фотографию нельзя считать с помощью ридера, а соответственно ей нельзя воспользоваться.

Для реализации проекта необходимо предусмотреть достаточное количество NFC-считывателей.

Подарки за покупку

При достижении каких-либо лимитов (подарок за покупки свыше 1000 руб., 2 = 3, прямые подарки от поставщиков — «пробники товаров», подарочные карты, сертификаты и т.п.)

Здесь можно выделить махинации от персонала

Раскомплектовка товара (снять подарок).
Непредоставление подарков покупателям или подмена на более дешёвые (мотивируют это тем, что объявленные подарки закончились).

Подарком может являться и промокод – некий код, в котором зашифрована скидка на определённый товар.

Обратите внимание! Злоумышленники нередко создают сайты с ненастоящими промокодами, которые якобы можно использовать для покупок в популярных магазинах. Самое безобидное предназначение таких сайтов — собрать трафик и монетизировать его за счет рекламы. В ином случае после нажатия на кнопку «Активировать промокод» сайт перенаправляет пользователя на интернет-ресурс с фейковой платежной системой, где пользователь может потерять личные деньги.

Стоить отметить, что у обманутых покупателей, формируется негатив к бренду, использованному мошенниками. И потому службе безопасности стоит уделять внимание мониторингу в интернете упоминаний компании\бренда и использования логотипов, проводить работу по блокировке подобных сайтов и объявлений.

В настоящее время продолжают набирать обороты QR-технологии: как альтернативный способ платежа, как идентификатор клиента в рамках в том числе в программах лояльности, подарочных сертификатах. Скомпрометированный QR-код может содержать ссылку на любое содержимое, включая фейковые сайты или вирусы, которые загрузятся на мобильное устройство.

Необходимо уведомить пользователей о правилах использования таких технологий:

Прежде чем сканировать QR-коды с рекламных плакатов и вывесок, убедитесь, что оригинальное изображение не заклеено картинкой с подложным кодом.
Не пользуйтесь QR-кодами, полученными из подозрительных источников.
Обращайте внимание на отображаемые ссылки при сканировании кода. Будьте особенно осторожны, если внешний вид URL измен, сокращен.
Используйте программы проверки QR-кодов. Например, QR Scanner «Лаборатории Касперского».

Геймификация

Задействование игровых механик. Для получения выгоды пользователям предлагается участвовать в различных конкурсах и играх (наклейки, фишки, «творческое коллекционирование, построенное на механизме накоплений и лотереи», технологии дополненной (AR) и виртуальной (VR) реальностей)

Различные кампании лояльности, применяющие формы накопительных наклеек, стикеров, также несут в себе риски мошенничества:

Подделка стикеров и наклеек. Современная полиграфия позволяет реализовывать идентичные оригиналу копии.

При планировании акций не всегда учитывается тот факт, что покупатели могут объединить усилия, увеличивая свой шанс собрать необходимую для приза коллекцию наклеек. Пользователи могут создавать чаты по обмену информацией, повышая вероятность собрать необходимый набор.

Возврат товара, отмена транзакций, что приводит к возврату денег участнику без надлежащего вычета накопленных наклеек. Подарок не забирают.

Персонал, имея доступ к стикерам и наклейкам, также имеет возможность провести махинации.

Варианты минимизации риска в таких случаях:

Осуществить полный запрет участия персонала в акциях для покупателей, предупреждение о недопустимости присвоения любых атрибутов и подарков акции.
Предусмотреть штрихкоды для подарка, выданных стикеров и наклеек, флаера на скидку партнёрской программы и т.д. для попадания в чек (цифровой след для учёта и контроля).
Предусмотреть специальную аукционную упаковку для подарков. Маркировку «Не для реализации», название торговой сети и акции.
Предусмотреть нумерацию стикеров, наклеек, флаеров. Для минимизации рисков копирования и удобного отслеживания партий.
Проведение по окончании акции сверки остатков, подарков, стикеров и наклеек, флаеров; сопоставление с данными реализации (попаданиями в чек).
Проводить проверку предложений по реализации подарков на сервисах типа Avito и Юла, иногда таким образом фиксируются номера телефонов недобросовестных сотрудников магазинов.

⎋ Кейс «Обман с предложением покупки наклеек»

На ажиотаже с наклейками могут «сыграть» и мошенники, размещая объявления-ловушки.

«Листая ленту на Юле, наталкиваюсь на объявление: «Наклейки из магазина «Магнит» в любом количестве по 1 руб. за штуку». И я купилась, звоню, трубку берёт девушка, по голосу лет 20. — Добрый день, вы наклейки продаёте? — Не совсем так, я продаю уже готовые заполненные буклеты с наклейками. — А откуда они у вас? — Я в Магните работала, недавно уволилась с работы, осталось три рулона наклеек, вот хочу дотянуть до новой работы, деньги поэтому нужны. — А как можно забрать их? — Ну тогда давайте я вам по почте отправлю, дойдёт быстро. Вы мне деньги на телефон. — Хорошо, — я согласилась и положила трубку. И отправила денежку. Вот такая не единичная история, обмана любителей сбора наклеек» (источник).

⎋ Кейс «Просчеты в оценке кампании, неучтенные риски специализированных активностей пользователей»

Не все участники собирают полные комплекты наклеек, штрихкодов и далее получают призы, маркетологи, планируя акцию, могут не учесть в коэффициенте сгорания «Breaking rate» (процент бонусных единиц, которые будут списаны в связи с истечением сроком действия и других правил, существующих в программе) специализированные активности, направленные на акцию.

Пример. Компания Healthy Choice проводила рекламную акцию: предложила своим потребителям заработать 1000 миль на авиаперелеты за каждые 10 штрих-кодов товаров Healthy Choice. Один из клиентов обнаружил, что такие штрихкоды были и на дешевых маленьких пудингах, после чего скупил в десяти магазинах Сакраменто 12 тысяч маленьких порций пудинга за $3140 (по 25 центов за штуку). Клиент пожертвовал купленные пудинги благотворительной организации в обмен на помощь в удалении штрих-кодов с упаковок. В итоге сумел заработать 1,2 млн. миль. Теперь этот инженер известен как «Пудинг-парень»

Запуская акцию, компания Healthy Choice не просчитала все возможные варианты обмена штрихкодов, разницу между стоимостью покупки и суммой вознаграждения, в результате чего не ограничила ассортимент товаров, участвующих в акции. Как следствие, акция обошлась дороже, чем рассчитывалось изначально.

Скидки социальным группам и скидки по диапазону времени.

Стимулирование покупок определенными социальными группами, времени совершения покупки в непиковые часы (например, скидка 10% пенсионерам с 9.00 до 11.00)

Скидки персоналу

Направлены на формирование лояльности работников. Обычно скидки больше, чем обычным покупателям (как вариант – QR-код на скидку 15% в день зарплаты).

Недобросовестный персонал может злоупотреблять скидками и пробивать не только своим знакомым, но и всем подряд. Выявляется это анализом топов магазинов с максимальным проникновением в чек скидки и сверкой через систему видеонаблюдения.

Партнерские программы и гибридные кампании лояльности

Коллаборация со смежными стратегическими партнерами. Данная программа может дать значительный рост клиентской базы. Кобрендинговые карты, выпущенные банком и магазином-партнёром, помогают сэкономить на шопинге.

Кампании, в которых вознаграждения комбинируются также подвержены различным формам махинаций, при этом риски могут формироваться по всей цепочке и быть и на стороне партнеров, это необходимо учитывать.

Markdown

Система уценки товаров с истекающими сроками реализации, утерянными товарными свойствами, выходящими из матрицы. Здесь встречаются скидки и 50%, и 70%; снижение цены на товар до уровня себестоимости и ниже. Цель уценки – вернуть какую-то часть вложений, нежели списать и потерять все.

Существуют различные формы наклеек. Да, они уже несут в себе штрихкод, но не уникальный. Его можно переклеить или использовать несколько раз. Чем пользуются не только недобросовестные покупатели, но и персонал.

Профилактика:

Важно контролировать правильность ведения уценки в учетных программах.
На кассах для исключения повторного пробивания кассир может перечеркивать штрихкод ручкой.
Сами стикеры рекомендуется делать из неплотной бумаги, чтобы минимизировать риск переклейки.
Хранение и учет стикеров желательно закрепить за директором магазина.
Определить лимиты и ввести периодическую сверку выданных стикеров и реализованного товара со скидкой данной категории.
Технически в кассовой программе могут быть закреплены виды товаров (дорогой товар), на которые скидка не распространяется.

Ряд торговых сетей разрешает участие в программе Markdown только для «управляемых магазинов». При выявлении злоупотреблений магазин лишается данной возможности.

Черная пятница

День больших скидок во многих магазинах. Помимо Черной Пятницы это могут быть финальная распродажа, ликвидация коллекции, «закрытие» магазина. Традиция устраивать распродажи в определенный день появилась в США, но успела распространиться по всему миру. Большая распродажа вызывает ажиотаж не только среди покупателей, но и у шоплифтеров. В пиковые часы загрузки магазинов затеряться в толпе и совершить хищение злоумышленникам становится проще. На помощь приходят современные системы распознавания лиц. Точечный подход интеллектуальной видеоаналитики по профилактике магазинных краж, совместной разработки компании NtechLab, технологического партнера Госкорпорации Ростех, и компании BIT − программа «СТОП Шоплифтер», направляет фокус охраны на профилактику лиц, которым стоит уделить внимание.

Акционные скидки (промоакции)

Продвижение товаров и брендов, распродажа оver-stock (излишних запасов). После проведения промоакции продажи данных товаров могут снизиться, так как будет удовлетворен спрос. Также покупатели могут откладывать покупку, ожидая очередной акции.

После возращения регулярной цены нераспроданные аукционные остатки товаров с короткими сроками годности могут попасть в списания. Что требует аналитического контроля и точечной управленческой настройки; при необходимости при оver-stock продление на необходимое время акции на магазинах с излишними запасами или перемещение товаров с магазинов с излишними остатками.

В числе самых популярных ошибок промостратегии – предоставление скидки на товар, который уже продается дешевле, чем у конкурентов, но при этом не дает значительного прироста.

Махинации персоналом с промоакциями

Оптовые продажи: товар реализовывается оптом «знакомым предпринимателям», даже не попадая в торговый зал. Для того, чтобы не попасть в топы аналитических систем, на кассе сотрудниками-злоумышленниками товар разбивается на несколько чеков.

Профилактика:

Уведомление о запрете оптовых продаж.
Аналитика выявления аномалий при реализации промо товаров.

Коснемся блока онлайн-ритейла

Сфера ритейла, в которой торговля осуществляется через интернет с доставкой товара покупателю напрямую или в пункт выдачи.

С учетом пандемии COVID-19 многие потребители обратились к электронной коммерции в качестве основного направления совершения покупок. Таким образом, поток денег и баллов лояльности в сети увеличился, что дает больше возможностей для мошенников и киберпреступников. Атаки на онлайн-ритейл идут со всех углов. Преступников, совершающих мошенничество с программами лояльности, здесь можно разделить на три основных типа: хакеры, недобросовестные сотрудники, имеющие привилегированный доступ к управлению системой лояльности и недобросовестные клиенты.

Однако не только злонамеренные действия персонала или хакеров могут привести к потерям, ошибки и сбои в системах тоже не редкость.

⎋ Кейс «Технический сбой»

Ярким примером здесь может быть событие 1 ноября 2021 года реализации Ozon товаров по аномально низким ценам со скидкой более 90%. Покупатели сделали заказы, которые в итоге были аннулированы. Компания Ozon принесла извинения покупателям и продавцам за технический сбой на сайте.

В Роспотребнадзоре заявили, что Ozon незаконно аннулировал аномально дешевые заказы.

Цель хакеров – онлайн-торговля. Преступные действия мошенников направлены на похищение сведений платежных карт, персональных и учетных данных. В случае компрометации из учетной записи карты лояльности можно достать множество полезных данных, которые затем легко продать на торговых площадках даркнета.

⎋ Вы знали? В мире существует «АССОЦИАЦИЯ БЕЗОПАСНОСТИ ЛОЯЛЬНОСТИ». На сайте loyaltysecurityassociation.com обозначена их миссия: «С мошенничеством борются не в вакууме, для этого нужны союзники. Наша миссия проста: объединить индустрию лояльности в качестве союзников в борьбе с мошенничеством». Ассоциация была основана в 2016 году для того, чтобы различные заинтересованные стороны, имеющие опыт работы в области лояльности, предотвращения мошенничества и кибербезопасности, собрались вместе и начали сотрудничество по решению растущих проблем, связанных с безопасностью программ лояльности.
В России специалисты по безопасности в ритейле, тоже объединяются для решения вопросов безопасности в ритейле. Заинтересованные участники могут присоединиться к «Ассоциации экспертов безопасности ритейла»

Ввод системы лояльности

Система лояльности — проект, требующий управленческого контроля и учета рисков безопасности.

Стадии управления проектом могут включать:

Инициацию, выбор и подготовку программы лояльности, оценку возможных уязвимостей и затрат на безопасность и контрольных мероприятий по профилактике мошенничества и убытков.
Определение необходимых сил и ресурсов для управления программой.
Тестовое внедрение программы лояльности, оценка систем безопасности и разработку инструментов контроля.
Поиск новых уязвимостей. Составление протоколов действий на типовые инциденты, направленные на локализацию и минимизацию потерь.
Определение и документальное закрепление лиц ответственных за контроль и безопасность программы лояльности.
Определение правил кампании лояльности для пользователей, должное информирование.
Регулярную актуализацию и мониторинг, оперативные уведомления, контрольные мероприятия, отчётность, анализ данных, полученных в процессе эксплуатации.
Реагирование на инциденты, расследование и устранение причин.
Корректировка контрольных процедур и правил программы лояльности.

Определите правила и проведите уведомление

Создайте «Положение о системе лояльности», в документе необходимо подробно расписать все условия, по которым можно копить баллы или скидки и оплачивать покупку баллами, на какие товары не распространяется система лояльности. Обратить внимание, на алгоритм уведомления клиентов об изменении условий системы лояльности. Учесть требования к безопасности личных аккаунтов.

Важно уделить внимание информированию клиентов о цифровой гигиене и безопасности. Сформировать и разместить рекомендации: не переходить по сомнительным ссылкам и не вводить там свои данные, проверять адрес отправителя, не устанавливать простой пароль при активации карты лояльности и т.д.

Для должного информирования покупателей «Положение о системе лояльности» желательно разместить на сайте торговой сети. Ввести систему электронного ознакомления и принятия правил в момент регистрации карты.

Пример: Правила программы лояльности «Выручай-карта»

При допуске персонала к кассам проводите инструктаж о запрете манипуляций с картами лояльности или дисконтными картами и о последствиях таких махинаций в соответствии с законодательством РФ.

Ограничения «anti-fraud»

CRM и POS — системы настройки ограничений: управление правилами, обнаружение подозрительных событий и реагирование на них, создание справочников дополнительных параметров для дальнейшего формирования правил. Система должна позволять ставить фильтры для определения мошенников из числа сотрудников или клиентов, своевременно определять подозрительную активность по определенным картам и выполнять разработанный для таких случаев алгоритм (блокировка карты и направление отчета в службу безопасности компании).

Программные ограничения в системе лояльности, направленные на минимизацию мошенничества, могут включать в себя:

Обнуление остатков бонусов по истечению определенного периода времени.
Отложенное начисление бонусов. Решает вопрос и с возвратом начисленных бонусов при возврате товара.
Ограничение по количеству использования карты за определенный период времени.
Запрет на транзакции в разных регионах.
Защиту от сканеров/ботов, автоматическую блокировку подозрительных карт.
Защиту от ошибок (защита от дурака). Чтобы предотвратить преднамеренный ввод ошибочных данных или непреднамеренные ошибки персонала, компаниям следует ввести лимиты, устанавливающие границы (абсолютные ограничения) или пределы значений (которые не могут быть изменены). Например, поставить скидку более 50%.
Дополнительное одобрение или внедрение принципа «четырех глаз» для определенных рискованных действий, таких как ручное исправление баллов сверх установленного лимита, слияние или восстановление учетных записей и перевод баллов и т. д. Это может помочь предотвратить потенциальные мошеннические действия, совершаемые персоналом, и снизить риск человеческой ошибки, которую в противном случае было бы сложно откатить.

Настройки могут быть индивидуальными в зависимости от реализуемой кампании лояльности, основная цель – проактивно не допустить возникновения риска.

Аналитика «Fraud detector»

Если вы ни разу не проводили анализ подозрительных транзакций с картами лояльности или дисконта, сделайте это, используя хотя бы первичный простейший анализ: выберите такие транзакции, которых больше трех в день по одной и той же карте.

Основная цель внедрения системы оперативного выявления и противодействия мошенничеству – создание технологической платформы для обнаружения событий, прямо или косвенно указывающих на возможные случаи фрода (мошенничества) сотрудников или клиентов.

Обнаружение транзакционных аномалий

На что смотреть в аналитике:

Количество транзакций в период времени по начислению баллов по карте.
Анализ нетипично высокого показателя % использования карт лояльности в определенной торговой точке.
Анализ карт с нетипично большим количеством и суммой покупок.
Анализ частого использования одной и той же карты в разных торговых точках (ГЕО), на которых начислялись баллы в период времени.
Анализ приобретения непохожих по свойствам товаров, приобретаемых по одной и той же карте за определенный период времени.

После обнаружения подозрительных транзакций для внутреннего расследования используется система видеонаблюдения.

В офлайн-ритейле в системы контроля кассовых операций могут быть включены программно-аппаратные комплексы типа «Cash Control».

Cash Control – это система контроля кассовых операций, которая интегрирует события с кассы с системой видеонаблюдения и синхронизирует по времени, направленная на выявление и профилактику:

ошибок кассиров;
воровства со стороны персонала.

Позволяет выявлять и махинации с бонусами и дисконтными картами, злоупотребления акциями. Для поиска конкретных данных аналитик может воспользоваться настраиваемыми расширенными фильтрами системы. Далее оператору нужно просматривать только конкретные видеофрагменты тревожных событий, привязанные к потенциальным нарушениям. На разбор инцидента затрачивается меньше времени, и система работает более эффективно. Также система позволяет документировать выявленные нарушения. Своевременная реакция на нарушения влияет и на должное соблюдение персоналом кассовой дисциплины, минимизацию мошеннических действий.

В онлайн-ритейле вычислить аккаунты мошенников или заметить кражу пользовательских данных помогает искусственный интеллект и машинное обучение. Модели учатся эффективно анализировать и детектировать аномалии в поведении как клиентов, так и сотрудников организации. Система учится отличать легитимное поведение пользователей от заведомо мошеннического. Скомпрометированные записи попадают в черный список, где могут быть обогащены данными об IP-адресе или физических (mac) адресах устройств.

Внедрение механизмов двухфакторной аутентификации

При регистрации аккаунтов рекомендуют предусмотреть механизм дедупликации, чтобы обеспечить уникальность и подлинность как вновь созданных, так и отредактированных профилей клиентов.

Одним из популярных решений, закрывающим некоторые вопросы безопасности, является внедрение двухфакторной аутентификации (2FA), которая позволяет значительно минимизировать риски хищения и последующего применения реквизитов бонусной карты. Списание баллов станет возможным только после введения проверочного кода из SMS \ e-mail или приложения, привязанных к конкретному номеру или телефонному аппарату.

Контроль привилегированных пользователей

Мошенничество совершают не только кассиры, но и сотрудники бек-офиса, контакт-центра, имеющие привилегированный доступ. Возможность совершать ручные корректировки баланса баллов и доступ к персональным данным аккаунтов несет в себе значительные риски. Необходимо:

Разделить права привилегированных пользователей системы, оставить минимально необходимые для выполнения должностных обязанностей.
Применять практику «четырех глаз», когда критичные действия в системе для применения требуют дополнительного утверждения сотрудника, осуществляющего контроль.
Ввести постоянный мониторинг за действиями сотрудников как в режиме реального времени, так и с использованием ретроспективного анализа. Использование DLP – контроля, оснащение зоны рабочих станций видео и аудио контролем;
Как дополнительную меру включить регулярные процедуры проверки сотрудников с привилегированным доступом на полиграфе.

Для должного исполнения данных пунктов существует целая группа специализированных решений (PAM – системы).

Управление инцидентами систем лояльности

От скорости реакции на инцидент и принятых должных мер зависит успешность системы защиты. Если инцидент происходит/произошел необходимы следующие действия:

Определение и регистрация инцидента.
Сбор данных и классификация инцидента.
Расследование инцидента.
Меры по снижению негативного влияния и минимизации потерь.
Разработка комплекса мер для исключения повторения подобных инцидентов в будущем.

Рекомендуется иметь пополняемый реестр типовых инцидентов и протоколы стандартных действий по их локализации. На основании этого формировать автоматические настройки действий или сценарии действий специалистов по безопасности.

Отчетность

Для оценки текущей ситуации принятия обоснованных решений о дополнительных инвестициях в безопасность или организационных мерах формируются отчеты, которые поступают директору по безопасности и руководству компании. Этапы формирования отчетов о безопасности систем лояльности:

Создание аналитических отчетов.
Заведение шаблонов отчетных форм в систему.
Визуализация результатов работы продукта.
Оперативное выявление инцидентов.
Проведение анализа эффективности работы фрод-мониторинга.

Пентест (pentest) — тестирование на проникновение

В современном мире, вместе с внедрением новых технологий, процедур появляются и новые технические уязвимости. Даже хорошо защищенная платформа требует регулярных проверок безопасности, в том числе и тестов на проникновение, предпочтительно проводимых сторонней организацией.

Цель тестирования – обнаружить возможные потенциальные уязвимости и недостатки, которые могут повлечь за собой нарушение конфиденциальности, целостности и доступности информации, спровоцировать некорректную работу системы или привести к полному отказу в обслуживании.

Любое тестирование начинается со сбора общей информации о системе, ее структуре, используемых ресурсах. Далее имитируются всевозможные варианты несанкционированного проникновения, в том числе с помощью специализированного ПО.

По результатам тестирования на проникновение дается оценка возможностей текущего уровня защищённости выдержать попытку вторжения потенциального злоумышленника, данные о количестве времени и ресурсов, требуемых для успешной атаки на заказчика. В случае выявления уязвимостей в обязательном порядке составляется список рекомендаций по устранению вышеуказанных уязвимостей.

ВЫВОД

Данная публикация подготовлена в процессе разработки доклада на конференции «SecuRetail: цифровые технологии для ритейла и e-commerce 2022». Тема предупреждения потерь от мошенничества в программах лояльности ритейла многогранна и постоянно развивается. Отразить в одной публикации весь спектр возможных махинаций и вариантов снижения риска невозможно. Продолжение диалога на эту тему запланировано на 15 июля 2022 в рамках Конференции «Управление безопасностью в ритейле».

В заключение стоит отметить, что при отсутствии должного внимания к организации безопасности систем лояльности кампании, направленные на привлечение и удержание клиентов, могут напротив вылиться в процесс потери доверия, репутации и лояльности клиентов. Берегите свою систему лояльности и не рискуйте напрасно.