Криминал там правит балл

 Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, провела исследование российского рынка цифрового мошенничества на программах лояльности.

В прошлом году эксперты F6 обнаружили 72 Telegram-бота, которые торговали бонусами и баллами 55 различных российских торговых сетей и маркетплейсов. Несмотря на активные блокировки со стороны администрации мессенджера, основные поставщики баллов развивают свой теневой бизнес и рекламируются в крупных Telegram-каналах.

Специалисты департамента расследований высокотехнологичных преступлений в ходе масштабного исследования выяснили, как устроен криминальный рынок по продаже баллов программ лояльности, как злоумышленники их получают и кто их покупает, а также подготовили рекомендации для бизнеса по предотвращению таких преступлений. Итоги исследования представлены в новом блоге на сайте F6.

За чертой штрихкода

Программы лояльности нужны бизнесу, чтобы привлекать и удерживать клиентов с помощью поощрений: скидок, бонусов и других привилегий. Баллы, промокоды, купоны – всё это инструменты программ лояльности. Одна из крупнейших торговых сетей России в 2024 году отчиталась, что за всё время существования их программа лояльности охватила свыше 80 млн клиентов.

Виртуальные бонусные баллы, которые сами по себе ничего не стоят, тоже становятся товаром – предметом подпольной торговли. Оценить её масштаб сложно: ритейлеры не раскрывают данные о возможных потерях из-за действий злоумышленников.

Баллы продают через Telegram-боты. Летом 2024 года специалисты F6 обнаружили 72 бота, которые торговали бонусами и баллами 55 различных российских сетей (в основном федеральных) и маркетплейсов. Среди них оказались 12 сетевых супермаркетов, 11 сетевых кафе и ресторанов быстрого питания, 5 маркетплейсов, а также ювелирные, косметические и аптечные сети, магазины одежды, детских и зоотоваров, сетевые АЗС.

К маю 2025 года число таких ботов уменьшилось почти вдвое: продолжают работать как минимум 36 «торговых площадок». Остальные были заблокированы администрацией Telegram. Однако основные поставщики баллов на «серый» рынок стремятся развивать бизнес. В том числе через рекламу в крупных Telegram-каналах, зарегистрированных в РКН.

Средняя стоимость бонусов в криминальных ботах – 20-30% от номинальной выгоды. Например, 3000 виртуальных баллов какой-либо торговой сети могут стоить от 600 до 1000 рублей.

Баллами торгуют в виде штрихкодов или QR-кодов, которые покупатель предъявляет на кассе для получения скидки. Также баллы могут продавать в виде «дампов» – закодированных строк с данными, которые при помощи специального оборудования записывают на пустые пластиковые карты программ лояльности и распространяют офлайн.

 Пять миллионов в час

Злоумышленники получают баллы двумя способами: похищают из взломанных личных кабинетов пользователей программ лояльности, а также генерируют путём вмешательства в компьютерные сети ритейлеров.

Личные кабинеты взламывают с помощью специальных программ для подбора номеров и паролей – чекеров, а также утечек баз данных. Также взломщики получают сведения для входа в личные кабинеты из логов стилеров: эти вредоносные приложения, попадая на устройство жертвы, похищают логины и пароли пользователя, а также другую информацию. Злоумышленники, использующие стилеры, продают полученные данные в даркнете.

Для генерации баллов злоумышленники разными путями подключаются к серверу программы лояльности ритейлера, например, через кассу самообслуживания или электронные весы. Мощность известных атак доходит до 5 млн бонусов в час: столько начислила на разные карты атакующих программа лояльности ритейлера, у которого один балл приравнивается к одному рублю.

Аналитики компании F6 называют две основные категории покупателей баллов.

Первая – профессиональные перекупщики. Они скупают баллы, чтобы приобрести на них ходовой товар (например, мясо или сахар) с большой скидкой, а затем перепродать его на сайтах бесплатных объявлений или в несетевые кафе, магазины и точки быстрого питания.

Вторая категория покупателей – обычные люди, которые приобретают баллы из экономии.

 Выйти из сумрака

«Развитию подпольного бизнеса на программах лояльности способствуют несколько факторов. Нет отдельного нормативного акта, который регулировал бы бонусные программы и карты лояльности как самостоятельный объект права. Кроме того, у многих ритейлеров мы отмечаем слабый уровень защиты программ лояльности. Страдают от этого в первую очередь клиенты, которые лишаются своих честно накопленных бонусов», – отмечает Вера Коленикова, специалист департамента компании F6 по расследованию высокотехнологичных преступлений.

Отметим, что в российском законодательстве баллы не приравнены к деньгам. Злоумышленники, которые похищают бонусы и используют их для покупки товаров или услуг по цене значительно ниже заявленной, фактически работают в «серой зоне». Практика привлечения скаммерсантов (от «скам» + «коммерсант», так называют себя сами злоумышленники) к уголовной ответственности насчитывает единичные примеры.

 Основные рекомендации специалистов F6 для ритейлеров по предотвращению атак скаммерсантов.

 Внедрение транзакционного антифрода и обмена данными.

• Использование службой безопасности фидов Threat Intelligence.
• Аудит программы лояльности.
• Внедрение подхода KYC (know your client) в работу с блогерами, через которых ритейлеры распространяют промокоды.