Тысячебалльный шторм: ботов научили похищать бонусы программ лояльности
Полученные сомнительным способом скидки и баллы монетизируют через мессенджеры
EN
Новый способ монетизации баллов программ лояльности придумали мошенники. Они стали использовать специальные программы — боты, которые массово регистрируются на сайтах торговых сетей, кафе, служб доставки, имитируя реальных пользователей. Такие фейковые аккаунты получают приветственные бонусы, баллы на день рождения или по различным акциям. А далее в специальных Telegram-чатах эти баллы может купить любой желающий: есть как схемы с заказами конкретных товаров по сниженной цене, так и с продажей баллов. Опрошенные юристы отмечают, что такая деятельность находится вне закона: она может квалифицироваться как хищение в виде мошенничества, так как баллы по условиям ритейлеров предназначены реальным людям, а не ботам.
Как похищают баллы
С начала 2025 года в компании по кибербезопасности стали обращаться ритейлеры и онлайн-сервисы, которые несут убытки из-за новой мошеннической схемы похищения баллов по программам лояльности, рассказали «Известиям» участники IT-рынка.
Программы с бонусными баллами есть у большинства онлайн- и офлайн-магазинов, напомнил руководитель аналитического отдела компании Servicepipe Антон Чемякин. Причем начисление может быть связано не только с суммой совершенных покупок.
— Например, часто можно встретить приветственные бонусы новым клиентам или же бонусы в честь дня рождения. Баллы начисляются также в рамках маркетинговых акций, например, «Приведи друга». Оплатить бонусами можно также разный процент покупок, иногда всю покупку целиком, — пояснил эксперт.
И именно эти баллы или бонусы становятся целью злоумышленников. Они разрабатывают программы-боты, которые регистрируют на сайтах компаний вроде бы реальных новых клиентов и получают бонусы. Номера телефонов боты берут из утекших в сеть баз данных. При этом все системы защиты легко обходятся — если при регистрации требуется ввести код из СМС, бот просто вводит десятки тысяч вариантов, пока не угадает нужный.
— При высокой активности ботов на незащищенных от подобных атак ресурсах ботовод может «заработать» большое количество бонусов от самых разных игроков, — добавил Антон Чемякин.
Случаи применения подобной схемы из единичных стали массовыми, подтвердил эксперт по информационной безопасности iTPROTECT Евгения Галушко.
Как выводят деньги
Чтобы заработать на полученных баллах, ушлые граждане создают специальные Telegram-каналы, чаты, страницы в соцсетях, рассказал Антон Чемякин.
— Там публикуются сообщения в стиле «Промокод от магазина «Кошки» на покупку 500 рублей всего за 50 рублей» или предложение заказать кофе с доставкой на сумму 400 рублей всего за 100 рублей, — пояснил эксперт.
Если баллы начисляются в виде промокода, злоумышленники просто могут его продать — они же получили его бесплатно. Если бонусы привязаны к конкретному аккаунту клиента, то бот сам сделает заказ. Эта схема актуальна для супермаркетов, магазинов одежды, онлайн-кинотеатров, музыкальных сервисов и сайтов по продаже билетов на различные мероприятия, убедились «Известия». Заказчики, покупающие через подобный чат, пополняют привязанный к нему кошелек, а затем тратят деньги на приобретение скидок.
«При покупке в боте вам выдается карточка магазина, промокод, аккаунт или что-то типа того. Ко всему прилагается подробная инструкция по использованию», — обещают пользователям одного из них (орфография сохранена).
У таких ботов есть и собственная программа бонусов. За каждого приведенного друга пользователю обещают 5% от их пополнений привязанного к боту кошелька.
«Поверьте, хватает иногда даже парочки знакомых позвать, чтобы закупаться у нас потом за их счет. А если вы пригласите много людей и у вас накопится большой баланс, его можно даже вывести. Вот так вот можно организовать себе пассивный заработок», — указали создатели чат-бота (в частности, в этом зарегистрированы более 30 тыс. человек).
Иногда по цене со скидкой злоумышленники сразу приобретают товары, а затем перепродают их, но дешевле, чем на исходном сайте, обналичивая таким образом часть баллов, рассказал руководитель отдела информационной безопасности группы компаний «Гарда» Виктор Иевлев.
Доходы владельцев ботов могут в десятки раз превышать затраты на создание и функционирование таких программ, рассказал Антон Чемякин.
— Страдают от подобных ботовых атак в первую очередь крупные игроки с широкой сетью по всей стране, поскольку в этом случае «ботоводам» проще монетизировать свою деятельность, — отметил он. — Среди жертв злоумышленников встречаются и компании, широко представленные в одном регионе.
«Известия» направили запрос крупным ритейлерам, представителям общепита с просьбой поделиться, как они противостоят подобным угрозам.
Какие еще схемы существуют
Схем мошенничества с бонусами продавцов существует очень много, заверили в компаниях по кибербезопасности.
— Например, нам стало известно о случаях, когда мошенники похищали баллы у владельцев карты «Пятерочки», — отметил Виктор Иевлев. — Также в разных магазинах бывают случаи, когда сами кассиры мошенничали с картами и списывали данные у владельцев. Они просили оплатить покупку наличкой якобы из-за зависания терминала, но при этом списывали за покупку баллы.
Также, по его словам, источником уязвимости для списания или перевода баллов на счет мошенников могут стать мобильные приложения.
— Хакеры научились перепривязывать активированные карты лояльности к любым номерам телефонов. А в приложениях с картами пользователи нередко устанавливают слабые пароли, злоумышленники использую простой перебор для взлома личного кабинета и кражи бонусов или баллов, — подчеркнул эксперт.
Несколько лет назад были массовые случаи воровства бонусных миль у авиакомпаний. Хакеры взламывали аккаунты пользователей и тратили их мили на покупку авиабилетов, рассказал генеральный директор компании «Нейроинформ» Александр Дмитриев.
— Также была обнаружена уязвимость в одном из магазинов, которая позволяла накручивать баллы, и пока уязвимость не закрыли, компания потеряла несколько миллионов рублей, — подчеркнул он.
В другом случае, по его словам, злоумышленники зарегистрировали новый аккаунт на сайте интернет-магазина на фейковую почту.
— После авторизации они написали скрипт, который перебрал личные кабинеты всех пользователей магазина и проверял наличие баллов. В итоге злоумышленники нашли достаточное количество учетных записей с большим количеством баллов. И закупали товар от имени данной учетной записи, оплачивая большую часть баллами, а остальное отдавая наличкой при получении товара, — раскрыл схему эксперт.
Случаев воровства баллов стало больше, поскольку, во-первых, бонусные программы появились у большинства магазинов и сервисов, а во-вторых, выросло число хакерских атак в целом, полагает он.
Можно ли привлечь к ответственности «ботоводов»
Ситуация, когда злоумышленники с помощью автоматизированных средств регистрируют фальшивые аккаунты для получения баллов, — это яркий пример незаконной деятельности в цифровой экономике, считает советник практики интеллектуальной собственности юридической компании ЭБР Артем Евсеев.
— Подобные схемы, при которых ботами имитируются реальные пользователи для получения бонусных баллов, могут квалифицироваться как хищение в виде мошенничества. Да, бонусные баллы формально не являются денежными средствами или каким-то иным имуществом. Но при помощи данного актива пользователь может приобрести реальные товары, — отметил он.
Пока нет отдельного нормативного акта, регулирующего бонусные программы и карты лояльности как самостоятельный объект права, добавил он. Однако в таких случаях могут быть применены общие нормы потребительского, гражданского и уголовного законодательства, а именно статьи о мошенничестве и неправомерном присвоении чужого имущества.
— Кроме того, можно привлечь к ответственности за нарушение условий пользовательского соглашения, что является основой взаимоотношений между ритейлером и его клиентами. Это позволит заблокировать учетную запись пользователя и применить к нему иные меры реагирования, — отметил он.
Если боты используют автоматизированные системы для регистрации и получения баллов, это может быть дополнительно квалифицировано как неправомерный доступ к компьютерной информации (ст. 272 УК РФ), добавил гендиректор Национальной юридической компании «Митра», член Совета «Международной ассоциации юристов и консультантов» Юрий Мирзоев.
Когда злоумышленники, не имея права на приобретение бонусных баллов или скидок, неправомерно их используют, это создает признаки причинения имущественного ущерба собственнику — путем обмана или злоупотребления доверием, запрещенное ст. 165 УК РФ, добавила старший юрист Criminal Defense Firm Екатерина Харченко.
Но в этом случае, по ее словам, стороне обвинения придется доказывать, что существует серьезная разница между экономическими оборотами компании в условиях неправомерного завладения конкурсными баллами и без него.
Почему бонусы выгодны продавцам
Бонусные программы особенно с элементами игры — мощный инструмент для бизнеса, который повышает вовлеченность клиентов и стимулирует их возвращаться снова, пояснил независимый пиар-консультант Денис Голдман. Это позволяет увеличить средний чек и частоту покупок.
— Вложения в такие программы окупаются, если механика продумана грамотно. Геймификация должна мотивировать клиентов тратить больше, а не просто собирать баллы ради скидок, — подчеркнул он.
Важно следить за экономической моделью программы, чтобы избежать ситуаций, когда бизнес вынужден раздавать слишком щедрые бонусы без реального увеличения прибыли, подчеркнул эксперт.
— Чтобы минимизировать такие риски, бизнесу важно устанавливать четкие правила использования бонусов, ограничивать их срок действия и внедрять механизмы защиты от мошенничества, — отметил он.
Чтобы повысить безопасность бонусных программ и их устойчивость к атакам ботов, важно внедрять многофакторную аутентификацию и усложнять процесс регистрации, подчеркнула Евгения Галушко.
— Стоит подумать и о внедрении системы анализа поведения пользователей, считает эксперт. Боты, даже самые продвинутые, по ее словам, часто выдают себя неестественными и слишком быстрыми для человека действиями, — сказала она.
Современные системы позволяют это отследить, заверила эксперт.
Продавцам следует не только совершенствовать технические средства защиты от автоматизированных регистраций и использования ботов, но и пересматривать условия программ лояльности с целью минимизации правовых лазеек, позволяющих злоумышленникам извлекать выгоду, добавил Артем Евсеев.
