Ozon и Wildberries под ударом: новая схема мошенничества с ПВЗ — взламывают аккаунт, оформляют возвраты, забирают товар и деньги

Владельцы пунктов выдачи заказов (ПВЗ) столкнулись с массовой схемой мошенничества: злоумышленники взламывают личные кабинеты, оформляют фиктивные возвраты дорогих товаров и исчезают — и с деньгами, и с продукцией. При этом долги и претензии ложатся на владельца пункта. Разбираем, как работает новая уловка, почему она стала возможной и что предпринять, чтобы не потерять бизнес.

Как именно обманывают: три этапа схемы

Первый этап — получение доступа к учётной записи ПВЗ. Мошенники используют фишинговые ссылки, поддельную «службу поддержки», перехват сессии или просто угадывают слабые пароли (зачастую владельцы используют общие аккаунты на всех сотрудников или клеят пароли на стикеры к монитору).

Второй этап — массовое оформление возвратов. Оказавшись в системе, злоумышленники за считанные минуты создают заявки на возврат уже выкупленных товаров (обычно дорогих — техника, брендовая одежда, электроника). Они оформляют десятки позиций пачками.

Третий этап — исчезновение товара и денег. Система маркетплейса фиксирует, что ПВЗ якобы принял товар назад, а деньги возвращены покупателю. Но в реальности товар не возвращается на склад — его забирают мошенники. Маркетплейс списывает недостачу с владельца пункта, выставляя долг за «утраченные» позиции.

Итог для владельца ПВЗ: минус на балансе, долг перед площадкой, потерянный товар и бесконечные разбирательства.

Почему схема «выстрелила» именно сейчас

Пункты выдачи стали массовым звеном электронной коммерции, но при этом защищены крайне слабо. Основные причины уязвимости:

• Низкая культура кибербезопасности: общие логины и пароли на всех сотрудников, доступы на стикерах, отсутствие двухфакторной аутентификации.

• Конструктивные недостатки интерфейсов маркетплейсов: во многих системах есть возможность ручного подтверждения возврата (например, «если не работает сканер») без жёсткой привязки к физическому приёму товара — то есть без QR-кода, скана штрих-кода или контроля веса.

• Быстрая масштабируемость: преступники начали серийно атаковать ПВЗ, суммы ущерба достигают 1,5 миллиона рублей с одного пункта.

Ключевые риски для владельца ПВЗ

Финансовый удар. Уже зафиксированы случаи списаний на сотни тысяч и миллионы рублей. Владельцы вынуждены месяцами судиться, доказывая взлом.

Юридическая неопределённость. Оферты маркетплейсов часто составлены так, что площадка вправе списать сумму за любую «недостачу», а партнёр должен сам доказывать, что его аккаунт взломали.

Операционный паралич. На время разбирательств маркетплейс может заблокировать ПВЗ, заморозить выплаты, требовать дополнительных проверок каждого возврата.

Репутация. Споры с площадкой, негатив в чатах и СМИ — всё это бьёт по доверию клиентов и будущим доходам.

Как защититься: 5 лайфхаков для владельца ПВЗ

Список мер, которые снизят риск взлома и помогут доказать непричастность:

1. Внедрите двухфакторную аутентификацию (2FA) на всех учётных записях, где это возможно. Даже если пароль украдут, злоумышленник не сможет войти без одноразового кода.

2. Разделите роли доступа. У кассира должны быть минимальные права (только выдача заказов), у управляющего — шире, а право оформлять возвраты — только у владельца или доверенного лица.

3. Не храните пароли на стикерах и в общих чатах. Используйте менеджер паролей (Bitwarden, KeePass) и регулярно меняйте пароли.

4. Заключите с маркетплейсом отдельное соглашение о порядке фиксации возвратов. Например, требование фотографировать товар, заполнять дополнительную форму, запрашивать смс-подтверждение для возвратов на сумму выше 5000 рублей.

5. Установите внутреннее правило: все возвраты — только при физическом предъявлении товара и сканировании QR-кода. Ручной ввод должен быть запрещён или требовать двойного подтверждения, советует автор Дзен-канала "Файнманомика - финансы без паники".

Дополнительный совет: что делать, если взлом уже произошёл

• Немедленно смените все пароли и отзовите сессии.

• Зафиксируйте время взлома (можно по логам системы) и сразу уведомите маркетплейс и полицию.

• Соберите доказательства: скриншоты операций, переписку с «поддержкой», видео с камер наблюдения (если есть).

• Включите пункт о взломе в условия оферты или требуйте от маркетплейса прозрачной процедуры разбирательства без штрафов, пока не доказана ваша вина.

Чего требуют от маркетплейсов владельцы ПВЗ

Предприниматели ожидают от площадок усиления антифрода:

• Автоматические лимиты на количество ручных возвратов в час/день и автоматический стоп-сигнал при аномальной активности.

• Обязательную двухфакторную аутентификацию для всех ПВЗ и разделение прав доступа.

• Прозрачные процедуры расследования с фиксированными сроками и приостановкой списаний до выяснения причин.

Частые вопросы и ответы

1. Я владелец ПВЗ, у меня уже есть долг из-за подозрительных возвратов. Что делать первым шагом?
Немедленно зафиксируйте все операции (скриншоты), напишите заявление в полицию и запросите у маркетплейса логи доступа к вашему аккаунту (IP-адреса, время). Это поможет доказать взлом.

2. Могут ли мошенники оформить возврат без доступа к моему аккаунту?
Теоретически да, если они подделают подпись или QR-код, но основная масса атак сейчас идёт именно через взлом учётных записей ПВЗ. Поэтому главная защита — надёжные пароли и 2FA.

3. Будет ли маркетплейс возвращать деньги, если докажу взлом?
Практика разная. Некоторые площадки (Wildberries, Ozon) в последнее время идут навстречу при убедительных доказательствах, но единого регламента нет. Всё зависит от оферты. Владельцам ПВЗ стоит требовать включения в договор пункта о защите от фиктивных возвратов.

Итог

Новый вид мошенничества бьёт по самому уязвимому звену интернет-торговли — пунктам выдачи заказов. Владельцы ПВЗ вынуждены нести убытки за чужие взломы и непрозрачные процессы возврата. Пока маркетплейсы не усилят безопасность, каждый пункт должен сам закрывать дыры: двухфакторная аутентификация, разделение прав, фотофиксация возвратов и отказ от «ручных» операций. Только системная защита поможет не остаться с долгами и сохранить бизнес.

Читайте также:

• К майским праздникам готовимся по-умному: соседка раскрыла секрет идеальной чистоты стёкол без лишних усилий
• Как убрать грязь под ободком унитаза без ершика за 2 минуты: чаша сверкает и никакого зловония - вот лайфхак
• Разморозка холодильника - прошлый век: опытный мастер проговорился после рюмки, почему современные морозилки работают иначе
• Почему нельзя оставлять открытой крышку унитаза - запомните правило раз и на всю жизнь