Les programmes de fidélité se sont considérablement développés au cours de la dernière décennie. Les adhésions sont passées de 2.6 milliards à 3.8 milliards de 2012 à 2016, et devraient augmenter pour atteindre 5.5 milliards d'ici la fin de l'année. La valeur totale de tous les points du programme de fidélité a été estimée à USD milliards de 48 dans 2017 (Marketing avisé, 2017). Cette croissance rapide a fait des programmes de fidélisation une cible attrayante pour un nouveau criminel souterrain, spécialisée dans la fraude aux programmes de fidélité. Nous expliquons ci-dessous comment les acteurs malveillants utilisent attaques de phishing et d’identifiants compromis pour cibler les programmes de fidélité, et expliquer comment surveillance de domaine et détection des fuites atténuer bon nombre des risques associés à la fraude aux programmes de fidélisation.
Attaques de phishing
Toute tentative de fraude au programme de fidélité commence par le piratage des comptes des membres. Pour obtenir ces informations d'identification, les acteurs malveillants envoient souvent des spams qui invitent les membres à se connecter à leurs comptes avec un lien fourni dans le message. Au lieu d'aller sur le vrai site Web du programme de fidélité, cependant, les victimes sont dirigées vers sites de phishing qui volent leurs noms d'utilisateur, mots de passe et réponses aux questions de sécurité. Les membres sont même invités à soumettre des informations personnelles, telles que la date de naissance, le numéro de sécurité sociale (NAS) et le numéro de permis de conduire.
Les marchés darknet vendent à la fois des services de spam et des modèles de sites de phishing pour attirer les membres vers des sites de phishing. On voit dans la figure ci-dessous une liste pour un kit de page d'escroquerie.
Ces méthodes évoluent constamment, car les acteurs malveillants apprennent à naviguer dans vos systèmes de sécurité. Il est important de rester vigilant et de comprendre les nouvelles menaces à mesure qu'elles se développent.
Vols de bases de données
Les acteurs malveillants ciblent également les programmes de fidélité directement pour voler les informations personnelles et financières de leurs membres. Ils profitent de logiciels non corrigés ou d'ingénieurs sociaux pour se frayer un chemin dans les bases de données des programmes de fidélité pour extraire des données sur leurs membres. Cette technique nécessite des compétences techniques plus avancées et n'est pas aussi courante que les attaques de phishing.
Un grand hôtel enchaîné a annoncé en mars 2020 qu'il avait de nouveau été touché, avec jusqu'à 5.2 millions de clients à risque. Quelqu'un a utilisé les informations d'identification de deux employés de l'établissement franchisé pour accéder aux […] coordonnées telles que les noms, les adresses e-mail et personnelles, les numéros de téléphone, ainsi que le sexe, la date de naissance, les numéros de grand voyageur, informations sur le compte de fidélité, et les préférences d'hôtel. [L'entreprise] a indiqué que [l'intrusion] a duré plusieurs semaines avant d'être signalée.
Filaire (2020)
Identifiants compromis
Enfin, les acteurs malveillants télécharger depuis Internet et le darkweb bases de données contenant des noms d'utilisateur et des mots de passe. Étant donné que plus de la moitié des personnes réutilisent les mêmes mots de passe sur différents sites Web, les mots de passe divulgués par un service peuvent être testés sur un autre service pour voir s'ils sont valides. Ce type d'attaque est connu sous le nom de credential stuffing.
En mars 2020, un géant britannique des supermarchés a émis un avertissement d'attaques de prise de contrôle de compte. À l'aide d'informations d'identification divulguées lors de violations de données, 600,000 12 membres potentiels de son programme de fidélité ont été touchés. Une action rapide a empêché les attaques de s'emparer avec succès des XNUMX millions de comptes de son programme de fidélité, mais a tout de même laissé de nombreux cas potentiels de vol d'informations personnelles et de fraude.
Le credential stuffing peut être automatisé grâce à logiciel de vérification de compte qui peuvent également être achetés sur des marchés illicites. Le logiciel utilise une liste de noms d'utilisateur et de mots de passe et génère une liste des informations d'identification qui ont permis des connexions valides. Étant donné que chaque portail de connexion est différent, stratégie modules sont nécessaires pour tester la validité des informations d'identification pour chaque site Web spécifique. Certains logiciels offrent même la possibilité d'acheminer le trafic via des proxys pour rendre la détection encore plus difficile.
Les programmes de vérification des comptes sont de plus en plus avancés. Dans l'exemple ci-dessous, un acteur malveillant vend un logiciel préconfiguré pour cibler 22 portails Web différents et est capable de se cacher derrière des procurations.
Impacts de la fraude au programme de fidélité
Les conséquences de ces prises de contrôle de compte sont nombreuses. Au-delà du simple vol de points, la fraude au programme de fidélité peut avoir un impact financier sur vous et nuire à votre marque et à votre réputation.
Une fraude au programme de fidélité organisée et à grande échelle peut générer des pertes financières substantielles. Par exemple, des acteurs malveillants utilisent les points de fidélité pour obtenir des services gratuits d'une entreprise qui doit, à son tour, rembourser les points à ses clients. Remplacement du les points échangés frauduleusement doublent les pertes financières des entreprises en les forçant à fournir deux fois plus de biens et de services gratuits. Si l'objectif des programmes de fidélisation est de fidéliser les clients et de maintenir la fidélité à la marque, briser ce la confiance a un impact direct sur le succès du programme et de l'entreprise.
Prévention de la fraude liée au programme de fidélité
Pour réduire les coûts de la fraude des programmes de fidélité, les entreprises peuvent cibler la source des informations d'identification volées. Les entreprises peuvent surveiller les services liés au phishing et détecter de manière proactive les connexions qui utilisent des informations d'identification divulguées.
Acteurs malveillants enregistrer des sites Web avec des noms qui ressemblent étroitement à ceux des sites Web de programmes de fidélité légitimes. Ils peuvent par exemple enregistrer le site Web société-x.com hameçonner les clients qui croient visiter le site officiel entreprisex.com site Internet. De nombreux produits compilent ces données d'enregistrement dans des flux auxquels votre entreprise peut s'abonner et trouver des sites de phishing. La plupart des bureaux d'enregistrement de sites Web ont mis en place des processus permettant aux entreprises de signaler les sites de phishing et sont prêts à supprimer rapidement les sites Web de phishing. Avec la détection en temps réel en place, il est possible de supprimez les sites de phishing bien avant qu'une campagne de phishing n'atteigne vos clients.
De nombreux produits offrent également la possibilité de demander si une combinaison particulière de noms d'utilisateur et de mots de passe a été divulguée en ligne en temps réel. Cela permet à votre entreprise de vérifier chaque tentative de connexion et d'exiger une identification supplémentaire pour les comptes qui risquent d'être compromis. Cela limite considérablement la capacité des acteurs malveillants à tirer parti des informations d'identification divulguées. Flare Systems, par exemple, contient une vaste base de données de 2.5 milliards d'informations d'identification divulguées accessibles au public que les entreprises peuvent utiliser pour sécuriser leurs employés et leurs comptes clients.
Lorsqu'elles sont mises en œuvre ensemble, ces solutions grandement limiter la capacité des acteurs malveillants pour accéder à vos comptes clients et faire en sorte que votre entreprise soit perçue comme une cible difficile.
Conclusion
Les fraudeurs trouvent constamment de nouvelles façons de voler les données financières et personnelles des clients. En appliquant ces étapes, un programme de fidélité peut réduire considérablement la fraude commise par le biais de prises de contrôle de compte et prévenir la fraude avant qu'elle ne se produise. Si vous souhaitez en savoir plus sur la façon dont les solutions de Flare Systems peuvent vous aider à prévenir l'usurpation de compte et la fraude au programme de fidélité, demandez une démonstration à [email protected].
