Как предпринимателю защитить свой магазин от мошенников

Поговорили с владельцами интернет-магазинов и со специалистами по безопасности и составили для вас гайд, как защитить свой интернет-магазин от мошенников и недобросовестных покупателей.

Согласно отчёту Juniper Research Limited, в 2021 году e-commerce недополучит $20 млрд прибыли из-за мошенничества в интернете. Это на 18% больше, чем в 2020 году.

Отчет Online Payment Fraud

В статье расскажем, как злоумышленники или недобросовестные покупатели могут навредить интернет-магазину и как от этого защититься.

Ложные заказы

Как проявляется. В интернет-магазин регулярно поступают заказы с подозрительными данными: имена клиентов составлены из случайных слов, суммы заказов большие, номер телефона недействителен или принадлежит другому человеку.

Ложные заказы оформляются, чтобы создать нагрузку на магазин или на время вывести его из рабочего состояния. Мошенники могут оформить большое количество заказов и «выкупить» все остатки товаров.

Как предприниматель может пострадать от мошенников с интернет-магазинами
Такие заказы роботы могут генерировать постоянно

Когда настоящие клиенты захотят оформить заказ, товаров уже не будет в наличии. Пока менеджеры торговой площадки разберутся в ситуации, покупатели уйдут к конкурентам, и магазин потеряет прибыль.

Как защититься. Установить anti-fraud систему, которая анализирует заказы, предотвращает мошеннические транзакции и уведомляет администратора о рисках. Просматривать заказы, которые были помечены как подозрительные. Выявить общие черты между мошенническими операциями и найти эффективный способ защиты.

Например, если в статистике начали регулярно появляться заказы из страны, которая не входит в зону доставки, и у пользователей одинаковый IP-адрес — можно заблокировать его и на время защититься от ложных заказов.

Если заказы делает робот, можно добавить в форму сложную капчу или вставить скрытое поле. Настоящие покупатели его не заметят, а робот заполнит, и это даст возможность быстро отфильтровать все такие заказы.

Возврат использованных товаров

Розничные торговцы Великобритании теряют до 1,5 млрд фунтов стерлингов из-за того, что покупатели возвращают товары после использования.

Исследование Checkpoint Systems

Исследование 1542 покупателей показало, что пятая часть (22%) покупает товары с намерением попользоваться ими, а потом вернуть. В российском сегменте e-commerce вид мошенничества пока не так распространён, но о нём тоже стоит знать.

Как проявляется метод мошенничества. Покупатели возвращают товары с явными признаками следов эксплуатации или без таковых. Делают это регулярно и под разными предлогами.

Как защититься. Внимательно проверять товар перед отправкой с фото- и видеофиксацией. Разработать правила обмена и возврата для разных видов товаров, блокировать учётные записи клиентов с высоким процентом возвратов.

По закону покупатель может вернуть товар в течение недели без указания причины возврата. Но если вы продали товар целым, а покупатель возвращает его повреждённым, закон не работает.

ФЗ 2300-1 «О защите прав потребителей»

Если у интернет-магазина нет закреплённого порядка возврата товаров и он не довёл эту информацию до клиента, срок возврата увеличивается до 3 месяцев.

У Яндекс.Маркета подробно описаны условия возврата
У Яндекс.Маркета подробно описаны условия возврата

Подмена товаров

Как проявляется. Клиент подменяет полученный товар в точке выдачи или возвращает дешёвую копию после нескольких дней использования. Обычно мошенники выбирают относительно дорогие товары, чтобы получить больше прибыли.

Очень часто в этой схеме участвуют одежда и обувь. Покупатели примеряют их в точке выдачи и незаметно кладут в коробку поношенное изделие или подделку. Обнаружить подмену может только опытный товаровед.

Как защититься. Делать фотографии состояния товара перед отправкой. Установка камер в точке выдачи поможет сократить количество подмен. Самый эффективный способ защиты от мошенничества — система маркировки.

Штрихкод можно нанести на изделие так, что его не будет видно. А если номер товара есть в квитанции заказа, обнаружить подмену сможет даже курьер при личной встрече с покупателем.

Обувь с этикеткой и штрихкодом сложнее подменить
Обувь с этикеткой и штрихкодом сложнее подменить. Источник: Александр Рюмин / ТАСС

Необоснованный чарджбэк

Чарджбэк — процедура оспаривания платежа по банковской карте. Обычно её используют, чтобы вернуть деньги за покупку, если продавец не выходит на связь или отказывается обрабатывать возврат, тем самым нарушая правила платёжной системы.

Банк покупателя проверяет каждую транзакцию и не всегда может запустить чарджбэк. В российском законодательстве нет юридически закреплённой процедуры, каждый банк принимает решение самостоятельно.

Как проявляется метод мошенничества. Клиент оформляет запрос на возврат средств через банк, ссылаясь на то, что интернет-магазин не реагирует на его просьбы. Банк начинает процедуру чарджбэка, если это возможно.

Схему с необоснованным возвратом средств сложно использовать, потому что перед отправкой запроса банку необходимо предоставить доказательства того, что продавец отказывается сотрудничать или не выходит на связь.

Условия чарджбэка в Тинькофф Банке
Условия чарджбэка в Тинькофф Банке

Как защититься. Запрашивать документы, подтверждающие личность, при передаче заказа покупателю. Ввести обязательное правило с подписанием акта приёма или других документов, подтверждающих факт получения товара.

Если мошенник обратится в банк с просьбой начать процедуру возврата средств, магазин может опротестовать её и прикрепить акт передачи товара, подписанный клиентом, или другие доказательства. Тогда банк откажет в чарджбэке.

Ложная кража карты

Как проявляется метод мошенничества. Владелец карты оформляет заказ и через некоторое время создаёт запрос на возврат средств. Он утверждает, что карта была потеряна и заказ оформил мошенник.

Как защититься. Добавить несколько способов подтверждения заказа. Записывать звонки и фиксировать подтверждение заказа в мессенджерах с помощью скриншотов или видео.

Если клиент несколько раз подтвердил намерение купить товар и у интернет-магазина есть доказательства, мошенник вряд ли будет тратить время на оформление возврата. А если даже и потратит, то у него ничего не выйдет.

Оплата украденной банковской картой

В 2020 году россияне потеряли 9,77 млрд ₽ из-за мошеннических действий киберпреступников. Это на 52% больше, чем годом ранее.

Отчёт департамента информационной безопасности Банка России

Как предприниматель может пострадать от мошенников с интернет-магазинами
Динамика количества и объёма операций без согласия клиентов. Источник: cbr.ru

Как проявляется метод мошенничества. Мошенник оплачивает дорогие товары чужой банковской картой, получает их и исчезает. Через некоторое время владелец карты обнаруживает списание и обращается в магазин за разъяснениями.

Как защититься. Использовать платёжные шлюзы с подтверждением личности покупателя через 3D Secure. После ввода данных карты мошеннику понадобится код из SMS с привязанного номера телефона.

При оплате картой ЮMoney операция подтверждается пушем
При оплате картой ЮMoney операция подтверждается пушем

Мошенничество с оптовой поставкой товаров

Как проявляется. Мошенники создают эффект срочности и собираются оплатить оптовую партию товаров по высокой цене. Через некоторое время они говорят, что отправили деньги и им нужен заказ как можно скорее.

Для повышения доверия мошенники отправляют поддельные платёжки и нагружают менеджеров звонками. Предприниматель отправляет заказ без предварительной проверки факта поступления денег на счёт. Платёжка оказывается поддельной, а клиент пропадает с крупной партией товаров и экономит много денег.

Как защититься. Внимательно проверять ИП или юридические лица перед заключением договора на оптовую поставку. Не отправлять товары до получения денег. Отказываться от сотрудничества с подозрительными компаниями.

Взлом сайта

Хакеры по всему миру регулярно атакуют интернет-магазины. В 2020 году злоумышленники за 5 дней скомпрометировали 2 700 сайтов, работающих на базе CMS Magento.

Интернет-магазины взламывают для разных целей:

  • кража персональных данных;
  • внедрение ссылок на вредоносные ресурсы;
  • получение контроля над сайтом и последующий шантаж с целью получения денежных средств;
  • уничтожение репутации.
Как предприниматель может пострадать от мошенников с интернет-магазинами
Статистика использования устаревших версий CMS на момент заражения сайтов. Источник: sucuri.net

Как проявляется. На сайте появляются страницы с нерелевантным контентом, клиенты жалуются на SMS или пуши со спамом. Интернет-магазин становится недоступен или начинает перенаправлять пользователей на сайты с вредоносным контентом.

Как защититься. Привлечь специалиста для устранения проблем безопасности, настроить систему мониторинга работоспособности сайта. Регулярно проверять, не попал ли на сайт вредоносный код.

Комментарии предпринимателей

В целом очень важно сохранять баланс безопасности и адекватности. Например, в «Старбаксах» просто ставят готовый напиток и говорят имя клиента, не проверяя, кто именно его забирает. Возможен ли там фрод? Вполне. Ворует ли кто-то напитки? Наверняка. Но вопрос в масштабе. Конечно, можно ввести верификацию по паспорту и выдавать напитки, подтверждая их одноразовыми СМС, но ты испортишь жизнь 99% порядочным и лояльным клиентам.

Кроме того, меры безопасности должны быть прямо пропорциональны размеру риска. Если у вас средний чек 500 ₽ и редко встречаются случаи мошенничества, потратьте силы на что-то другое. А если отгружаете заказы на миллионы рублей — степень безопасности нужна совершенно другая.

Если у вас появились ложные заказы — скорее всего, дело в конкурентах. Они хотят насолить. Самое простое — временно перейти на предоплату.

Возврат использованных товаров. Опять же всё зависит от объёма таких операций и от сумм. Если это раз в год и на 100 ₽, кажется, что не стоит обращать внимания. Если речь идёт про большие чеки, стоит подключить другие этапы защиты. Например, у наших менеджеров была отсечка по сумме — ниже определённой стоимости возврата они могли принять его сами, а выше порога нужно было подключить старшего менеджера. Также мы постоянно разбирали кейсы, на что обращать внимание при возвратах.

Как предпринимателю защитить свой магазин от мошенниковДанила Тривайло
Предприниматель, сооснователь molter.ru, themeters.ru

Когда я только столкнулся с подключением первой платёжной системы на свой первый в жизни проект, я не мог и предполагать, что настанет время, когда у меня регулярно будут покупать (или пытаться покупать) мошенники, используя фейковые IP-адреса и ворованные карточки.

У Stripe и так неплохой антифрод и оценка уровня риска платежа, но, как оказалось, каждый бизнес должен осуществлять дополнительный манёвр для проверки подозрительных платежей. Пришёл я к такому выводу после того, как мне пришёл первый в жизни диспут на платёж суммой в €300 с пометкой Fraudulent, что означает — мошеннический. Его совершили без ведома владельца карты.

И тогда я понял: чтобы избегать таких инцидентов в будущем, необходимо проводить для потенциально подозрительных платежей определённые проверки, я бы сказал, мини-KYC. Если клиент честен перед вами — ему не составит труда сделать фотографию карты, с которой он платил.

Вместе с требованием прислать фотографию карты необходимо давать определённые условия, например фото на фоне чего-либо и так далее, чтобы мы точно получили уникальную фотографию, а не отрисованную или заранее подготовленную. И не бойтесь проверить честного человека, ведь на его месте мог бы оказаться мошенник, а кардеры очень часто делятся между собой местами, где можно потратиться и получить выгоду за счёт честных людей.

Признаки подозрительного платежа:

  1. Высокий уровень риска по оценке платёжной системы.
  2. Клиент покупает несколько товаров подряд. Можно предположить, что таким образом мошенник пытается опустошить карточку по максимуму.
  3. Чаще всего мошенники не используют ваши промокоды и скидки, а оплачивают товар по полной стоимости.
  4. Карточка банка США, а клиент два слова на английском ответить не может — тоже стоит задуматься.
  5. Клиент игнорирует запросы на отправку фотографий карты. Честный человек, если его не устроит ваша проверка, вместо игнора попросит вернуть средства.

Аноним
Владелец интернет-магазина

Комплексная защита интернет-магазина

Защиту торговой площадки можно условно разделить на два направления: проверка заказов и защита системы управления контентом. Чтобы обезопаситься от действий мошенников или хакеров, необходимо вести работу по двум направлениям.

Инструкция по защите от проблем с заказами:

  1. Используйте чёрные списки IP-адресов. Сервисы проверки по блэк-листам показывают информацию о репутации IP, в их базах есть данные о многих VPN-сервисах, которыми мошенники маскируют свои IP-адреса.
  2. Подключите антифрод-системы. Они отклоняют подозрительные заказы и снижают количество необоснованных чарджбэков.
  3. Используйте платёжные шлюзы с дополнительной защитой. Большинство платёжных шлюзов имеют свои системы проверки транзакций: ЮKassa, WayForPay, Robokassa, CloudPayments. Они проверяют данные владельца карты и сверяют их с информацией, которая отображается в форме заказа.
  4. Внимательно проверяйте заказы. Инструменты автоматизации помогают сократить время на выполнение рутинных задач, но полностью отказываться от ручной проверки нельзя.
  5. Составьте детальную инструкцию по возврату товаров. Если клиент не вернёт товар в течение 7 дней, у него не будет шанса продлить срок при наличии подробной инструкции.
  6. Сохраняйте историю общения с покупателями. Звонки, переписки в мессенджерах и по электронной почте должны фиксироваться. Они могут выступить в качестве доказательства выполнения обязательств.
  7. Не отправляйте оптовые заказы без предоплаты. Единственным подтверждением надёжности контрагента является своевременная оплата по договору.
IP-адрес VPN-сервера по сравнению с IP интернет-провайдера
IP-адрес VPN-сервера по сравнению с IP интернет-провайдера

Инструкция по защите торговой площадки от взлома:

  1. Следите за новостями о вашей CMS. Когда аналитики находят уязвимости, информация о них появляется в общем доступе. Это позволяет быстро реагировать на скрытые угрозы.
  2. Регулярно обновляйте плагины и CMS. Иногда разработчики находят уязвимости и оперативно выпускают обновления.
  3. Подключите SSL-сертификат. При защищённом соединении злоумышленники не смогут перехватить данные клиентов во время их передачи на сервер магазина.
  4. Установите систему мониторинга содержимого файлов. Monitorus записывает все изменения и присылает уведомления, если обнаружит подозрительный код.
  5. Установите антивирус на хостинг. VirusDie следит за изменениями в файлах и автоматически удаляет вредоносный код.
  6. Позаботьтесь о защите персональных данных клиентов. Доступ к административной панели должен быть только у проверенных сотрудников, а данные нужно хранить в зашифрованном виде.
  7. Включите двухфакторную авторизацию для администраторов. Так злоумышленникам будет сложнее получить доступ к конфиденциальной информации.
  8. Подключите систему предотвращения вторжения. Amazon Web Services защищает сервер от атак разного характера.
  9. Регулярно сохраняйте резервные копии. Если хакеры взломают сайт через уязвимость, можно будет восстановить бэкап без вредоносного кода и закрыть дыру.
В сервисе можно подключить несколько сайтов
В сервисе можно подключить несколько сайтов

Моя «Команда» чаще всего работает с малым и средним бизнесом — их сайты чаще других подвергаются взломам или заражению вирусами.

Причина большинства взломов очень банальна — экономия. Либо на взломанных платных модулях и шаблонах, которые получили бесплатно. Либо на обслуживании сайта — когда экономили на своевременном обновлении и поддержке. Или всё в комплексе.

В итоге мы видим сайты, которые взламываются и заражаются через «лазейки» оставленные во взломанном софте или найденные в старых версиях модулей или CMS.

Конечно, есть и другие причины — недобросовестные конкуренты, озлобленные бывшие сотрудники или клиенты. Но из нашего опыта таких случаев 1%.

Вот небольшой список простых действий для защиты от проблем:

  1. Качественный хостинг. Правильные хостеры периодически мониторят файлы на наличие вредоносного кода и уведомят вас о проблемах.
  2. Открывайте полный доступ к сайту и хостингу только проверенным подрядчикам и после окончания их работ меняйте все доступы. И придумывайте сложные пароли 🙂
  3. При разработке сайта просите подрядчиков сделать комплекс работ по безопасности, чтобы закрыть какие-то возможные изъяны CMS. Это не так дорого, как может показаться. Например, моя команда делает этот комплекс бесплатно на всех своих проектах.
  4. Обновляйте вовремя версию CMS и всех модулей. Лучше для этого нанять команду разработчиков и договориться о сопровождении сайта. Так меньше риск неправильного обновления или конфликта версий.
  5. Не экономьте на разработке сайта. Используйте лицензионные модули, шаблоны и так далее.

Как предпринимателю защитить свой магазин от мошенниковСергей Иванов
Руководитель веб-студии Komanda

Интернет-магазинам с постоянной аудиторией и стабильным потоком заказов желательно постоянно сотрудничать с опытным специалистом по IT-безопасности или с компанией. Они смогут выстроить защиту против кибератак и регулярно следить за состоянием сайта.

Мошенники используют разные схемы обмана торговых площадок, и важно подготовиться даже к редко используемым сценариям. Тогда получится сохранить деньги и не потерять лояльность клиентов.

Была ли полезна статья?
Вы уже отвечалиСпасибо, что поделились мнением!
А что думаете Вы?