Как мошенники через взлом личного кабинета оставляют предпринимателей с убытками
Владельцы пунктов выдачи заказов в последние недели массово жалуются на одну и ту же историю. Приходишь утром на работу, открываешь личный кабинет, а там — десятки оформленных возвратов. Товара, естественно, нет. И денег, которые уже «вернули» покупателю, тоже нет. Зато есть долг перед маркетплейсом. И он висит на тебе.
Мошенничество с пунктами выдачи заказов набрало обороты так быстро, что многие предприниматели просто не успели среагировать. Судя по всему, это не случайные эпизоды, а отлаженная схема обмана владельцев ПВЗ, которая бьёт по самому слабому звену — человеческому фактору и дырам в безопасности.
Как это работает
Злоумышленники получают доступ к личному кабинету ПВЗ. Способы старые, как мир: фишинговые ссылки, поддельные звонки от «службы поддержки», перехват сессии, банальные слабые пароли. Иногда — общие аккаунты, которые сотрудники передают друг другу как эстафетную палочку.
Как только доступ получен, начинается самое интересное. Мошенники оформляют фиктивные возвраты. Выбирают обычно дорогие позиции — технику, электронику, брендовую одежду. И делают это пачками: за несколько минут могут «вернуть» десятки товаров.
Система маркетплейса фиксирует: «ПВЗ принял возврат». Деньги, согласно правилам, уходят покупателю. Но товар физически на склад не возвращается. Его просто нет. Или вместо него — пустая коробка. Или подмена товара при возврате, когда в упаковку кладут кирпич.
Маркетплейс видит только цифры в логах. А раз товар не дошёл до склада — ответственность ложится на владельца пункта. Ему выставляют счёт за утерянные позиции. Получается, что мошенники получают и товар, и деньги, а предприниматель остаётся с долгами.
Это не гипотетическая история. Речь идёт о суммах в сотни тысяч и даже до полутора миллионов рублей с одного ПВЗ. И такие случаи уже зафиксированы по всей стране — от регионов до Москвы.
Почему это стало массовым
Ответственность владельца пункта выдачи в этой системе прописана жёстко: ты принял возврат — ты за него отвечаешь. Но проблема в том, что возможность провести возврат без физического подтверждения во многих маркетплейсах заложена архитектурно.
В интерфейсах часто есть функция ручного подтверждения: «если не работает сканер». Или «если товар уже упакован». Это сделано для удобства, но именно эта опция и стала лазейкой. Никакой жёсткой привязки к QR-коду, штрихкоду или контролю веса в таких случаях нет.
Схема «выстрелила» именно сейчас, потому что ПВЗ стали массовым и слабозащищённым звеном. Большой поток точек, много новых собственников, массовый найм сотрудников. Культура безопасности часто примитивная: общие логины, пароли на стикерах, приклеенных к монитору, и отсутствие разделения ролей доступа.
Добавьте к этому то, что маркетплейсы уже давно критикуют за возможность проводить возвраты и списания без полноценного согласия селлера. Получается гремучая смесь: кибербезопасность на уровне «авось пронесёт», гибкий, но плохо защищённый процесс возврата и асимметрия в отношениях «площадка — партнёр».
Убытки из-за возврата товара в таких случаях ложатся на плечи владельца ПВЗ. И это не просто потеря одной позиции. Это финансовые риски для владельцев ПВЗ, которые могут привести к закрытию точки.
Что делать и как защититься
Первое и самое очевидное — безопасность личного кабинета. Сложные пароли, двухфакторная аутентификация, разделение ролей. Никаких общих аккаунтов. Если сотрудник уволился — доступ должен быть заблокирован в тот же день.
Второе — внимательность к подозрительным звонкам и ссылкам. Служба поддержки маркетплейса никогда не попросит пароль или код подтверждения. Если звонят и просят «подтвердить данные» — кладите трубку.
Третье — алгоритм действий при мошенничестве должен быть отработан. Заметили странную активность в кабинете — сразу блокируйте доступ, меняйте пароли, пишите в поддержку площадки и в полицию. Чем быстрее реакция, тем больше шансов, что долг не повесят на вас.
Юридическая ответственность за подмену товара в таких случаях тоже неоднозначна. Формально владелец ПВЗ отвечает за все операции, проведённые из его кабинета. Но если доказать взлом, можно попробовать оспорить претензии. Правда, на практике это долго и сложно.
Как защитить ПВЗ от мошенников — вопрос, который сейчас должен быть в приоритете у каждого владельца. Потому что схема явно не исчезнет сама собой. Пока есть лазейки, будут и желающие ими воспользоваться.
Фейковый выкуп и возврат — это не просто неприятность. Это прямая угроза бизнесу. Игнорировать её нельзя. Лучше потратить час на настройку безопасности, чем потом разбираться с долгами за испорченный товар на ПВЗ, которого вы в глаза не видели.