​Банки зафиксировали попытки краж кешбэка с бонусных счетов клиентов

Мошенники стали интересоваться бонусными счетами банковских клиентов, на которые они получают кешбэк за покупки по программе лояльности. Новый способ кражи накопленных баллов и миль обнаружили специалисты ВТБ, рассказал РБК руководитель программы лояльности «Мультибонус» ВТБ Роман Синенко.

Специалисты банка отмечают рост активности мошенников, которые стремятся взломать бонусные счета клиентов в программе лояльности. «В начале лета банк фиксирует попытки злоумышленников зайти в личный кабинет клиента и вывести с бонусного счета накопленные бонусы или мили, покупая товары и услуги из каталога программы", — говорит Синенко, добавляя, что подобные попытки пресекаются банком.

У ВТБ для управления бонусным счетом создано отдельное приложение «Мультибонус», которое было запущено летом прошлого года. В нем отображается сумма полученных баллов за покупки, которые можно переводить в рубли или тратить в магазинах через это приложение. В феврале этого года к программе лояльности «Мультибонус» своих клиентов присоединил и Почта банк (ВТБ владеет пакетом 50% минус 1 акция).

Аферисты переключаются на новый сегмент — бонусные счета в программах лояльности на фоне увеличения степени защиты денежных счетов клиентов. "Еще этой весной мы не фиксировали подобной активности, это новый тренд, и клиентам, имеющим личные кабинеты в бонусных программах, нужно проявлять большую бдительность», — объяснил Синенко.

Представитель Почта банка сообщил, что мошенники действительно становятся все более изобретательными и покушаются не только на деньги на счетах клиентов, но и на баллы. «Однако, как правило, личные кабинеты приложений надежно защищены антифрод-системами и препятствуют таким мошенническим попыткам», — сказал он, добавив, что конвертировать бонусы в рубли можно только на банковский счет клиента.

Как именно мошенники пытаются получить доступ к бонусному счету, представитель ВТБ уточнять отказался, но напомнил, что клиентам не следует сообщать никакой личной информации (номера банковских карт, паспортные данные, кодовые слова, логины и пароли) людям, звонящим с незнакомых номеров, а также внимательно относиться к подозрительным ссылкам в СМС и электронных письмах. «Часто мошенники пытаются выяснить или уточнить личные данные поэтапно и звонят несколько раз с разными вопросами об имени, адресе или месте прописки», — добавляет Синенко.

Что говорят другие банки

Россельхозбанк, Промсвязьбанк, МКБ, Тинькофф банк, Кредит Европа банк, банки «Дом.РФ», «Ренессанс Кредит», «Хоум Кредит» и банк «Зенит» не фиксировали всплесков такого вида мошенничества. «В рамках нашей программы лояльности подобная кража невозможна технически. Отдельного приложения для программы лояльности в МКБ нет, управление программ лояльности осуществляется в интернете и мобильном банке «МКБ Онлайн», — объяснил представитель МКБ, на это же указали и в Кредит Европа банке. Тинькофф банку известны случаи, когда злоумышленники используют программы лояльности как приманку в различных сценариях с социальной инженерией: например, предлагают клиенту сделать небольшую доплату, чтобы получить бонусы, или просят сообщить данные карты, куда якобы потом переведут бонусы, после чего списывают с этой карты деньги.

Приложение программы лояльности также есть у Сбербанка. Он не ответил на запрос РБК, как и остальные крупные банки.

Как и зачем мошенники получают доступ к бонусам

Раньше злоумышленники проявляли интерес к программам лояльности интернет-магазинов, авиакомпаний и т.д., говорит руководитель направления «Лаборатории Касперского» по предотвращению онлайн-мошенничества Максим Федюшкин. Это же подтверждает и представитель Group-IB. По его словам, в банковских программах лояльности такой тип мошенничества пока не встречался.

Причиной всплеска интереса злоумышленников к банковским программам лояльности может быть появление новых, более выгодных вариантов монетизации бонусов, считает Федюшкин. Мошенники стараются получить максимум от каждой жертвы, добавляет начальник отдела по противодействию мошенничеству центра прикладных систем безопасности компании «Инфосистемы Джет» Алексей Сизов.

Как правило, мобильные и веб-приложения программ лояльности защищены намного хуже, чем онлайн-банкинг, рассуждает руководитель отдела анализа защищенности веб-приложений Positive Technologies Ярослав Бабин — и даже в банковских приложениях (по статистике 2019 года — в каждом втором) встречаются уязвимости. «Зачастую доступы к личным кабинетам получают с помощью вредоносного ПО на компьютерах пользователей или с помощью утечек (массово проверяют утекшие логины и пароли в различных системах), используя примитивную уязвимость перебора паролей в таких сервисах», — добавляет Бабин.

Согласно опросу «Лаборатории Касперского», в России только 20% пользователей программ лояльности всегда помнят, сколько на их счету бонусных баллов. Соответственно, вероятность, что пропажу обнаружат, будет меньше, чем при краже денег, отмечает Федюшкин: более того, за исчезновение бонусных баллов клиенты склонны переживать не так сильно, поэтому у злоумышленников больше шансов избежать ответственности.

Евгения ЧЕРНЫШОВА