2020-07-04 23:27 來源:世牌網(wǎng)
未能保護(hù)獎勵計劃數(shù)據(jù)可能會促使客戶轉(zhuǎn)向更安全的競爭對手。
從內(nèi)曼·馬庫斯到 梅西百貨, StockX和 Poshmark在美國,零售數(shù)據(jù)泄露事件因暴露消費者的信用卡和借記卡信息而多次登上新聞頭條。 然而,盡管消費者可能正在關(guān)注他們的信用卡和銀行賬戶余額,以防范可疑活動,但另一種貨幣正日益受到攻擊:忠誠度計劃激勵措施。
專家告訴Retail Dive,由于零售商通過忠誠度計劃來吸引顧客,他們的獎勵可能更容易成為網(wǎng)絡(luò)罪犯的目標(biāo)。 根據(jù)Forter欺詐攻擊指數(shù)報告,忠誠度欺詐僅在一年內(nèi)就增加了89%。專家表示,未能保護(hù)這些激勵措施,不僅是令客戶、零售商和金融服務(wù)機(jī)構(gòu)頭疼的財務(wù)問題,還可能促使消費者轉(zhuǎn)向更安全的競爭對手。
雖然消費者可能對可疑的信用卡和借記卡交易保持高度警惕,但他們不像檢查其他金融賬戶那樣經(jīng)常檢查自己的忠誠度獎勵。LexisNexis Risk Solutions負(fù)責(zé)市場策略的副總裁金伯利?薩瑟蘭(Kimberly Sutherland)表示,因此,當(dāng)點數(shù)被盜時,它會推遲發(fā)現(xiàn)。
薩瑟蘭說,就像在線內(nèi)容或電子禮品卡等其他數(shù)字產(chǎn)品一樣,積分很容易獲得,一旦獲得就很難再拿回來。他還說,公司應(yīng)該從始至終加強(qiáng)安全措施,確保在線購買的數(shù)字和實體產(chǎn)品的安全。
薩瑟蘭說:“即使是在設(shè)立獎勵積分方面,我們也看到了對這些賬戶的操縱,同一個人可以使用不同的電子郵件地址、不同的社交媒體賬戶,甚至可能創(chuàng)造出完全合成的身份。”
薩瑟蘭和欺詐防范公司Forter的首席運營官科林?西姆斯(Colin Sims)都指出,酒店和航班獎勵等與旅游相關(guān)的忠誠度計劃,以及其他高價值的激勵措施,都是吸引黑客的高風(fēng)險因素。
至于哪個網(wǎng)絡(luò)渠道最容易受到攻擊,薩瑟蘭說,移動瀏覽器網(wǎng)站的欺詐攻擊比移動應(yīng)用的攻擊更成功,因為移動應(yīng)用往往更頻繁地嵌入安全更新。
SiteLock的產(chǎn)品和渠道營銷專家莫尼克?貝森蒂(Monique Becenti)表示,零售商在確保忠誠度計劃方面的不足之處,是確保注冊獎勵計劃的輸入平臺。她說,零售商至少需要確保自己擁有SSL證書,以便對消費者向零售商傳輸?shù)臄?shù)據(jù)進(jìn)行加密。
她說,零售商電子商務(wù)平臺上的注冊表單也容易受到SQL注入或跨站點腳本漏洞的攻擊,這些漏洞可能會使賬戶容易受到未經(jīng)授權(quán)訪問敏感數(shù)據(jù)的攻擊。
Becenti將跨站點攻擊描述為通過web瀏覽器向網(wǎng)頁或輸入字段添加惡意代碼進(jìn)行部署的攻擊,導(dǎo)致站點請求用戶重新輸入其登錄憑據(jù)并竊取用戶名和密碼。她說,另一方面,SQL注入使用惡意代碼到零售商的網(wǎng)站輸入字段,欺騙服務(wù)器,讓黑客未經(jīng)授權(quán)訪問該網(wǎng)站的數(shù)據(jù)庫。
究竟為什么黑客會追求用戶的忠誠度激勵?西姆斯說,首先,沒有多少專門用于防止忠誠度欺詐的技術(shù)。
首席安全官Becenti和吉爾Knesek數(shù)字營銷技術(shù)提供者獵豹數(shù)字告訴零售潛水,消費者的忠誠計劃信息網(wǎng)關(guān)為其他有價值的用戶信息,如客戶身份證號碼、電子郵件地址或信用卡信息,而Becenti指出,黑客可以以后自己黑暗的網(wǎng)絡(luò)上銷售或使用。
西姆斯說,為了將消費者忠誠度積分貨幣化,黑客可以接管存儲消費者信用卡信息的零售商賬戶。他說,一旦黑客入侵了一個或多個賬戶,他們就可以用積分兌換禮品卡,或?qū)w行里程積分作為禮物發(fā)送出去。
“你可以把票賣給別人。他們付錢給你然后你轉(zhuǎn)身用積分買了那張票,然后在那張票上換了名字,”西姆斯解釋道。“基本上,你是用積分來買票的。這是唯一不同于普通信用卡詐騙的地方。”
薩瑟蘭說,事實上,網(wǎng)絡(luò)欺詐者繼續(xù)將越來越多的目標(biāo)對準(zhǔn)銷售數(shù)字或數(shù)字和實體商品的零售商。根據(jù) LexisNexis的風(fēng)險解決方案網(wǎng)絡(luò)犯罪報告在美國,針對禮品卡提供商的每日欺詐攻擊率在2019年6月達(dá)到略高于12%的峰值,為過去兩年的最高水平。
西姆斯說,另一方面,使用這些指標(biāo)可能會使零售商驗證交易的工作進(jìn)一步復(fù)雜化,因為大多數(shù)商家沒有數(shù)據(jù)分析能力。他補(bǔ)充說,與現(xiàn)代的欺詐檢測服務(wù)不同,零售商只能檢查自己的數(shù)據(jù)集。
西姆斯說,在過去,零售商曾經(jīng)依靠某些規(guī)則來檢測欺詐交易,比如來自外國服務(wù)器的登錄,導(dǎo)致零售商管理和審計規(guī)則的“蜘蛛網(wǎng)”。他說,這樣的標(biāo)準(zhǔn)也能抓住被零售商誤認(rèn)為是黑客的真正消費者。
西姆斯表示:“如果你是一家奢侈品手表零售商,看到有人通過外國VPN從香港連接到一個酒店房間,你不會錯誤地認(rèn)為這是一筆可疑交易。”“但如果你知道那個人也在一家豪華酒店預(yù)訂了房間,這對他們來說是一種典型的旅行模式……突然之間,這個人看起來就像一個投資銀行家了。”
平衡易用性和網(wǎng)絡(luò)安全
西姆斯說,到目前為止,消費者已經(jīng)充分意識到保護(hù)在線個人數(shù)據(jù)安全的重要性,但過于依賴安全功能,比如登錄時需要多因素身份驗證,可能會給客戶帶來麻煩的用戶體驗。此外,他說,如果客戶與賬戶相關(guān)的電子郵件地址也被竊取,那么多因素身份驗證可能不是一個有效的工具。
薩瑟蘭說,除了對可疑交易實施多因素身份驗證外,零售商還可以采用不需要客戶輸入的被動身份驗證方法的組合,比如檢查特定設(shè)備是否與賬戶相關(guān),或者設(shè)備上是否有惡意軟件。
薩瑟蘭說,零售商可以從評估設(shè)備和交易的風(fēng)險開始。例如,用戶是否只是試圖訪問帳戶,或者他們是否更改了關(guān)聯(lián)的電子郵件地址?她說,后一種方式需要更主動的身份驗證,比如接收密碼或向用戶發(fā)送安全問題。
盡管核實用戶身份對消費者和零售商來說都很耗時,但Knesek表示,消費者越來越習(xí)慣于遵守更嚴(yán)格的網(wǎng)絡(luò)安全措施,以便公司能夠保護(hù)他們收集的個人數(shù)據(jù)。
Knesek笑著說:“我記得以前密碼可以是‘12345’,現(xiàn)在你必須有更復(fù)雜的大寫字母和數(shù)字。”“對我來說,最重要的是確保數(shù)據(jù)安全。”
薩瑟蘭表示,除了對提供忠誠度激勵的零售商和金融服務(wù)公司造成財務(wù)上的麻煩外,未能保護(hù)客戶的忠誠度獎勵可能會促使消費者轉(zhuǎn)向競爭對手,即使消費者以合理的價格提供他們想要的商品或服務(wù)。
薩瑟蘭說:“作為一個消費者,如果我獲得了(忠誠積分),我希望使用它們。”“如果有人不恰當(dāng)?shù)剡M(jìn)入了我的賬戶,拿走了我的分?jǐn)?shù),那么……現(xiàn)在我完全失去了對公司的信任,我再也得不到我應(yīng)得的東西。”