Поделиться
Придуман новый способ мошенничества с онлайн-магазинами. Мошенники остаются с деньгами и товаром, а вродавцы все в долгах
Владельцы пунктов выдачи заказов столкнулись с новой схемой мошенничества. Злоумышленники оформляют фиктивные возвраты ранее купленных дорогих товаров через взломанные личные кабинеты пунктов выдачи заказов, предприниматели остаются должниками перед маркетплейсами, а мошенники — с деньгами и товаром.
Кибератаки на ПВЗ
Мошенники начали массово обманывать владельцев пунктов выдачи заказов (ПВЗ), пишут «Ведомости». Они взламывают личные кабинеты ПВЗ, оформляют фиктивные возвраты покупок, после чего и получают не только товар, но и деньги.
Владельцы ПВЗ в феврале 2026 г. столкнулись с новой схемой мошенничества, ведь их ИТ-системы взламывают. Потом хакеры оформляют фиктивные возвраты купленных дорогих товаров через взломанные личные кабинеты сотрудников ПВЗ. В итоге российские предприниматели остаются должниками перед маркетплейсами, а мошенники получают не только деньги, но и дорогой товар.
Сотрудники ПВЗ нередко обращаются за советами в чаты взаимопомощи, в ответ им могут писать злоумышленники, представляющиеся службой поддержки маркетплейса, объясняет эксперт Ассоциации участников рынка электронной коммерции (АУРЭК) Александр Бутаров. Такие якобы официальные собеседники, по его словам, хорошо знают внутренние процессы, вызывают доверие и получают данные для входа в личный кабинет сотрудника ПВЗ. При этом сама процедура возврата товара предполагает сканирование штрихкода — сотрудник ПВЗ должен считать код сканером. Однако, по его словам, в интерфейсе маркетплейсов предусмотрена возможность подтвердить возврат вручную, если сканер не работает.
В результате: маркетплейс производит возврат денежных средств на счет мошенника или подконтрольный ему счет; товар физически остается у мошенника он либо не был выдан, либо был выдан, но возврат оформлен задним числом; ПВЗ фиксируется как должник перед маркетплейсом на сумму возврата.
Предприниматели, управляющие ПВЗ, оказываются в ситуации вынужденной задолженности перед Wildberries, Ozon или «Яндекс маркетом», при этом никакой компенсации от маркетплейса в большинстве случаев не предусмотрено.
Не стандартная процедура возврата товара
Описанная схема 12 февраля 2026 г. уже получила подтверждение от нескольких владельцев ПВЗ, которые сообщили о подобных ИТ-инцидентах в тематических Telegram-чатах. Информацию также подтвердили представители отраслевых сообществ маркетплейсов и эксперты по кибербезопасности в комментариях изданию «Ведомости».
С подобной схемой столкнулась владелица ПВЗ «Яндекс маркета» в 2025 г. В разговоре с «Ведомостями» она подтвердила, что декабре 2025 г. один из сотрудников ПВЗ обратился в группу «Яндекс маркета» в Telegram с просьбой ускорить ответ службы поддержки. Затем ему пришло личное сообщение от аккаунта с названием «Яндекс маркет поддержка» и галочкой верификации аккаунта. Собеседник предложил помощь и прислал инструкцию, в которой содержалась просьба передать технические данные страницы в браузере — программный код, позволяющий получить доступ к сессии пользователя.
Уже на следующий день, по ее словам, доступ к личному кабинету ПВЗ оказался заблокирован. В службе поддержки маркетплейса сообщили, что были зафиксированы мошеннические действия. После смены учетных данных работа ПВЗ была восстановлена, однако в ИТ-системе появилось 15 товаров на сумму около 600 тыс. руб., якобы принятых на возврат и подлежащих передаче курьеру. Эти товары, утверждает предприниматель, физически отсутствовали в пункте выдачи.
Собеседница отметила «Ведомостям» и тот факт, что стандартная процедура возврата в ПВЗ предполагает, что клиент, оформивший возврат товара, предъявляет сотруднику ПВЗ QR-код из приложения «Яндекс маркета», а сотрудник проводит визуальный осмотр товара и вручную подтверждает возврат в ИТ-системе. По ее словам, согласно данным личного кабинета, все 15 возвратов были оформлены менее чем за 10 минут. При этом записи с камер видеонаблюдения показывают, что в этот промежуток времени в пункт не заходил ни один клиент, а сотрудник находился в служебной зоне.
Маркетплейс выставил ПВЗ претензии за якобы утраченные товары и несвоевременную отгрузку. Как утверждает предприниматель, разбирательство заняло около 2,5 месяца. В итоге все претензии были аннулированы, однако добиться этого удалось только при участии юриста. Подробности разбирательств с маркетплейсом предпринимательница не раскрыла.
Массовые ИТ-инциденты в России
О схожем ИТ-инциденте «Ведомостям» рассказал и другой владелец ПВЗ. По его словам, в декабре 2025 г. служба поддержки сообщила ему о взломе личного кабинета, после чего в ИТ-системе появились клиентские возвраты, которые фактически не осуществлялись. В течение месяца он обращался в поддержку с просьбой объяснить происхождение этих операций, но получал формальные ответы. Уже в январе 2026 г. спустя примерно 20 дней после ИТ-инцидента маркетплейс выставил претензии на сумму также около 600 тыс. руб. 12 феврале 2026 г. эти претензии перешли в статус долга и «Яндекс» ожидает оплаты, говорит он.
В начале февраля 2026 г. с аналогичной ситуацией столкнулся владелец ПВЗ «Яндекс маркета» в Санкт-Петербурге по имени Вадим. По его словам, у него было украдено товаров на сумму около 1,5 млн руб. по такой же схеме.
Директор департамента расследований компании T.Hunter Игорь Бедеров считает, что в феврале 2026 г. речь идет как минимум о десятках пострадавших ПВЗ. Схожую позицию высказывает руководитель проектов компании «Интеллектуальная аналитика» Тимофей Воронин. Он отмечает, что мошенники используют фишинговые рассылки, поддельные обращения от имени службы поддержки и, в отдельных случаях, утечки данных. По его оценке, пока зафиксировано не более 100 таких случаев, однако в будущем их число может вырасти.
Усилить безопасность
Основные факторы, способствующие реализации кибератаки: использование слабых паролей или повторно используемых учетных данных; отсутствие двухфакторной аутентификации (2FA) на аккаунтах ПВЗ; недостаточный мониторинг подозрительных операций возврата со стороны как владельцев ПВЗ, так и маркетплейсов.
Владелец сети ПВЗ «Яндекс маркета» и член АУРЭК Эдгар Барсегян отмечает, что дистанционный доступ к личному кабинету владельца или менеджера ПВЗ возможен в нескольких случаях: при физическом доступе к телефону, к которому привязан аккаунт, при использовании программ удаленного доступа к компьютеру, где коды подключения могут быть слабо защищены, при содействии сотрудника ПВЗ либо при утечке данных в профильных чатах и сообществах. Барсегян отмечает, что массовый характер подобные схемы впервые приобрели на ПВЗ Ozon в конце 2024 г. Тогда, по его словам, отраслевые сообщества начали активно информировать владельцев ПВЗ о рисках. Он утверждает, что масштабы мошенничества были значительными: злоумышленники зарабатывали миллионы рублей в неделю, а после распространения информации их доходы снизились. По его оценке, в феврале 2026 г. в России действует около 200 тыс. ПВЗ различных маркетплейсов, включая Ozon, «Яндекс маркет», Wildberries и др. Он предполагает, что по стране может фиксироваться до нескольких сотен подобных случаев в месяц.
Указанная схема требует от владельцев ПВЗ незамедлительного усиления мер киберзащиты учетных записей, включая обязательное включение 2FA, регулярную смену паролей, мониторинг операций возврата и оперативное информирование службы безопасности маркетплейса при выявлении аномалий.
Глава совета по электронной коммерции Торгово-промышленной палаты России Алексей Федоров подчеркивает, что подобные схемы основаны на методах социальной инженерии — форме мошенничества, при которой злоумышленники представляются сотрудниками поддержки и убеждают пользователя самостоятельно передать логины, пароли или коды доступа. Корень проблемы, считает он, заключается в низком уровне цифровой грамотности.
Короткая ссылка
