Ce se întâmplă, de fapt, cu programele de fidelizare și de ce pot fi o problemă majoră pentru clienți

Ce se întâmplă, de fapt, cu programele de fidelizare și de ce pot fi o problemă majoră pentru clienți
Sursa foto: YTCount / Unsplash

Companiile sunt tot timpul în căutarea unor noi metode de a avea mai mult succes decât competitorii lor. Astfel, se luptă să își asigure noi clienți și să-i păstreze pe cei actuali. Acesta este unul dintre motivele pentru care programele de loialitate sunt adesea văzute ca un răspuns la astfel de provocări și au devenit unul dintre cele mai populare moduri de a păstra clienții.

Fie că e vorba de un bonus de bun venit, fie de o fidelizare pentru cumpărarea constantă de la același retailer, inițiativele sunt bine primite și, potrivit unui studiu de-al nostru, 53% dintre clienți au cumpărat ceva folosind punctele bonus.

Un scurt istoric

Programele de loialitate au apărut la sfârșitul secolului al XIX-lea sub formă de jetoane de cupru și timbre speciale, care puteau fi schimbate pentru puncte bonus. Până în anii ’90, cardurile de fidelitate au devenit cunoscute, ajutând clienții să-și încarce rapid punctele de fidelitate și să le păstreze într-un singur loc. Însă astăzi ele încep să-și piardă utilitatea, pentru că oamenii preferă să facă cumpărături online: 70% dintre consumatorii din întreaga lume cumpără bunuri pe Internet.

În ziua de azi, mulți comercianți trec la programe digitale de fidelizare.

Acestea le permit cumpărătorilor să-și acceseze contul de pe orice dispozitiv, să verifice câte puncte de loialitate au și chiar să le transfere unui prieten sau să le valorifice în următoarea lor achiziție online. Cu toate acestea, există o problemă. Programele de loialitate în format digital le pot da infractorilor ocazia să desfășoare activități rău intenționate. În practică, întâlnim două scenarii comune cu privire la modul în care un program de fidelizare poate fi exploatat.

Preluarea punctelor bonus

Există diferite modalități în care infractorii pot obține acces la conturile participanților în programul de recompensare. De exemplu, pot să încerce să obțină parola pentru un anumit e-mail prin phishing. Și mai simplu, un atacator poate încerca să utilizeze datele de autentificare compromise anterior într-o breșă de date. Șansele de succes nu sunt deloc mici, deoarece oamenii tind să folosească aceleași parole pentru conturi diferite. Programele care colectează pe ascuns parolele și numele de utilizator („Password stealers”) pot ajuta, de asemenea, un atacator să obțină date de acreditare valide.

Odată ce un infractor obține acces la contul cuiva, are mai multe oportunități de a obține profit.

În primul rând, dacă programul de loialitate permite transferul punctelor bonus între conturi, poate trimite toate punctele colectate din contul spart în cel personal. Dacă nu, își poate folosi propria adresă de livrare pentru a cumpăra mărfuri pentru ei, folosind contul victimei. Dacă infractorii nu au nevoie de nimic de la retailer, pot vinde detaliile contului furat pe dark web – de exemplu, există o afacere înfloritoare care constă în vânzarea de mile de zbor din programele companiilor aeriene. Această infracțiune este foarte răspândită – potrivit studiului nostru, aproximativ 70% dintre respondenți au descoperit fie că le-au dispărut chiar lor punctele de loialitate sau cunosc persoane care s-au confruntat cu această situație.

În plus, hackerii pot accesa nu numai punctele de loialitate, ci și informații personale – fie că este vorba de adrese, numere de telefon sau preferințe de cumpărături.

Cadouri de bun venit pentru infractori

Conturile utilizatorilor nu sunt singura țintă pentru infractorii cibernetici. Este chiar mai ușor pentru ei să profite de punctele de bun venit acordate noilor clienți: pot înregistra mai multe conturi false pentru a acumula puncte.

S-a întâmplat ca echipa noastră de analiză a fraudelor să descopere un caz în care infractorii au creat aproape 3.000 de conturi înregistrate cu o singură adresă de e-mail. A fost posibil deoarece Gmail și platforma de e-commerce implicată au o abordare diferită cu privire la modul de identificare a e-mail-urilor.

Gmail nu distinge punctele din e-mail-urile care fac din johnsmith@gmail.com și j.o.h.n.s.m.i.t.h@gmail.com aceeași adresă, ceea ce garantează că destinatarul va primi un mesaj chiar dacă cineva a pus un punct din greșeală.

De obicei, un grup de infractori folosește un set limitat de dispozitive pentru a crea și controla o multitudine de conturi false.

A doua ilustrație demonstrează modul în care această schemă diferă de utilizarea legitimă (vizibilă în imaginea 1), când un utilizator se conectează în contul său de la mai multe dispozitive. De exemplu, echipa noastră de analiză a fraudelor a descoperit peste 9.000 de conturi false controlate de un grup de oameni de câteva dispozitive, care încercau să obțină bonusuri de pe o platformă importantă de comerț electronic.

Uneori, însă, fraudatorii nici nu se deranjează să găsească mai multe dispozitive, deoarece pe platformă am detectat și aproximativ 230 de conturi înregistrate de pe un singur dispozitiv.

model interconectare
Modelul arată cum sunt interconectați utilizatorii legitimi și dispozitivele lor
schema frauduloasa
Schemă frauduloasă în care de pe un singur dispozitiv sunt create numeroase conturi false

Ce fac infractorii cu bonusurile de bun venit pe care le generează ilegal?

Pot găsi un utilizator legitim și să opteze pentru un produs cu o reducere, care este mai mare decât oferă un comerciant pentru utilizatorii nou-veniți. Cu cât atrag mai mulți oameni, cu atât mai mare este reducerea pentru clienții fideli. Nici nu este nevoie să navigheze pe dark web – această activitate poate fi găsită cu ușurință pe site-urile populare de comerț electronic sau în social media.

Dacă o afacere nu acordă atenție conturilor false, este posibil să creadă că programul său de fidelizare ajută vânzările, în timp ce, în realitate, ajută doar infractorii să obțină profit.

Realitatea e că, în mod normal, clienților nu le pasă de securitatea punctelor lor bonus, de aceea este rolul companiilor să fie atente la acest capitol. De exemplu, studiul nostru a arătat că doar 26% dintre consumatori își amintesc întotdeauna câte puncte au. Motivul principal este faptul că oamenii nu văd punctele de loialitate ca bani reali – decât dacă aceste puncte dispar total din conturile lor, iar atunci vor fi dezamăgiți de vânzător.

Cu toate acestea,  având în vedere că un comerciant alocă un buget către programele de fidelizare și îi stabilesc un ROI definit, este clar că bonusurile sunt considerate echivalente cu banii reali.

Pentru a-și proteja programele de loialitate și clienții împotriva fraudei, le recomandăm comercianților să ia în considerare o soluție de prevenire a fraudei care:

  • Poate identifica dispozitivele unice și dacă dispozitivul utilizat este unic în program
  • Descoperă generarea de conturi false, aplicând date biometrice și semnătura pentru a detecta boții
  • Descoperă anomalii în modul în care se deschid ferestrele browser-ului, cu modele de învățare automată
  • Stabilește un echilibru între ușurința în utilizare și securitate și folosește pași suplimentari de autentificare numai în cazuri suspecte, prin autentificare bazată pe risc, pentru conturile de loialitate. Acest lucru va ajuta la prevenirea preluării contului de către infractori.
Dan Demeter
Articol scris de
Dan Demeter
Dan este Security Researcher în cadrul echipei globale de cercetare a Kaspersky, GReAT (Global Research and Analysis Team). Principalele lui domenii de interes sunt sistemele distribuite și atacurile informatice asupra sistemelor IoT.
Comentarii
13:34 / 18.05.2020