Ozon и Wildberries под ударом: новая схема мошенничества с ПВЗ — взламывают аккаунт, оформляют возвраты, забирают товар и деньги
Владельцы пунктов выдачи заказов (ПВЗ) столкнулись с массовой схемой мошенничества: злоумышленники взламывают личные кабинеты, оформляют фиктивные возвраты дорогих товаров и исчезают — и с деньгами, и с продукцией. При этом долги и претензии ложатся на владельца пункта. Разбираем, как работает новая уловка, почему она стала возможной и что предпринять, чтобы не потерять бизнес.
Как именно обманывают: три этапа схемыПервый этап — получение доступа к учётной записи ПВЗ. Мошенники используют фишинговые ссылки, поддельную «службу поддержки», перехват сессии или просто угадывают слабые пароли (зачастую владельцы используют общие аккаунты на всех сотрудников или клеят пароли на стикеры к монитору).
Второй этап — массовое оформление возвратов. Оказавшись в системе, злоумышленники за считанные минуты создают заявки на возврат уже выкупленных товаров (обычно дорогих — техника, брендовая одежда, электроника). Они оформляют десятки позиций пачками.
Третий этап — исчезновение товара и денег. Система маркетплейса фиксирует, что ПВЗ якобы принял товар назад, а деньги возвращены покупателю. Но в реальности товар не возвращается на склад — его забирают мошенники. Маркетплейс списывает недостачу с владельца пункта, выставляя долг за «утраченные» позиции.
Итог для владельца ПВЗ: минус на балансе, долг перед площадкой, потерянный товар и бесконечные разбирательства.
Почему схема «выстрелила» именно сейчасПункты выдачи стали массовым звеном электронной коммерции, но при этом защищены крайне слабо. Основные причины уязвимости:
Низкая культура кибербезопасности: общие логины и пароли на всех сотрудников, доступы на стикерах, отсутствие двухфакторной аутентификации.
Конструктивные недостатки интерфейсов маркетплейсов: во многих системах есть возможность ручного подтверждения возврата (например, «если не работает сканер») без жёсткой привязки к физическому приёму товара — то есть без QR-кода, скана штрих-кода или контроля веса.
Быстрая масштабируемость: преступники начали серийно атаковать ПВЗ, суммы ущерба достигают 1,5 миллиона рублей с одного пункта.
Ключевые риски для владельца ПВЗФинансовый удар. Уже зафиксированы случаи списаний на сотни тысяч и миллионы рублей. Владельцы вынуждены месяцами судиться, доказывая взлом.
Юридическая неопределённость. Оферты маркетплейсов часто составлены так, что площадка вправе списать сумму за любую «недостачу», а партнёр должен сам доказывать, что его аккаунт взломали.
Операционный паралич. На время разбирательств маркетплейс может заблокировать ПВЗ, заморозить выплаты, требовать дополнительных проверок каждого возврата.
Репутация. Споры с площадкой, негатив в чатах и СМИ — всё это бьёт по доверию клиентов и будущим доходам.
Как защититься: 5 лайфхаков для владельца ПВЗСписок мер, которые снизят риск взлома и помогут доказать непричастность:
Внедрите двухфакторную аутентификацию (2FA) на всех учётных записях, где это возможно. Даже если пароль украдут, злоумышленник не сможет войти без одноразового кода.
Разделите роли доступа. У кассира должны быть минимальные права (только выдача заказов), у управляющего — шире, а право оформлять возвраты — только у владельца или доверенного лица.
Не храните пароли на стикерах и в общих чатах. Используйте менеджер паролей (Bitwarden, KeePass) и регулярно меняйте пароли.
Заключите с маркетплейсом отдельное соглашение о порядке фиксации возвратов. Например, требование фотографировать товар, заполнять дополнительную форму, запрашивать смс-подтверждение для возвратов на сумму выше 5000 рублей.
Установите внутреннее правило: все возвраты — только при физическом предъявлении товара и сканировании QR-кода. Ручной ввод должен быть запрещён или требовать двойного подтверждения, советует автор Дзен-канала "Файнманомика - финансы без паники".
Дополнительный совет: что делать, если взлом уже произошёлНемедленно смените все пароли и отзовите сессии.
Зафиксируйте время взлома (можно по логам системы) и сразу уведомите маркетплейс и полицию.
Соберите доказательства: скриншоты операций, переписку с «поддержкой», видео с камер наблюдения (если есть).
Включите пункт о взломе в условия оферты или требуйте от маркетплейса прозрачной процедуры разбирательства без штрафов, пока не доказана ваша вина.
Чего требуют от маркетплейсов владельцы ПВЗПредприниматели ожидают от площадок усиления антифрода:
Автоматические лимиты на количество ручных возвратов в час/день и автоматический стоп-сигнал при аномальной активности.
Обязательную двухфакторную аутентификацию для всех ПВЗ и разделение прав доступа.
Прозрачные процедуры расследования с фиксированными сроками и приостановкой списаний до выяснения причин.
Частые вопросы и ответы1. Я владелец ПВЗ, у меня уже есть долг из-за подозрительных возвратов. Что делать первым шагом?
Немедленно зафиксируйте все операции (скриншоты), напишите заявление в полицию и запросите у маркетплейса логи доступа к вашему аккаунту (IP-адреса, время). Это поможет доказать взлом.
2. Могут ли мошенники оформить возврат без доступа к моему аккаунту?
Теоретически да, если они подделают подпись или QR-код, но основная масса атак сейчас идёт именно через взлом учётных записей ПВЗ. Поэтому главная защита — надёжные пароли и 2FA.
3. Будет ли маркетплейс возвращать деньги, если докажу взлом?
Практика разная. Некоторые площадки (Wildberries, Ozon) в последнее время идут навстречу при убедительных доказательствах, но единого регламента нет. Всё зависит от оферты. Владельцам ПВЗ стоит требовать включения в договор пункта о защите от фиктивных возвратов.
Новый вид мошенничества бьёт по самому уязвимому звену интернет-торговли — пунктам выдачи заказов. Владельцы ПВЗ вынуждены нести убытки за чужие взломы и непрозрачные процессы возврата. Пока маркетплейсы не усилят безопасность, каждый пункт должен сам закрывать дыры: двухфакторная аутентификация, разделение прав, фотофиксация возвратов и отказ от «ручных» операций. Только системная защита поможет не остаться с долгами и сохранить бизнес.
Читайте также:
К майским праздникам готовимся по-умному: соседка раскрыла секрет идеальной чистоты стёкол без лишних усилий Как убрать грязь под ободком унитаза без ершика за 2 минуты: чаша сверкает и никакого зловония - вот лайфхак Разморозка холодильника - прошлый век: опытный мастер проговорился после рюмки, почему современные морозилки работают иначе Почему нельзя оставлять открытой крышку унитаза - запомните правило раз и на всю жизнь