博客

保护忠诚积分计划免遭欺诈: 5 个关键提示

Angel Grant 缩略图
安吉尔·格兰特
2022 年 7 月 15 日发布

我们中的许多人终于开始计划期待已久的假期旅行和休假——这可能是自疫情爆发以来第一次真正的度假机会。 您可能计划兑换那些在您的忠诚度计划中长期未使用的航空里程或酒店积分。 想象一下,如果您发现忠诚度积分被网络犯罪分子通过欺骗或入侵您的忠诚度帐户而窃取,您会感到多么惊讶。

忠诚度积分计划已经存在了一段时间,并且是吸引和留住客户的绝佳工具,但目前我们看到针对这些计划窃取账户的犯罪分子数量激增。 原因是什么? 目前还有大量未使用的忠诚度积分: 根据忠诚度安全协会的数据,仅在美国就有 45% 的账户被视为不活跃,这意味着会员账户中未使用的积分价值约为 48 万亿美元,大部分都无人监控,甚至可能被遗忘。 这对网络犯罪分子来说就像是诱饵,他们发现这些被忽视的点很容易被利用来获取个人利益。

犯罪分子为何瞄准忠诚度计划

对于网络犯罪分子来说,窃取忠诚度积分账户是轻而易举的事。 尽管这些账户可能持有数千美元的价值,但大多数消费者不会像银行或金融机构的金融账户那样密切监控它们。 许多帐户都受到简单的用户名/密码对的保护,并且由于许多消费者重复使用密码,因此使用被盗凭证的犯罪分子发现使用自动机器人攻击对忠诚度帐户进行撞库攻击相对简单。 一旦控制了积分,犯罪分子就可以将其兑现,兑换成礼品卡等无法追踪的物品,或者在暗网上以金钱形式出售积分,而所有这些对欺诈者来说风险都很低。 此外,犯罪分子知道,入侵忠诚度账户不仅可以带来短期的经济收益,还可以获取数据和情报以进行进一步的欺诈活动,包括使用个人身份信息、旅行和住宿数据、购物模式等进行身份盗窃。

事实上,你应该警惕的不仅仅是网络犯罪分子。 您应留意以下三种忠诚度欺诈行为:

  • 双重下跌: 即合法会员通过“双重兑换”的方式欺骗该计划,即同时通过电话和网上兑换积分。 或者会员可以将他们的忠诚账户号码附加到他们没有进行的购买中并以欺诈方式累积积分。 会员还可以通过购物来获得大量奖励积分,然后取消交易——但在此之前不能将积分兑换成现金奖励。 此外,合法消费者和忠诚会员也可以通过操纵程序中的漏洞来滥用政策或商业逻辑。 例如,共享优惠券或促销代码、违反商家政策或注册与同一奖励计划关联的多张信用卡以非法获取奖励。
  • 内幕工作: 这是当欺诈涉及组织内部人员或员工时的情况。 他们可以通过将未使用或无人认领的积分分配给不同的会员帐户,或在帐户之间欺诈性地转移积分来操纵忠诚度计划。
  • 网络犯罪分子: 到目前为止,忠诚度计划欺诈的最大来源是网络犯罪,最常见的漏洞是通过自动化工具(例如撞库攻击、表单劫持或简单的网络钓鱼)进行帐户接管(ATO),以获取累积积分和存储的信用卡信息。 撞库攻击涉及不良行为者针对另一个网站的登录信息测试大量受损凭证(例如从另一个网站泄露的用户名和密码)。 而且由于人们在多个帐户中重复使用密码,这些策略在解锁忠诚度帐户方面可以非常成功,允许攻击者通过更改用户名和密码来接管帐户。 表单劫持为黑客接管账户开辟了其他途径,包括劫持忠诚度计划网络表单以在消费者填写个人信息时收集和传输数据。 这样一来,攻击者就掌握了账户的钥匙,他们可以随意掠夺积分或将账户用于其他邪恶目的。

捍卫和保护忠诚度积分计划

保护您的客户和忠诚度计划免受欺诈活动的侵害至关重要,因为如果处理不当,可能会严重损害消费者信任和品牌声誉。

然而,传统的网络防御已不足以阻止针对忠诚度计划的复杂攻击。 与短会话超时、地理封锁、多因素身份验证以及强迫成员解决验证码相关的过时的保护措施和不必要的限制性政策可能会让用户感到沮丧,并且很容易被绕过。

只需花费几美元,攻击者就可以利用低成本的 CAPTCHA 解决服务来绕过基本的机器人防御,并可以针对特定地理目标购买更高保真度的凭证列表。 当防御者试图阻止犯罪组织的活动时,犯罪组织可以迅速改变策略和方法,如果没有专门的工具和专门的安全团队,领先于攻击者将成为一个几乎无法克服的问题。​

保护您的忠诚度计划免受欺诈的 5 大最佳做法

忠诚度计划奖励您企业最有价值的客户,并帮助您与客户建立更牢固的关系。 面对日益增多的攻击,保护这些程序及其维持的客户回报比以往任何时候都更加重要。 以下五种最佳实践可以帮助您集中精力解决最常见的攻击场景,而不会给合法会员带来监控或兑换积分的过度负担。

  1. 防止新账户欺诈。 新账户欺诈涉及欺诈者使用偷来的、合成的或其他虚假的身份创建忠诚度账户,通常是大规模的。 利用这些欺诈账户,犯罪分子可以积累和转售积分并滥用兑换计划。 确保您的网络防御解决方案能够检测攻击者是否尝试使用自动化工具或复杂的手动技术创建多个虚假账户。
  2. 减轻账户接管力度。 确保您的防御措施能够检测到犯罪分子企图窃取积分或利用已保存的客户个人数据的帐户接管企图。 您的防御必须能够适应攻击模式的变化并实时重新调整。 监控忠诚度计划流量以了解输入模式,使用遥测信号检测异常行为,以便确定流量是来自恶意机器人还是人类。
  3. 保护奖金兑现交易。 通过准确确定每笔交易的可信度及其相关的客户身份,确保与账户关联的忠诚度奖励兑换和信用卡付款的合法性。 使用人工智能和机器学习来监控交易行为的工具来保护您的程序,并采用自适应身份验证,根据登录尝试所带来的风险选择适当的身份验证过程。 例如,对于高风险活动(如更改密码或兑现大量积分),可能需要增强的安全挑战。
  4. 监控政策滥用。 确保通过评估每个互动点的信任度,采取预防措施来限制因利用或操纵优惠券、促销、折扣或推荐奖金而造成的财务损失。
  5. 了解内部威胁。 忠诚度计划也容易受到内部人员的威胁。 确保跟踪和衡量现场工作人员活动以监控异常情况,并限制员工访问忠诚度计划数据。

帮助您的客户避免忠诚度积分欺诈

除了保护您的忠诚度计划及其资产外,您还可以通过分享以下提示来帮助您的计划成员保护他们的积分和奖励免遭欺诈:

  • 会员应该像监控其他金融账户一样监控他们的忠诚度计划。 忠诚度计划可能包含数千美元的价值,因此您的客户应该定期检查他们的帐户,以确保他们的帐户没有被篡改。
  • 利用增强的安全选项。 如果可用,鼓励成员使用多因素身份验证等额外的安全功能。 每增加一层安全保护,欺诈者就越难以入侵账户。
  • 小心旅游促销电子邮件和社交媒体帖子。 向您的客户说明您如何以及在何处传达促销信息。 确保他们明白那些看似好得令人难以置信的旅行优惠很可能是假的。 在他们的推送消息中弹出的未经请求的电子邮件优惠和交易很可能是旨在窃取个人数据(包括登录凭据和信用卡号)的网络钓鱼尝试。 在回复和提供任何信息之前,会员应确认发件人的电子邮件地址是合法的,或者直接联系忠诚度计划(而不是通过收到的电子邮件或社交媒体帖子),以确保报价或请求是真实的。  

F5 很荣幸能够帮助组织防范忠诚度计划欺诈

了解 F5 如何持续保护众多组织免受自动攻击和欺诈活动的侵害,这些攻击和欺诈活动可能会通过针对会员账户获取宝贵的奖励积分和里程来损害品牌。 阅读此客户案例,了解分布式云机器人防御如何帮助一家大型全球航空公司阻止危害其飞行常客账户的自动网站攻击。

访问https://www.f5.com/solutions/ecommerce ,了解我们如何帮助您确保积分、礼品卡价值和其他存储价值留在客户手中(而不是犯罪分子手中)。