Уязвимости процессов в CRM системах и методы их защиты
Программное обеспечение Программное обеспечение

Виды уязвимостей процессов в CRM-системах. Требования к антифрод-системе для защиты CRM.

Главная>Программное обеспечение>Осторожно, CRM: как мошенники используют систему себе во благо
Программное обеспечение Тема номера

Осторожно, CRM: как мошенники используют систему себе во благо

Дата публикации:
29.03.2023
Посетителей:
1136
Просмотров:
1014
Время просмотра:
2.3

Авторы

Автор
Сергей Глотов Руководитель группы аналитики по противодействию мошенничеству центра прикладных систем безопасности компании «Инфосистемы Джет»

Виды уязвимостей процессов в CRM-системах.


Требования к антифрод-системе для защиты CRM.

 

Разберемся в уязвимостях процессов в CRM-системах на примере мошеннических посягательств, с которыми столкнулись интернет-магазины и агрегаторы в последние годы, а во второй части статьи рассмотрим способы эффективного противодействия мошенникам. 

 

Ниже мы рассмотрим варианты мошенничества в зависимости от его инициаторов.

 

Когда мошенник — покупатель 

 

Среди покупателей всегда есть пул профессиональных мошенников, специализирующихся на интернет-магазинах. Они внимательно изучают маркетинговую и юридическую информацию, размещенную интернет-магазином на сайте, а именно:

 

  • порядок проведения сделок, включая условия доставки, возврата и способы оплаты товаров;
  • акции и промокоды;
  • условия программы лояльности.

 

Это позволяет им найти уязвимости и воспользоваться ими в своих целях. Рассмотрим конкретные случаи.

 

 

Кешбэк на все 

 

В мошеннических схемах часто используется кешбэк — бонусные баллы, которые площадка начисляет клиенту за покупку товара с возможностью дальнейшей оплаты ими заказов. Это широко используемый механизм, привлекающий как добросовестных клиентов, так и мошенников. 

 

Чаще всего мошенник стремится получить баллы за фактически неоплаченный товар, эксплуатируя уязвимости системы возвратов. Например, покупатель возвращает товар продавцу, а себе — уплаченные за него деньги уже после начисления бонусных баллов, которыми свободно пользуется. 

 

Для маркетплейсов характерно использование схемы продажи, при которой оплата происходит через маркетплейс, а доставка (или выдача) и возврат товара совершаются силами продавца. Как правило, сроки, отведенные на возврат товара и начисление бонусных баллов, совпадают и равны 14 дням.

 

Популярна схема, когда мошенник совершает покупку товара на маркетплейсе с выдачей товара у конкретного продавца. В последний день возврата товаров надлежащего качества мошенник инициирует возврат через продавца. При этом он рассчитывает время возврата так, чтобы информация о возврате товара была доведена до маркетплейса уже после автоматизированного начисления мошеннику бонусных баллов. В этом случае мошенник зачастую пользуется задержкой в передаче информации о смене статуса заказа маркетплейсу. Иногда продавцы и вовсе не сообщают в маркетплейс о совершенном возврате товара по халатности, из-за некорректно настроенных бизнес-процессов или сговора сотрудника продавца с мошенником.

 

Кроме того, многие агрегаторы ведут бонусные программы, представляя на своей площадке услуги и товары иностранных компаний, с которыми намного сложнее коммуницировать, чем с отечественными. Яркий пример — агрегаторы в сфере отельного бизнеса и смежных услуг. Подтверждение реальности заезда гостя в небольшой отель на другом конце планеты может оказаться проблемой, чем и пользуются мошенники.

 

Промокод не для промо

 

Еще один популярный инструмент привлечения покупателей — промокоды на скидку. Вот пример мошенничества с использованием одной из самых распространенных акций — промокода на первую покупку. В большинстве случаев учетная запись клиента в интернет-магазине привязывается к номеру телефона. Мошенник регистрирует множество учетных записей, используя виртуальные номера на основе IP-телефонии для получения одноразовых СМС-кодов и VPN-сервисы для имитации подключения с разных IP-адресов. Адреса электронных почт и имена пользователей чаще выглядят как перебор символов. Для каждой такой учетной записи совершается одна покупка с использованием промокода на первый заказ. Пункты выдачи и адреса доставки сделанных заказов часто находятся рядом с местом жительства мошенника.

 

Основная задача в борьбе с подобными мошенничествами —  кластеризация учетных записей на основе достоверно выявленных признаков, в том числе предоставленной клиентом информации, технических параметров устройства, истории заказов и общей клиентской активности.

 

Автоматизированный поиск ошибок 

 

А вот еще одна уязвимость, которой активно пользуются мошенники, —  ошибки сотрудников в процессе установки цен и скидок на товары. Мошенники организовывают собственные автоматизированные сервисы, которые парсят сайты интернет-магазинов, выискивая ошибочно установленные цены или скидки. Такие программы ищут аномальные отклонения в ценах, основываясь на анализе ранее установленных цен на этой же площадке или цен на аналогичные товары с других ресурсов. При обнаружении таких ошибок мошенники стремятся как можно быстрее выкупить весь доступный объем товара до того, как ошибка будет обнаружена.

 

 

Среди своих

 

Внутренние мошенничества очень разнообразны. Они варьируются от непроцедурных действий сотрудников кол-центра до намеренных внесений уязвимостей в процедуры CRM-системы на этапе разработки.

 

Так, почти во всех интернет-магазинах существует система «извинительных» акций на случай претензий клиентов к заказам. После получения жалобы сотрудники бэк-офиса рассматривают претензию и, если она обоснована, предоставляют клиенту скидку, бонусные баллы или промокод. Мошенничая, рядовой сотрудник совершает заказы с не связанной с ним учетной записи, оставляет претензию на каждый заказ и самостоятельно удовлетворяет каждую жалобу, начисляя себе бонусные баллы, выдавая промокоды и скидки.

 

Что грозит маркетплейсам

 

Маркетплейсы — платформы с широкими возможностями для продажи товаров и услуг, что привлекает к ним внимание мошенников. При этом нечестные действия могут совершать как продавцы, так и покупатели. Вот несколько примеров: 

 

1. Многие маркетплейсы используют системы скидок, направленные на поощрение продавцов. Для этого используются разные механизмы, но продавцы-мошенники будут искать в них уязвимости, позволяющие получить через поощрение от программы лояльности больше, чем потери на комиссиях и других сборах маркетплейса.

 

Как вариант: мошенник заключает договор о представлении своих товаров на площадке маркетплейса и начинает продавать товар самому себе, стремясь как можно больше увеличить оборот. Продавец прокручивает средства через фиктивную продажу товара и выигрывает на разнице между вознаграждением от программы лояльности и комиссиями маркетплейса. 

 

2. Часто используется система скидок, которая занижает для покупателя цену товара, указанную продавцом. Ведь в период расчета маркетплейс выплачивает продавцам вознаграждение за проданные товары по первоначальной цене продавца, возмещая разницу из собственного бюджета.

 

Разберем один из вариантов системы скидок, направленной на предложение клиенту самой выгодной цены на рынке и сопутствующие риски ее применения. Система скидок основана на анализе цен аналогичных товаров у конкурентов и предложении покупателю самой низкой цены из найденных. Раз в период времени N в CRM запускается процедура, выискивающая самые низкие цены с сайтов конкурентов на товары, представленные маркетплейсом и участвующие в акции. После этого цены на товары из акции изменяются для покупателя на самые низкие, найденные на предыдущем этапе. 

 

Мошенник-продавец будет стараться максимально завысить цену товара, понимая, что маркетплейс продаст этот товар по другой цене, а разница будет ему возмещена. С другой стороны, мошенник может попытаться и максимально занизить цену товара, которую маркетплейс укажет для покупателя. Для этого он вычисляет площадку-конкурента, с которой маркетплейс парсит цены, и выставляет там такой же товар по максимально низкой цене. В ходе очередного цикла CRM заберет заниженную цену с площадки-конкурента, заменит ей цену на товар продавца-мошенника. Аномально низкая цена привлечет покупателей, а мошенник получит разницу в рамках расчета за проданный товар.

 

3. Продавцы на маркетплейсах могут прибегать к различным способам ведения конкуренции, в том числе и недобросовестным. 

 

Один из способов устранить конкурента, сделав его товар недоступным покупателю, — блокировка стока. Это значит, что продавец выкупает весь объем товара конкурента и отменяет заказ в последний возможный момент, чтобы снова выкупать их по кругу. Таким образом товар конкурента на сайте всегда остается недоступным для обычного покупателя. Мошенник также наносит конкуренту и прямые финансовые убытки, так как вынуждает расходовать средства на логистику при каждой доставке до пункта выдачи заказов и обратно. На практике это выглядит как множественные заказы с максимально возможным количеством единиц одинакового товара, отменяемые в самый поздний момент.

 

Найти и обезвредить: модель противодействия

 

Успех борьбы с мошенниками, паразитирующими на процессах в CRM-системах, в первую очередь зависит от грамотно построенной модели противодействия. 

 

Центром такой модели является антифрод-система, то есть программное решение, обеспечивающее автоматизированный анализ уязвимых событий. Не менее важная часть модели – процессы внутри подразделения безопасности, обеспечивающие эффективность, непрерывность и всеохватность работы антифрод-системы.

 

 

Без экспертизы не обойтись

 

Борьба с любым мошенничеством начинается с экспертизы. В идеальном мире антифрод-экспертиза должна проводиться на этапе проектирования CRM-системы и конкретных бизнес-процессов. На практике компании часто приходят к решению о необходимости построить систему противодействия мошенничеству и сформировать соответствующие подразделения лишь после финансовых и репутационных потерь.

 

Антифрод-экспертиза CRM-системы — это обследование бизнес-процессов и ИТ-инфраструктуры, которое позволяет обнаружить способы эксплуатации ее ресурсов мошенниками. Впрочем, этот сценарий провомерен и для любой другой бизнес-системы компании. Первым результатом такой экспертизы будет формирование списков уязвимостей и сценариев мошеннических действий. Часть уязвимостей можно закрыть с помощью корректировки логики работы CRM-системы на этапе проектирования или отдельных бизнес-процессов. Уязвимости, которые нельзя закрыть на уровне CRM, передаются на мониторинг антифрод-системой.

 

На основе выявленных сценариев мошеннических действий, подлежащих непрерывному контролю со стороны антифрод-системы, разрабатывается комплекс правил, позволяющий определять их с достаточно высокой точностью. Правила представляют собой набор условий, проверяемых для отдельного события или набора событий. В процессе разработки правил выявляются объекты и атрибутивные составы для них, необходимые для осуществления контроля:

 

  • События, которые передаются на анализ алгоритмами, по результатам работы которых антифрод-система выносит решения. Пример —  начисление бонусных баллов клиенту.
  • Справочники — наборы данных, которыми обогащаются события для проведения полноценного анализа. Пример — справочник клиентов.

 

Следующим этапом является формирование модели действий, автоматически применяющихся в случае положительного ответа от правила.

 

К таким действиям можно отнести:

 

  • Формирование инцидента. Инцидент — визуальное представление данных о сработавшем правиле, позволяющих сотруднику провести исчерпывающий анализ ситуации и предпринять иные действия по инциденту в ручном режиме.
  • Добавление в базу данных меток по событиям, связанным с правилом. Пример — добавление метки «Мошенничество с использованием бонусных баллов» для серии событий, попавших в правило.
  • Передача резолюций внешним системам. Пример — передача в CRM информации о необходимости заблокировать программу лояльности для клиента по сработавшему правилу.



Требования к антифрод-системе

 

Мы определили, что антифрод-система позволяет осуществлять автоматизированный анализ уязвимых событий. Она может быть как частью CRM-системы и представлять собой один из ее модулей, так и отдельным программным решением. 

 

Посмотрим на требования к основному функционалу антифрод-системы в условиях работы с CRM-системой интернет-магазина.

 

1. Получение и подготовка событий из разных источников.

 

  • Возможность реализации офлайн- и онлайн-режимов взаимодействия.
  • Возможность работы с различными типами транспорта данных: WS, ESB, CDC, JDBC.
  • Свободный атрибутивный состав событий.
  • Поддерживаемые способы предобработки данных: 
  • очистка;
  • валидация;
  • нормализация;
  • парсинг;
  • регулярные выражения;
  • NULL-проверки.

 

 2. Автоматический анализ. 

 

  • Поддержка доступа к историческим данным для поиска/агрегации через кеш и БД.
  • Возможность внесения изменений в правила без необходимости перезапуска решения.
  • Поддержка сценарного и скорингового подходов к реализации правил.
  • Возможность строить правила на комбинации разных типов событий.
  • Поддержка тестовых запусков правил на исторических данных и эмуляции запусков правил.
  • Поддержка инструмента отладки правил.
  • Свободно задаваемый объект для группировки инцидентов в разрезе правил.

 

3. Автоматическое реагирование на инцидент. 

 

  • Возможность добавления дополнительных меток и их интеграция в процесс автоматического реагирования на инциденты без необходимости пересборки кода решения целиком.
  • Возможность использования нескольких типов резолюций по инцидентам и передачи нескольких резолюций одновременно.

 

4. Расследование и настройка системы. 

 

  • Свободно задаваемая объектная модель без средств разработки.
  • Поддержка справочников и ссылочных представлений на справочники в событиях.
  • Поддержка отображения в инцидентах нескольких типов событий одновременно.
  • Поддержка разграничения доступа к различным каналам и правилам на основе свободных фильтров.

 

Экспертный комментарий

 

Мошенничество в ритейле сегодня носит не столько технический, сколько процессный характер. Это означает, что для реализации сколько-нибудь крупного хищения требуются не ИТ-навык или преодоление схем технической защиты, а аналитические навыки понимания уязвимости в отдельном процессе и возможность его эксплуатации. Ритейл — крайне динамичная отрасль: новые акции и программы здесь появляются ежедневно. Небольшой просчёт в организации любой из них дает возможность мошеннику получить сотни тысяч, а порой и десятки миллионов рублей. 

 

Схемы контроля большинства злоупотреблений вполне очевидны и просты, однако ключевые риски реализуются в тот момент, когда программа уже запущена, а система контроля ещё не настроена, или, как любят говорить, «не обучена». В этой связи ключевую роль играют всевозможные детекторы аномалий, например, резкое увеличение доли покупок у определенного продавца и т.д.  Именно они служат механизмом первичного выявления негативной динамики и дают возможность быстро отреагировать контрольным службам.

 

Алексей Сизов


Руководитель департамента по противодействию мошенничеству компании «Инфосистемы Джет»


 

Уведомления об обновлении тем – в вашей почте

Физическая защита информационных систем

Характерной тенденцией развития информационных технологий является процесс тотальной интеграции. Этой тенденцией охвачены микроэлектроника и техника связи, сигналы и каналы, системы и сети. В качестве примеров можно сослаться на сверхбольшие ...

Аудит информационных систем

Под термином аудит Информационной Системы понимается системный процесс получения и оценки объективных данных о текущем состоянии ИС, действиях и событиях, происходящих в ней, устанавливающий уровень их соответствия определенному критерию ...

«Мы пережили ИТ-вивисекцию»: о чем говорили на CISO FORUM

На какие риски ИБ нужно обратить внимание прямо сейчас? О чем стоит подумать перед разработкой собственного ИТ-продукта? Удовлетворяют ли российские ИБ-решения мировым стандартам?

Цифровизация промышленных активов и ИБ-риски

Уровни зрелости компаний в части управления промышленными системами. ИБ-проблемы промышленных систем.

Open source решение JetCRM

Компания «Инфосистемы Джет» представляет собственный open source CRM, разработанный на базе Sugar CRM

Как мы делаем безопасность. Макрофреймворк ИБ «Модель Аэропорт»

Как мы строили ИБ раньше и почему теперь это не работает? Макрофреймворк по ИБ «Модель Аэропорт». Как работать с рисками катастрофических инцидентов ИБ?

Кто виноват и что делать: о чем спорили участники форума DLP+

Как государство мотивирует бизнес защищать информацию клиентов? Кто должен нести ответственность за утечки? Что общего у производителей топоров и DLP-систем?

Анатомия информационной безопасности США

Информационная безопасность сегодня, как самостоятельное направление современных технологий, без тени преувеличения переживает свое второе рождение. Особенность нынешнего этапа развития не только информационных, но и практически всех ...

Облачная НЕбезопасность и как с ней бороться

Риски частных, публичных инфраструктурных облаков и облачных приложений. Как защитить компанию при переходе в cloud-среду?

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня