Атаки на лояльность: какими бывают и как остановить?
Кирилл Сарсенов, руководитель направления предотвращения транзакционного мошенничества, SAS Россия/СНГ
Иметь программу лояльности – это почти мастхэв для современного ритейлера. Это возможность вернуть привлеченного покупателя в точки продаж и постепенно выстраивать с ним отношения – в идеале ко взаимной выгоде. Для клиентов открывается лицевой счет, на который начисляются баллы лояльности или определенный кэшбек, который затем тратится на покупку товаров или оплату части их стоимости у ритейлера или его партнеров. Ритейлер получает как дополнительный доход, так и лояльного заинтересованного покупателя, клиент – дополнительные скидки и сервис.
По мере развития онлайн-сервисов и всеобщей цифровизации программы лояльности от обычных пластиковых карт также ушли в онлайн-платформы и мобильные приложения. Но вместе с быстротой и удобством обслуживания традиционно приходят и трудности, связанные с мошенничеством в программах лояльности, а также с использованием инструментов для борьбы с таким мошенничеством.
Мошенническая активность составляет, как правило, существенный процент от общего числа потраченных баллов и несет в себе риск подрыва доверия клиентов к ритейлеру, вместе с этим и сами инструменты борьбы с мошенничеством на практике могут приносить неудобства как клиентам, так и самому ритейлеру.
Прежде чем говорить об антифрод-инструментах, давайте разберемся, каким бывает фрод в программах лояльности, потому что схемы здесь на сегодняшний день достаточно разнообразны и в ряде случаев выявляются с большим трудом.
Основные схемы мошенничества
Векторы атак направлены как на клиента, так и на самого ритейлера или на эксплуатацию условий программы лояльности. Если постараться категоризировать основные сценарии мошенничества, то мы получим четыре основных направления.
Первое направление – это атаки на клиентов ритейлера. Тут может быть несколько вариантов. Во-первых, взлом личного кабинета. Мошенники получают доступ к личному кабинету клиента и затем либо расплачиваются накопленными клиентом баллами за покупки, либо (если доступна функция «подари баллы другу» или аналогичная) баллы сначала могут агрегироваться на специально открытой мошенниками карте и лишь затем выводиться (так называемая карта дропа).
Во-вторых, привязка онлайн-профиля к карте лояльности клиента. Мошенники регистрируют личный кабинет на карту, которая выдана обычному «честному» клиенту, сам клиент при этом не знает о существовании никакого онлайн-профиля и продолжает копить баллы, совершая покупки. Баллы затем, аналогично первому варианту, тратятся мошенниками для оплаты покупок или переводятся на карту дропа.
В-третьих, это обычная кража карт лояльности. Почему при краже могут возникать потери? Потому что лишаясь кошелька (потерял или украли – не важно), клиенты в первую очередь блокируют свои банковские карты, а про карты лояльности, как правило, забывают. К тому же до сих пор далеко не во всех сетях карты лояльности привязаны к номерам телефонов и могут быть восстановлены.
Второе направление – технологический фрод. Это уже несколько другой уровень мошенничества, при котором у мошенников есть доступ к бизнес-системам ритейлера. Такой доступ может быть получен мошенниками как в результате сетевых атак, так и при помощи сотрудников самого ритейлера. Зачем нужен такой доступ? С его помощью мошенники могут прямо через бизнес-систему на своем собственном счете сгенерировать необходимое количество баллов. Если прямое увеличение доступного остатка баллов невозможно, мошенники, осведомленные о деталях работы программы лояльности, могут также использовать уязвимости в работе программного обеспечения, либо уязвимости в бизнес-процессах обработки начислений и списаний баллов для генерации несанкционированного остатка баллов на счете. Неприятным «бонусом» к этому является еще один стандартный способ уже внутреннего мошенничества организации, при котором сотрудники ритейлера регулярно просматривают счета, на которых, с одной стороны, остаток доступных баллов достаточно крупный, а с другой стороны они редко проверяются клиентами, так что можно незаметно воспользоваться их баллами.
Третье направление зачастую не классифицируется как прямое мошенничество, а скорее является злоупотреблением условиями программы. Кассиры торговой точки могут вместо карт лояльности клиентов проводить свои или открытые на знакомых и копить баллы по покупкам покупателей в торговой точке. Такая подмена карты может происходить как с уведомлением клиента, так и без его ведома (например, известная схема с отменой товара и повторной его покупкой кассиром по своей карте лояльности). В итоге ритейлер теряет часть своей прибыли от программы.
Последнее направление - нецелевой выпуск карт лояльности, которые выпускаются только для получения выгоды и в реальности этими картами никто никогда не будет пользоваться. Самая частая ситуация - выпуск карт для закрытия KPI или мотивационных программ сотрудников и партнеров ритейлера. После получения бонусов от ритейлера за хорошую статистику по выдаче эти карты более не используются. Дополнительно, если у ритейлера проходит акция с выдачей приветственных баллов, сотрудники и партнеры могут массово выпускать карты, получать приветственные баллы и далее оставлять карты «мертвым грузом» в системах торговой сети.
Ответные меры и предотвращение
Безусловно каждый ритейлер, сталкиваясь с проблемами мошенничества в программе лояльности, приходит к выбору инструментов противодействия мошенничеству и минимизации потерь, к оценке эффективности и экономической целесообразности такой борьбы, влияния ее на бизнес в целом и на удобство клиентов в частности. Зачастую, что удивительно, в качестве мотивации выступает не только прямой финансовый убыток или недополученная прибыль, но и репутационные потери ритейлера.
Далее попробуем разобраться в основных инструментах предотвращения фрода и понять, все ли методы борьбы с мошенничеством хороши.
Самый частый инструмент – лимиты. Ритейлер прописывает в условия программы лояльности ограничительные меры – как в части накопления, так и в части списания баллов лояльности. По своей сути к этому же самому пункту относится и внедрение небольших антифрод-модулей для процессинга лояльности или операционного CRM, которые аналогично лимитам работают на простых пороговых значениях, лимитирующих операции клиентов. Такие меры, безусловно, быстро приносят результат в части снижения мошеннической активности, но тут есть и оборотная сторона медали. Во-первых, такие системы приносят результат только по ограниченному набору кейсов, а во-вторых, поскольку учитываются только простые транзакционные метрики (такие как сумма, количество или тип операции), то «удар» лимитирующих правил приходится и по мошеннической активности, и по нормальной активности клиентов ритейлера. Без глубокого погружения в ситуацию лимитириующие системы генерируют неприемлемо большое количество ложных срабатываний и по сути усложняют жизнь всем – мошенникам и клиентам – в относительно равной степени. Это в свою очередь приводит к проблемам в части жалоб клиентов, к снижению пользования программой и, увы, к возрастанию операционных расходов как на взаимодействие с клиентами, так и на пользование системой.
Сложное использование системы – это последствие второго существенного недостатка простых лимитных систем - их гибкости, точнее ее отсутствию. В ежедневной работе системе не хватает гибкости для того, чтобы она смогла поддержать бизнес-процессы работы с фродом: организацию взаимодействия различных подразделений, оценку собственной эффективности и других чисто операционных задач, а в перспективе – гибкости не хватает для развития системы и масштабирования на другие направления предотвращения мошенничества.
Следующей распространенной мерой является дополнительная аутентификация клиентов при совершении транзакций с баллами. В качестве методов аутентификации обычно выбирают отправку одноразового пароля по SMS, гораздо реже генератор токенов в приложении. Действительно, в ритейле (как и во многих других индустриях) этот способ позволил разительно снизить мошенничество с транзакциями, выполняемыми клиентами удаленно. Оборотной стороной медали являются регулярные затраты (подтверждение каждой транзакции по SMS – это серьезные расходы для ритейлера на отправку этих самых SMS, которые в ряде ситуаций могут превысить потери от мошенничества) и снижение удобства пользования сервисом.
И наконец – комплексные антифрод-системы. Если ритейлер готов осуществить комплексный проект, связанный с антифродом, то безусловно, внедрение полномасшатбной антифрод-платформы может стать лучшим решением. Современные антифрод-системы позволяют анализировать множество событий (как платежных, так и неплатежных), собирать большое количество подробных поведенческих, транзакционных и сессионных метрик, выстраивать из них профили в разрезе каждого из участников транзакции (клиента, кассира, компьютера или мобильного устройства клиента), а также реализовывать многоступенчатую логику работы правил и анализировать активность при помощи аналитических моделей. Такие системы лишены недостатков выше названных методов. Хорошо реализованная логика позволит одновременно как выявлять подозрительную активность и останавливать ее в реальном времени, предотвращая потери, так и держать уровень ложных срабатываний на низком уровне. Иными словами, клиенты ритейлера не будут замечать работу антифрод-системы при пользовании программой лояльности.
Один из примеров, когда внедрение такой полноценной антифрод-платформы приносит реальную экономию, это возможность реализовать SMS-аутентификацию клиентов не по всем транзакциям, а только в тех ситуациях, где активность действительно является подозрительной. Как следствие, в разы снижаются затраты на SMS и существенно поднимается уровень удобства пользования сервисом для клиентов. Но помимо экономии, можно добиться и непосредственного повышения доходов. На практике компания может использовать продвинутое профилирование клиентов по поведенческим характеристикам для формирования персональных «умных» предложений.
Построение такой платформы требует от ритейлера гораздо больших инвестиций как финансовых, так и временных на реализацию проекта. Поэтому нужно обязательно рассчитать бизнес-кейс с учетом всех материальных и нематериальных потерь и потенциальных преимуществ и возможностей для дальнейшего развития.
Подводя итоги, можно ли сказать, что фрод на сегодняшний день серьезно угрожает существованию программ лояльности? Конечно, нет. Он приносит определенные потери ритейлерам, негативно влияет на пользовательский опыт и удовлетворенность сервисом клиентов программ лояльности, а также может приводить к негативным отзывам клиентов и отражаться на репутации. Выбирая методы и инструменты борьбы, нужно прежде всего взвесить потери компании и измерить потенциальные выгоды, затем – оценить степень развития инфраструктуры и готовность инвестировать в качество сервиса для клиентов.