2020-07-04 23:27 来源:世牌网
未能保护奖励计划数据可能会促使客户转向更安全的竞争对手。
从内曼·马库斯到 梅西百货, StockX和 Poshmark在美国,零售数据泄露事件因暴露消费者的信用卡和借记卡信息而多次登上新闻头条。 然而,尽管消费者可能正在关注他们的信用卡和银行账户余额,以防范可疑活动,但另一种货币正日益受到攻击:忠诚度计划激励措施。
专家告诉Retail Dive,由于零售商通过忠诚度计划来吸引顾客,他们的奖励可能更容易成为网络罪犯的目标。 根据Forter欺诈攻击指数报告,忠诚度欺诈仅在一年内就增加了89%。专家表示,未能保护这些激励措施,不仅是令客户、零售商和金融服务机构头疼的财务问题,还可能促使消费者转向更安全的竞争对手。
虽然消费者可能对可疑的信用卡和借记卡交易保持高度警惕,但他们不像检查其他金融账户那样经常检查自己的忠诚度奖励。LexisNexis Risk Solutions负责市场策略的副总裁金伯利?萨瑟兰(Kimberly Sutherland)表示,因此,当点数被盗时,它会推迟发现。
萨瑟兰说,就像在线内容或电子礼品卡等其他数字产品一样,积分很容易获得,一旦获得就很难再拿回来。他还说,公司应该从始至终加强安全措施,确保在线购买的数字和实体产品的安全。
萨瑟兰说:“即使是在设立奖励积分方面,我们也看到了对这些账户的操纵,同一个人可以使用不同的电子邮件地址、不同的社交媒体账户,甚至可能创造出完全合成的身份。”
萨瑟兰和欺诈防范公司Forter的首席运营官科林?西姆斯(Colin Sims)都指出,酒店和航班奖励等与旅游相关的忠诚度计划,以及其他高价值的激励措施,都是吸引黑客的高风险因素。
至于哪个网络渠道最容易受到攻击,萨瑟兰说,移动浏览器网站的欺诈攻击比移动应用的攻击更成功,因为移动应用往往更频繁地嵌入安全更新。
SiteLock的产品和渠道营销专家莫尼克?贝森蒂(Monique Becenti)表示,零售商在确保忠诚度计划方面的不足之处,是确保注册奖励计划的输入平台。她说,零售商至少需要确保自己拥有SSL证书,以便对消费者向零售商传输的数据进行加密。
她说,零售商电子商务平台上的注册表单也容易受到SQL注入或跨站点脚本漏洞的攻击,这些漏洞可能会使账户容易受到未经授权访问敏感数据的攻击。
Becenti将跨站点攻击描述为通过web浏览器向网页或输入字段添加恶意代码进行部署的攻击,导致站点请求用户重新输入其登录凭据并窃取用户名和密码。她说,另一方面,SQL注入使用恶意代码到零售商的网站输入字段,欺骗服务器,让黑客未经授权访问该网站的数据库。
究竟为什么黑客会追求用户的忠诚度激励?西姆斯说,首先,没有多少专门用于防止忠诚度欺诈的技术。
首席安全官Becenti和吉尔Knesek数字营销技术提供者猎豹数字告诉零售潜水,消费者的忠诚计划信息网关为其他有价值的用户信息,如客户身份证号码、电子邮件地址或信用卡信息,而Becenti指出,黑客可以以后自己黑暗的网络上销售或使用。
西姆斯说,为了将消费者忠诚度积分货币化,黑客可以接管存储消费者信用卡信息的零售商账户。他说,一旦黑客入侵了一个或多个账户,他们就可以用积分兑换礼品卡,或将飞行里程积分作为礼物发送出去。
“你可以把票卖给别人。他们付钱给你然后你转身用积分买了那张票,然后在那张票上换了名字,”西姆斯解释道。“基本上,你是用积分来买票的。这是唯一不同于普通信用卡诈骗的地方。”
萨瑟兰说,事实上,网络欺诈者继续将越来越多的目标对准销售数字或数字和实体商品的零售商。根据 LexisNexis的风险解决方案网络犯罪报告在美国,针对礼品卡提供商的每日欺诈攻击率在2019年6月达到略高于12%的峰值,为过去两年的最高水平。
西姆斯说,另一方面,使用这些指标可能会使零售商验证交易的工作进一步复杂化,因为大多数商家没有数据分析能力。他补充说,与现代的欺诈检测服务不同,零售商只能检查自己的数据集。
西姆斯说,在过去,零售商曾经依靠某些规则来检测欺诈交易,比如来自外国服务器的登录,导致零售商管理和审计规则的“蜘蛛网”。他说,这样的标准也能抓住被零售商误认为是黑客的真正消费者。
西姆斯表示:“如果你是一家奢侈品手表零售商,看到有人通过外国VPN从香港连接到一个酒店房间,你不会错误地认为这是一笔可疑交易。”“但如果你知道那个人也在一家豪华酒店预订了房间,这对他们来说是一种典型的旅行模式……突然之间,这个人看起来就像一个投资银行家了。”
平衡易用性和网络安全
西姆斯说,到目前为止,消费者已经充分意识到保护在线个人数据安全的重要性,但过于依赖安全功能,比如登录时需要多因素身份验证,可能会给客户带来麻烦的用户体验。此外,他说,如果客户与账户相关的电子邮件地址也被窃取,那么多因素身份验证可能不是一个有效的工具。
萨瑟兰说,除了对可疑交易实施多因素身份验证外,零售商还可以采用不需要客户输入的被动身份验证方法的组合,比如检查特定设备是否与账户相关,或者设备上是否有恶意软件。
萨瑟兰说,零售商可以从评估设备和交易的风险开始。例如,用户是否只是试图访问帐户,或者他们是否更改了关联的电子邮件地址?她说,后一种方式需要更主动的身份验证,比如接收密码或向用户发送安全问题。
尽管核实用户身份对消费者和零售商来说都很耗时,但Knesek表示,消费者越来越习惯于遵守更严格的网络安全措施,以便公司能够保护他们收集的个人数据。
Knesek笑着说:“我记得以前密码可以是‘12345’,现在你必须有更复杂的大写字母和数字。”“对我来说,最重要的是确保数据安全。”
萨瑟兰表示,除了对提供忠诚度激励的零售商和金融服务公司造成财务上的麻烦外,未能保护客户的忠诚度奖励可能会促使消费者转向竞争对手,即使消费者以合理的价格提供他们想要的商品或服务。
萨瑟兰说:“作为一个消费者,如果我获得了(忠诚积分),我希望使用它们。”“如果有人不恰当地进入了我的账户,拿走了我的分数,那么……现在我完全失去了对公司的信任,我再也得不到我应得的东西。”
