网店促销威胁时时在发生！为网店促销安全赋能

导读：

有价值的账户，安全性差

忠诚度计划欺诈是昂贵的

犯罪分子愿意为奖励计划数据工作

现在是获得更好的奖励计划安全的时候了

攻击电子商务商家的欺诈者，并不总是把他们邪恶的努力集中在你可能想到的地方。有时候他们不是试图窃取产品或服务，而是寻求访问零售商的在线奖励计划，要么使用被劫持的客户账户中的积分，要么窃取个人数据。犯罪分子为忠诚度计划提供信息的长度可能让您大吃一惊。

当您发布有关奖励计划时，欺诈者需要花费很长时间才能大规模地定位奖励计划，这有点令人惊讶。根据Blackhawk Network Research的2019年报告，大约87％美国消费者是 至少一个忠诚度计划的成员，平均消费者属于六个。Blackhawk调查美国企业近一半提供忠诚度计划，因为它们鼓励重复业务，增加收入并提高成员客户的终身价值。

这里有更多关于为什么忠诚度计划是如此诱人的目标，商家和消费者面临风险以及如何保护您的奖励计划的原因。

有价值的账户，安全性差

奖励计划受到企业和消费者的欢迎，但关于这些程序是犯罪分子想要的两件事的存储库事实并没有太多讨论：可用于购买或转换为现金和可以出售的数据的点数。利用帐户接管攻击。根据忠诚欺诈预防协会联合创始人Peter R. Maeder的说法，在美国，奖励账户的 总价值为600亿美元。Maeder告诉PYMNTS，这些账户的全球价值是2500亿美元。

尽管有这些价值，奖励计划的安全性往往不够强大。由于销售点和卡片不存在欺诈变得更难以实施，欺诈者正在将奖励帐户转变为新的收入来源。由于简单的注册程序和宽松的密码要求，一位安全专家将“纽约时报 ”的奖励计划安全性描述 为“阻力最小的路径”。简单的密码很容易被机器人辅助的欺诈者破解，保护许多忠诚度帐户的四位数密码更容易。

忠诚度计划欺诈是昂贵的

奖励计划欺诈的成本很高，并且正在上升。PYMNTS报告称，从2016年到2017年，对忠诚度账户的攻击增加近三倍，全球成本为23亿美元。补救通常包括更换被盗奖励的费用。“纽约时报”报道的一起案件涉及一名希尔顿荣誉客会会员，他们向黑客失去了80,000个计划点（价值约400美元）。在该男子报告盗窃事件后，希尔顿取代了积分。这些报销加起来，需要考虑更多的成本。

忠诚度计划违规会产生可能导致客户流失的糟糕宣传。万豪自2018年11月以来一直定期成为头条新闻，因为喜达屋的忠诚度计划遭到严重破坏，而万豪收购喜达屋之前并未发现这一点。大约在同一时间，雷迪森酒店集团报告其雷迪森奖励计划中的违规行为影响了未公开数量的账户。

自首次报告以来，万豪已重新命名其奖励计划。这是一个明智的举措，因为研究表明，消费者对被破坏的品牌持谨慎态度。2018年的Ping Identity调查发现，超过四分之三的消费者停止与违规品牌打交道，49％的消费者不会加入或使用违反的在线服务。

还有监管处罚。根据英国和欧洲经济区估计3700万客户的个人数据丢失，万豪将面临1.23亿美元的GDPR罚款。随着越来越多州和国家制定数据保护法，例如于2020年生效的“加利福尼亚州消费者隐私法”，公司可能会因失去忠诚度计划数据而面临越来越多的处罚和罚款。

犯罪分子愿意为奖励计划数据工作

很明显，虽然奖励计划对企业和消费者有利，但违规的后果可能非常严重。最近变得明显的是目标忠诚度计划对有组织犯罪黑客有多大。即使帐户不容易破解，欺诈者也许愿意努力工作以大规模破坏帐户。

今年4月，印度最大的IT服务公司之一Wipro发布了违规行为。Wipro在全球拥有主要的零售，政府和行业客户，起初，该漏洞的目标似乎是访问Wipro客户的系统。调查人员发现，黑客已经在Wipro系统中使用了大约三年。这次攻击的复杂性提高了它可能是由国家赞助的，也许是一次间谍活动。

当调查人员发现入侵者是在Wipro的客户经营的忠诚度和礼品卡计划之后，这个想法基本上被抛弃了。最近，网络安全公司RiskIQ发布了 一份关于Wipro漏洞调查的报告。它表示，违规行为是针对不同行业的数十家公司的更大规模竞选的一部分。“礼品卡鲨鱼”团体的动机是对他们的目标员工进行网络攻击，访问目标网络，并从客户忠诚度，员工奖励和礼品卡计划中窃取数据。

总而言之，自2016年以来，RiskIQ发现了礼品卡鲨鱼群的五个单独的攻击活动。其中四个针对忠诚度和奖励计划。RiskIQ发现有证据证明百思买，史泰博，GameStop，达顿餐厅和Expedia是该集团目标的数十家公司之一。该集团还追踪资金转移，预付费服务和支付服务提供商，以及无法识别的大量目标。

为什么这个群体如此广泛地定位忠诚度和礼品卡计划？调查人员认为，目标是将奖励积分转换为礼品卡和礼品卡，然后找到“将资金转移到更传统的机构”的方法。这笔钱的计划是什么？偷了多少钱？犯罪背后是谁？安全专业人员仍然不知道。

现在是获得更好的奖励计划安全的时候了

Wipro违规行为的教训是，每个拥有忠诚度计划的商家都需要立即采取措施，使计划更加安全。与在线卡欺诈预防一样，安全层是防范奖励计划黑客最佳方法。

首先是加强奖励计划帐户的密码或PIN复杂性要求。四位数的PIN不够复杂。虽然需要长达111小时的暴力强制随机四位数的PIN，但 20％的PINS是1234,0000或1111，可以在几秒钟内手动测试。还应鼓励奖励计划成员为其帐户创建一个他们不会在其他任何地方重复使用的唯一密码。

加密奖励的计划成员数据可以减少在发生违规时造成的损害。尽管万豪 - 喜达屋忠诚计划违规行为中暴露的超过900万张支付卡号码已加密，但超过500万客户的护照号码未加密，促使他们容易遭受身份盗用。

同样值得考虑您的奖励计划需要收集多少数据。那是因为无论你是否使用它，你都必须保护它。在这么多违规行为之后，消费者对于分享信息以获得奖励更加谨慎。哈里斯民意调查最近发现，76％美国消费者 更有可能加入忠诚度计划 ，只需要他们的姓名和电话号码。大约71％受访者表示如果他们必须共享帐户信息或“其他敏感数据”，他们参与的可能性就会降低。

最后，监控奖励帐户活动是一个好主意，就像监控支付卡活动的可疑活动一样，例如时间紧密但在不同状态下的购买，或者一系列与过去帐户持有人行为不匹配的异常兑换。当您能够快速识别被黑名单的帐户并提醒客户时，您可以限制对其帐户的损害，保护您的关系并保护您的利润。