Владельцы пунктов выдачи заказов столкнулись с волной инцидентов, в которых ущерб возникает не из-за кражи «с полки», а из-за компрометации доступа к личному кабинету ПВЗ. Механика проста и опасна: злоумышленники получают доступ к аккаунту, оформляют фиктивные возвраты дорогих товаров и «рисуют» в системе операции, которых в реальности не было. Итог — предприниматель получает претензии за якобы утраченный товар и/или невыполненную отгрузку, а мошенники — и товар, и деньги.
История важна для всей инфраструктуры e-commerce: ПВЗ стали критическим узлом последней мили, и атаки на них быстро масштабируются за счёт типовых процессов, массового найма персонала и культуры «решаем вопрос в чатах».
Как работает схема
Типовой сценарий включает четыре этапа.
-
Социальная инженерия под видом поддержки
Сотруднику ПВЗ пишут в мессенджере от имени «службы поддержки» и предлагают «ускорить решение» проблемы. Дальше — просьба прислать технические данные или перейти по ссылке. Речь может идти о данных, позволяющих перехватить сессию в браузере и получить доступ к кабинету без пароля. -
Захват аккаунта и блокировка владельца
После компрометации доступа владелец/менеджер теряет управление кабинетом, а операции уже выполняются злоумышленником. -
Оформление возвратов вручную в интерфейсе
В нормальной процедуре возврата клиент предъявляет QR-код, сотрудник сверяет товар и подтверждает возврат. Но во многих интерфейсах предусмотрена опция ручного подтверждения (например, если «не работает сканер») — именно она становится точкой атаки. Эксперт АУРЭК Александр Бутаров обращает внимание, что возможность ручного подтверждения при отключённом сканере фактически открывает путь для злоупотреблений, если злоумышленник уже внутри кабинета. -
Финал: претензии к ПВЗ и длинное разбирательство
В кейсах, обсуждаемых предпринимателями, фигурировали «нарисованные» возвраты на десятки позиций за считанные минуты и суммы порядка 600 тыс. руб., а также эпизод с ущербом около 1,5 млн руб. В одном из случаев защита позиции заняла около 2,5 месяца и потребовала участия юриста.
Почему атаки стали массовыми
У схемы несколько причин «масштабируемости».
-
ПВЗ — массовый бизнес с большим числом сотрудников. Чем больше людей имеет доступ к рабочим устройствам и процессам, тем выше вероятность ошибки и утечки.
-
Коммуникация через чаты взаимопомощи. Сотрудники реально ищут поддержку в Telegram-сообществах, и именно там проще всего «мимикрировать» под администратора или поддержку.
-
Слабая дисциплина доступа. Один аккаунт на смену, общие пароли, отсутствие аппаратной защиты и контроля сессий — типичные проблемы малого оператора.
-
Уязвимость процесса возврата. Когда подтверждение возможно вручную и не требует независимого «факта присутствия товара», мошенник получает шанс провести операцию без физического визита в ПВЗ.
Член отраслевого сообщества Эдгар Барсегян (АУРЭК) отмечает, что массовый характер подобные атаки приобретали ранее на ПВЗ других платформ, а сегодня в России работает порядка 200 тыс. пунктов выдачи разных маркетплейсов — то есть поверхность атаки огромна. По его оценке, по стране может фиксироваться до нескольких сотен случаев в месяц.
Где корень проблемы: не «хакеры», а социальная инженерия
Глава совета по электронной коммерции Торгово-промышленной палаты РФ Алексей Федоров связывает такие инциденты с социальной инженерией — когда жертву убеждают самой передать доступы. Его формулировка принципиальна: «Корень проблемы... в низком уровне цифровой грамотности».
Эта мысль неприятна, но практична: даже идеально защищённый интерфейс уязвим, если сотрудник отдаёт ключи «в руки».
При этом риски усиливаются «операционной асимметрией»: злоумышленнику нужно один раз получить доступ, а предпринимателю — каждый раз доказывать, что операции не было.
Что говорят платформы и почему этого недостаточно
Компании публично заявляют о противодействии мошенничеству и проверке обращений партнёров. Ozon, например, указывал, что при росте числа транзакций с 2023 года почти в 2,5 раза количество мошеннических операций и жалоб снизилось в 10 раз. Представители других площадок сообщали, что не видят роста обращений либо не фиксируют подтверждённых сигналов.
Эти ответы важны, но для владельца ПВЗ решающим остаётся другое: как быстро и по каким правилам платформа замораживает спорные операции, какой набор доказательств принимается, и кто несёт финансовый риск до окончания разбирательства.
Выводы
Мошенничество через фиктивные возвраты — это атака на доверие и на экономику последней мили. ПВЗ, которые вчера конкурировали локацией и сервисом, теперь вынуждены выстраивать базовый контур киберустойчивости: дисциплину доступов, контроль операций и процедуру фиксации инцидентов. В выигрыше окажутся те операторы и платформы, которые сделают безопасность частью операционной модели, а не «вспомогательной функцией после проблемы».
