Protegendo Programas de Pontos de Fidelidade contra Fraudes: 5 dicas importantes

Muitos de nós estamos finalmente começando a planejar nossas tão esperadas viagens de fim de ano e férias — talvez a primeira chance de uma escapada de verdade desde o início da pandemia. Você pode planejar resgatar aquelas milhas aéreas ou pontos de hotel há muito inutilizados que estão acumulando poeira em seus programas de fidelidade. Imagine sua surpresa se você descobrir que os pontos de fidelidade foram desviados por criminosos cibernéticos que fraudaram ou comprometeram suas contas de fidelidade.

Os programas de pontos de fidelidade já existem há algum tempo e são uma ótima ferramenta para atrair e reter clientes, mas no momento estamos vendo um aumento no número de criminosos mirando esses programas para comprometer contas. A razão? Há MUITOS pontos de fidelidade não utilizados por aí: De acordo com a Loyalty Security Association, somente nos EUA, 45% das contas são consideradas inativas, o que significa que há cerca de US$ 48 trilhões em pontos não utilizados nas contas dos membros, a maioria sem monitoramento e talvez esquecidos. Isso é um chamariz para os criminosos cibernéticos, que acham esses pontos negligenciados fáceis de comprometer e monetizar para ganho pessoal.

Por que os criminosos têm como alvo os programas de fidelidade

Para os criminosos cibernéticos, comprometer contas de pontos de fidelidade é uma tarefa fácil. Embora essas contas possam ter milhares de dólares em valor, a maioria dos consumidores não as monitora tão de perto quanto as contas financeiras de um banco ou instituição financeira. Muitas contas são protegidas com um simples par de nome de usuário/senha e, como muitos consumidores reutilizam senhas, criminosos que usam credenciais roubadas acham relativamente simples usar ataques automatizados de bots para realizar o preenchimento de credenciais em contas de fidelidade. Depois de controlar os pontos, os criminosos podem sacá-los, trocá-los por itens não rastreáveis, como cartões-presente, ou vendê-los por valor monetário na dark web, tudo com baixo risco para os fraudadores. Além disso, os criminosos sabem que comprometer contas de fidelidade pode trazer não apenas ganhos financeiros de curto prazo, mas também acesso a dados e inteligência para outras atividades fraudulentas, incluindo roubo de identidade usando informações pessoais identificáveis, dados de viagens e estadias, padrões de compras e muito mais.

Na verdade, não são apenas os cibercriminosos que você deve ficar atento. Aqui estão três tipos de fraude de fidelidade que você deve ficar de olho:

• O mergulho duplo: Isso ocorre quando membros legítimos fraudam o programa por meio de “double-dipping”, ou seja, resgatando pontos simultaneamente por telefone e online. Ou os membros podem vincular seu número de conta de fidelidade a uma compra que não fizeram e acumular pontos de forma fraudulenta. Os membros também podem fazer compras para gerar grandes quantidades de pontos de recompensa e depois cancelar a transação, mas não antes de resgatar os pontos por prêmios em dinheiro. Além disso, consumidores legítimos e membros fiéis também podem abusar de políticas ou lógica comercial ao manipular brechas em programas. Exemplos incluem compartilhar cupons ou códigos promocionais, violar políticas do comerciante ou inscrever-se em vários cartões de crédito vinculados ao mesmo programa de recompensas para ganhar recompensas ilegitimamente.
• O trabalho do Insider: Isso ocorre quando a fraude envolve pessoas de dentro ou funcionários da sua organização. Eles podem manipular o programa de fidelidade fazendo coisas como atribuir pontos não utilizados ou não reivindicados a uma conta de membro diferente ou transferindo pontos fraudulentamente entre contas.
• O cibercriminoso: De longe, a maior fonte de fraude em programas de fidelidade é o crime cibernético, e a exploração mais comum envolve apropriação indébita de conta (ATO) por meio de ferramentas automatizadas, como preenchimento de credenciais, sequestro de formulários ou phishing simples para obter acesso a pontos acumulados e informações de cartão de crédito armazenadas. Credential stuffing envolve um agente mal-intencionado testando um grande número de credenciais comprometidas (como nomes de usuário e senhas violados de outro site) em relação ao login de outro site. E como as pessoas reutilizam senhas em várias contas, essas táticas podem ser extremamente bem-sucedidas no desbloqueio de contas de fidelidade, permitindo que invasores assumam o controle da conta alterando nomes de usuário e senhas. O formjacking abre outros caminhos para hackers assumirem o controle de contas e envolve o sequestro de formulários da web de programas de fidelidade para coletar e transmitir dados enquanto os consumidores preenchem informações pessoais. Isso dá ao invasor as chaves da conta, que pode saquear os pontos quando quiser ou usar a conta para outros propósitos nefastos.

Defendendo e protegendo programas de pontos de fidelidade

Proteger seus clientes e seu programa de fidelidade contra atividades fraudulentas é fundamental, pois, se não forem tratadas adequadamente, podem prejudicar gravemente a confiança do consumidor e a reputação da marca.

No entanto, as defesas cibernéticas tradicionais não são mais poderosas o suficiente para impedir ataques sofisticados a programas de fidelidade. Proteções ultrapassadas e políticas desnecessariamente restritivas vinculadas a tempos limite de sessão curtos, bloqueio geográfico, autenticação multifator e obrigatoriedade de membros resolverem CAPTCHAs podem frustrar os usuários e são facilmente contornadas.

Gastando apenas alguns dólares, os invasores podem incorporar serviços de resolução de CAPTCHA de baixo custo para contornar as defesas básicas de bots e podem comprar listas de credenciais de maior fidelidade para alvos geográficos específicos. As organizações criminosas podem mudar rapidamente de tática e metodologia quando os defensores tentam impedir suas atividades, e manter-se à frente dos invasores se torna um problema quase intransponível sem ferramentas especializadas e equipes de segurança dedicadas.

5 melhores práticas para proteger seu programa de fidelidade contra fraudes

Os programas de fidelidade recompensam os clientes mais valiosos da sua empresa e ajudam você a construir relacionamentos mais fortes com eles. Diante do aumento dos ataques, proteger esses programas e as recompensas aos clientes que eles mantêm é mais importante do que nunca. As cinco práticas recomendadas a seguir podem ajudar você a se concentrar em lidar com os cenários de ataque mais comuns, sem sobrecarregar indevidamente os membros legítimos do monitoramento ou resgate de pontos.

1. Evite fraudes em novas contas. Fraude de nova conta envolve um fraudador criando contas de fidelidade, geralmente em grande escala, usando identidades roubadas, sintéticas ou falsas. Aproveitando essas contas fraudulentas, os criminosos podem acumular e revender pontos e abusar de programas de resgate. Certifique-se de que sua solução de defesa cibernética possa detectar se invasores tentam criar várias contas falsas usando ferramentas automatizadas ou técnicas manuais sofisticadas.
2. Atenue os esforços de tomada de conta. Garanta que suas defesas possam detectar tentativas de invasão de conta por criminosos com a intenção de roubar pontos ou explorar dados pessoais salvos de clientes. Suas defesas devem ser capazes de se adaptar às mudanças nos padrões de ataque e se reequipar em tempo real. Monitore o tráfego do programa de fidelidade para entender padrões de entrada usando sinais de telemetria para detectar comportamento anômalo e, assim, determinar se o tráfego é proveniente de bots maliciosos ou humanos.
3. Proteja transações de saque de prêmios. Garanta que os resgates de recompensas de fidelidade e os pagamentos de cartões de crédito vinculados à conta sejam legítimos, determinando com precisão a confiabilidade de cada transação e a identidade do cliente associada a ela. Defenda seu programa com ferramentas que usam inteligência artificial e aprendizado de máquina para monitorar comportamentos de transações e empregar autenticação adaptável, que seleciona o processo de autenticação apropriado com base no risco apresentado pela tentativa de login. Por exemplo, desafios de segurança aprimorados podem ser necessários para atividades de alto risco, como alterar senhas ou sacar grandes quantias de pontos.
4. Monitore o abuso de políticas. Certifique-se de ter medidas de prevenção para limitar perdas financeiras devido à exploração ou manipulação de cupons e promoções, descontos ou bônus de indicação, avaliando a confiança em cada ponto de interação.
5. Entenda as ameaças internas . Os programas de fidelidade também são suscetíveis a ameaças de pessoas de dentro. Certifique-se de rastrear e medir as atividades da equipe do site para monitorar anomalias e limitar o acesso dos funcionários aos dados do programa de fidelidade.

Ajude seus clientes a evitar fraudes de pontos de fidelidade

Além de proteger seu programa de fidelidade e seus ativos, ajude os membros do programa a defender seus pontos e recompensas contra fraudes compartilhando as seguintes dicas:

• Os membros devem monitorar seus programas de fidelidade assim como outras contas financeiras. Os programas de fidelidade podem conter milhares de dólares em valor, então seus clientes devem verificar suas contas regularmente para garantir que não foram adulteradas.
• Aproveite as opções de segurança aprimoradas. Se disponível, incentive os membros a usar recursos de segurança adicionais, como autenticação multifator. Cada camada adicional de segurança torna mais difícil para fraudadores comprometerem uma conta.
• Tenha cuidado com e-mails de promoção de viagens e postagens em mídias sociais . Eduque seus clientes sobre como e onde você comunica promoções. Certifique-se de que eles entendam que ofertas de viagens que parecem boas demais para ser verdade provavelmente são. Ofertas e promoções não solicitadas por e-mail que aparecem no feed provavelmente são tentativas de phishing projetadas para roubar dados pessoais, incluindo credenciais de login e números de cartão de crédito. Antes de responder e fornecer qualquer informação, os membros devem confirmar se o endereço de e-mail do remetente é legítimo ou entrar em contato diretamente com o programa de fidelidade (não pelo e-mail ou publicação nas redes sociais que receberam) para garantir que a oferta ou solicitação seja autêntica.  

A F5 tem orgulho de ajudar organizações a se defenderem contra fraudes em programas de fidelidade

Saiba como a F5 continua protegendo muitas organizações de ataques automatizados e atividades fraudulentas que podem prejudicar marcas ao mirar contas de membros para coletar valiosos pontos de recompensa e milhas. Leia esta história de cliente para saber como o Distributed Cloud Bot Defense ajudou uma grande companhia aérea global a interromper ataques automatizados a sites que haviam comprometido suas contas de passageiro frequente.

Explore maneiras pelas quais podemos ajudar você a garantir que pontos de fidelidade, valores de vale-presente e outros valores armazenados permaneçam nas mãos de seus clientes — e não de criminosos — visitando: https://www.f5.com/solutions/ecommerce