Россию захлестнула новая волна мошенничества. Хакеры крадут, генерируют или подбирают данные от карт лояльности и продают их или сами совершают покупки в магазинах за чужой счёт.

Вариантов мошеннических действий несколько. Злоумышленник может получить доступ к личному кабинету жертвы на сайте магазина и совершить покупку за его счёт накопленными бонусными баллами. Ещё один вариант — залогиниться в приложение магазина со встроенной картой лояльности с логином и паролем от чужой учётной записи и оплатить покупку в магазине.

В программах лояльности многих магазинов существуют уязвимости, которые позволяют несанкционированно получать доступ к чужим накоплениям (например, подбором пароля к телефонному номеру, на который зарегистрирована карта).

Скриншоты карт лояльности, которые можно использовать для совершения покупок, продаются на различных сайтах с дисконтом от номинала — иногда в десятки раз дешевле той суммы, которая есть на счету. Наиболее ценные карты мошенники используют сами. При этом они зачастую не несут никаких расходов, ведь в некоторых случаях бонусные баллы можно применять для полной оплаты товаров.



По словам председателя комитета по торговле «Деловой России» Алексея Федорова, количество атак с кражей бонусов и скидок в 2019 году увеличилось в разы — до нескольких десятков тысяч случаев в месяц. Он пояснил, что данные для доступа к средствам на картах лояльности могут похищать в том числе работники магазинов и колл-центров, поскольку они имеют неограниченный доступ к такой информации.

Распространению мошеннических действий с программами лояльности способствует конкуренция между магазинами, которые сочетают скидочные системы с накоплением бонусов. Кроме того, покупатели реже пользуются физическими картами, предпочитая хранить их цифровые копии в смартфоне. Магазины борются с новым видом мошенничества разными способами: например, принимают скриншоты и карты в приложениях только для накопления бонусов, а для списания просят предъявить физическую карту.

Полиция неохотно берётся за расследование незаконных списаний с карт лояльности, ведь накопленные баллы хотя и представляют из себя замену денежным средствам, но формально не являются деньгами. Роскомнадзор не расследует случаи утечки данных для доступа к картам лояльности, поскольку не считает логины и пароли от сайтов и мобильных приложений персональными данными, которые подлежат защите по закону.