Хакеры выставляют на маркетплейсах ловушки

Александр Столяров
корреспондент «Монокль»
12 октября 2023, 00:00

Продавцы Wildberries и Ozon жалуются на массовые взломы их личных кабинетов неизвестными хакерами. Бизнесмены теряют миллионы рублей, но сделать ничего не могут

Хакеры взламывают магазины и выставляют там дорогие товары по низким ценам — кофемашины, телевизоры, смартфоны, — а потом требуют у продавцов выкуп за восстановление доступа
Читайте Monocle.ru в

«Шок и безмерная волна удивления. Больше я не чувствовала ничего, когда вошла в свой личный кабинет продавца», — рассказывает «Эксперту» Мила, владелец одного из магазинов с одеждой на Wildberries (его название она раскрывать отказалась).

Мила заметила странности в личном кабинете 16 июля. Баланс на ее счете внезапно начал быстро увеличиваться, а от покупателей появилось множество вопросов об оригинальности ее товаров. «Я не понимала ничего. Но через какое-то время увидела, что у меня появились новые карточки с очень дорогими товарами и с очень низкими ценами. Я сама их не выставляла, доступ к личному кабинету был еще только у одного человека, моего коллеги. Было ощущение, что какой-то злой волшебник решил над нами пошутить», — говорит предпринимательница.

Мила стала жертвой хакеров, которые все активнее совершают атаки на продавцов крупнейших российских маркетплейсов. О массовых взломах личных кабинетов продавцов стало известно в начале сентября, когда об этом начали писать СМИ. В тематических группах в соцсетях и чатах в Telegram висят десятки объявлений от селлеров, жалующихся на подобный взлом и спрашивающих совета.

Злоумышленники взламывают аккаунты и выставляют в чужих магазинах дорогие товары по бросовым ценам — плазменные телевизоры, кофемашины, каркасные бассейны, электросамокаты. Всего этого у бизнесменов на складах нет. Однако отказаться от поставок не так-то просто, продавцы вынуждены заплатить маркетплейсам за отмены заказов заоблачные штрафы.

Страдают и покупатели маркетплейсов. Для них хакеры заготовили отдельный сюрприз: во взломанных магазинах появляются карточки товаров, которых якобы нет на складах Wildberries или Ozon. Зато на карточках указаны контакты, ведущие покупателей на сторонние сайты. Такие «покупки» грозят потерей денег.

В Wildberries официально заявляют, что никаких массовых атак на самом деле нет, Ozon подтверждает, что отдельные инциденты имеют место, но о массовом характере речи не идет.

Утомленные маркетплейсами

Хозяйка магазина одежды Мила, увидев странности в личном кабинете, вначале подумала, что это сбой на Wildberries и к ней в магазин попали чужие товары со склада маркетплейса. Она обратилась в техподдержку, но результата это не дало. «Нам сказали, что мы якобы кому-то еще дали доступ. Но это, конечно же, было не так: посторонних мы в личный кабинет не пускали, никому никакие коды не передавали. Как произошел взлом, мы так и не смогли понять», — отмечает Мила.

Ситуация ухудшалась с каждым часом. «За сутки нам поступили заказы на несуществующие товары на один миллион рублей, — рассказывает Мила. — У нас хотели купить дорогие электросамокаты, каркасные бассейны, кофемашины, садовые качели. Средняя цена за такие товары была 80 тысяч рублей. Мы же “продавали” их за 40 тысяч рублей. Мы удалили все не наши карточки, удалили склады, которые подгрузили к нам в личный кабинет хакеры, — на этих складах якобы хранилась вся эта продукция. Но заказы продолжали приходить. Ночью кто-то опять зашел в наш кабинет и снова добавил несуществующие товары. Всего было добавлено 40‒50 видов товаров. За двое суток заказов было на полтора млн рублей. Это была катастрофа».

Когда через магазин Милы было «продано» определенное количество товаров, хакеры попытались совершить еще одну атаку. Они написали на некоторых карточках товаров, что такая продукция на складах Wildberries закончилась, но она осталась на складах Ozon. Мошенники оставили на карточках телефон, по которому обещали проконсультировать покупателей, как заказать дефицитный товар. «Я написала по указанному номеру. Меня попросили оставить почту и пообещали прислать туда ссылку. Ее действительно прислали. Я прошла по ней и оказалась на странице, визуально очень похожей на Ozon. Но это был не он, мошенники перенаправили меня на сайт-подделку. Хакеры просили оплатить товары на нем, там надо было вводить данные банковской карты. Если бы вы их ввели, доступ к вашему счету оказался бы в их руках. Таким образом, эта вторая атака была уже совершена против наших покупателей», — говорит Мила.

Вычислить хакеров не удалось. Мила проанализировала упоминания о заходах в личном кабинете, там были отмечены незнакомые IP-адреса. Как оказалось, кто-то заходил туда с мобильного телефона, оператором был «Мегафон». Вход был произведен из Подольска.

Продавец рассказала, что после атаки наткнулась на Wildberries еще на один взломанный магазин — в нем были точно такие же карточки, с теми же дорогими товарами, которые загрузили и ей. «Это не разовая история, таких случаев много», — утверждает Мила.

После того как она отказалась продавать товары, ей пришли штрафы. Вначале они составляли 540 тыс. рублей, но потом маркетплейс уменьшил сумму до 432 тыс. рублей. «Все время поддержка Wildberries молчала, никаких инструкций нам не присылала, все мои просьбы остались без ответа. И после этого не постеснялась наложить на нас штраф», — возмущается Мила.

Мила написала о ситуации в тематических чатах в Телеграме, и на нее начали выходить неизвестные «решалы». Они предлагали заплатить им 20‒30 тыс. рублей, за эти деньги они обещали аннулировать выписанные маркетплейсом штрафы.

Мила написала заявление в полицию в Москве только в начале августа, раньше она сделать это не смогла, так как была в отпуске. Пока никаких известий о действиях полиции нет. Она также написала возражение о штрафах в Wildberries. Деньги с маркетплейса Мила вывести не может, так как вся прибыль от проданных товаров там автоматически идет на погашение выписанного Wildberries штрафа. В ближайшее время она собирается подавать иск в суд.

Между тем Мила считает, что отделалась еще легко. У некоторых ее знакомых продавцов, которые сразу не среагировали, штрафы от маркетплейса достигают пяти миллионов рублей.

Случай Милы не единственный. Ведущий юрист компании «Правовая помощь» Александр Тарасенко, оказывающий правовую поддержку взломанным продавцам, подтвердил «Эксперту», что таких случаев действительно много. Юрист рассказал об одном из его клиентов, столкнувшихся с похожей ситуацией.

Это случилось еще раньше массовых атак, о которых писали в сентябре. «В феврале текущего года на магазин женской одежды на Wildberries напали хакеры. Продавцы этого магазина общались до атаки в официальном чате Wildberries с представителями маркетплейса и задали поддержке вопросы о габаритах товара. Позже продавцам написали в Телеграм с аккаунта, графически в точности похожего на аккаунт специалиста поддержки Wildberries. Бизнесменам сказали, что проводится проверка их обращения. Якобы габариты их товара рассчитаны неверно. Очевидно, хакеры тоже были как-то подключены к официальному чату и узнали всю информацию оттуда», — отметил Тарасенко.

Продавец рассказала, что после атаки наткнулась на Wildberries еще на один взломанный магазин — в нем были точно такие же карточки, с теми же дорогими товарами, которые загрузили и ей. «Это не разовая история, таких случаев много», — утверждает Мила

Дальше атака происходила по следующей схеме. Мошенники попросили у продавцов для проверки ряд сведений, в том числе секретный код, который приходит на телефон и нужен для захода в личный кабинет. После этого они получили доступ в него. Хакеры сразу же резко снизили цены на все товары магазина — до одного рубля. Но владельцам магазина сразу же удалось заблокировать продажи, они не стали ничего отгружать. Тарасенко рассказывает, что дело закончилось для продавцов хорошо, они оперативно среагировали, написали Wildberries претензию о том, что их поддержка на ситуацию оперативно не отреагировала. В результате все штрафы, выписанные бизнесменам за отказ продавать товары, были списаны, до суда дело не дошло.

С атаками сталкиваются и продавцы другого крупнейшего маркетплейса — Ozon. Youtube-блогер Николай Шапкин, создатель одноименного канала на 50 тыс. подписчиков, посвященного торговле на маркетплейсах, рассказал «Эксперту», что одна из его подписчиц стала жертвой хакеров.

У женщины магазин на Ozon. «На этом маркетплейсе есть фишка: любой клиент может написать напрямую продавцу. Ей написали с неизвестного аккаунта, представившись службой поддержки. «Сотрудники поддержки» прислали ссылку и попросили пройти по ней. После этого женщина потеряла доступ к аккаунту. В ее магазин подгрузили карточки со стиральными машинами и супердорогими телевизорами — все это продавали по грошовым ценам», — отметил блогер.

Владелица магазина не могла написать в поддержку и попросила Шапкина и еще несколько знакомых сделать это за нее. После этого удалось восстановить доступ к аккаунту.

«Простая и глупая ситуация. Проверяйте по сто раз, что за поддержка вам пишет», — резюмировал блогер.

Продавцы могут потерять доступ к аккаунтам и другими способами, рассказывает Александр Тарасенко. «Например, были случаи, когда они забывали поменять пароли в аккаунте и доступ оставался у их бывших сотрудников, которые были уволены. У последних оставалась обида, и они специально старались совершить какие-то действия, чтобы насолить бывшему работодателю», — приводит пример юрист.

Потерять аккаунт можно во время сбоя на маркетплейсах. По словам Тарасенко, Wildberries такие сбои, как правило, не признает. Сбои могут происходить не обязательно при хакерских атаках, а, например, при обновлении приложения. «Во время сбоя человек может загружать товар, и цены у него отобразятся неверно. Такой случай произошел с одним из моих клиентов в июне. Продавец выложил товар со скидкой. Из-за технической ошибки ночью эта скидка применилась еще раз, то есть цены товара уменьшились на две скидки. Мы подготовили судебную претензию к Wildberries. Маркетплейс посчитал, что это ошибка продавца. Тогда мы пошли в суд, передали ему сведения о том, что во время изменения цен продавец не входил в личный кабинет. Суд встал на нашу сторону», — рассказывает эксперт.

Старый «добрый» фишинг

Официально маркетплейсы стараются не признавать проблемы. Wildberries, например, ранее заявлял, что информация о массовых взломах личных кабинетов продавцов не соответствует действительности. Компания сообщила, что тщательно расследовала каждый случай и ни один из них не подтвердился.

Корреспондент «Эксперта» направил запросы в Wildberries с просьбой рассказать в целом, какие случаи взломов были на маркетплейсе, и о том, как расследовались не подтвердившиеся последние атаки на продавцов. Однако ответа на запросы не последовало.

В пресс-службе Ozon заявили, что массовых жалоб от продавцов о взломе личных кабинетов к компании не поступало. «Ozon принимает дополнительные меры безопасности, которые затрудняют работу мошенников в этом направлении», — рассказали в компании.

Между тем жалобы на маркетплейсы множатся. Атакуют не только продавцов, но и сами технические системы компаний. В мае этого года стало известно о якобы произведенном взломе Wildberries. Как писали в телеграм-канале Mash, на компьютеры сотрудников компании могло попасть вредоносное ПО. Оно привело к сбоям в работе системы: посылки не отслеживались, а у клиентов не было возможности оформить заказ.

Пресс-служба маркетплейса эту информацию также опровергла, заявив, что «никаких атак хакеров и инопланетян на платформу не было».

В марте текущего года Wildberries мог стать жертвой еще одной атаки: платформу мог заразить вирус-шифровальщик, об этом сообщил «Коммерсантъ». Тогда в приложении были замечены ошибки, многие пользователи столкнулись со сложностями при входе в личные кабинеты. Специалисты по киберзащите утверждали, что взлом мог быть совершен изнутри, так как компания относилась к защите довольно серьезно. Хакеры добрались даже до резервных копий платформ и вывели их из строя. В самом Wildberries по традиции не признали и этот взлом. В пресс-службе тогда лишь заявили, что все ошибки были чисто техническими.

С проблемами сталкивался и Ozon. Например, в конце прошлого года произошел сбой, в результате которого в личных кабинетах покупателей пропали данные обо всех заказах. С чем связан этот сбой, компания не сообщила. Одна из версий произошедшего — имела место атака на серверы каким-то вирусом. В 2019 году у Ozon произошла крупнейшая утечка данных клиентов и продавцов. Базы данных с логинами и паролями 450 тыс. пользователей начали продаваться в сети. Ozon вначале умалчивал об утечке, но потом признал ее и начал информировать пользователей о том, как им стоит себя вести.

Несмотря на все это, опрошенные «Экспертом» специалисты по кибербезопасности считают, что аккаунты клиентов и продавцов маркетплейсов достаточно хорошо защищены. Они объясняют, что такие же атаки совершаются и против других компаний — банков, технологических платформ и т. п. Стандартных видов кибератак два: фишинг или заражение устройств клиентов вредоносными программами. Клиенты маркетплейсов могут пострадать от этого с той же вероятностью, что и клиенты других крупных платформ или банков.

По словам эксперта по кибербезопасности «Лаборатории Касперского» Леонида Безвершенко, хакеры создают фишинговые страницы и заманивают туда продавцов. Там они применяют стандартные методы социальной инженерии — к примеру, предлагают привлекательные для владельцев магазинов акции или бонусы, вынуждая пользователя ввести данные. Часто фишинговые ссылки отправляются продавцам и на почту.

Вредоносные программы устанавливаются на компьютер или смартфон владельца магазина. Это может быть троян или стилер (виды ПО), собирающий конфиденциальные данные.

Еще одной серьезной угрозой стало возникшее в последнее время изобилие на российском рынке разных сервисов-помощников и ботов для продавцов маркетплейсов. Все эти проекты созданы непонятно кем, при этом они получают доступ к данным продавцов. Во время аутентификации в личном кабинете маркетплейсов вредное ПО может получать доступ к cookies пользователей, считывать оттуда данные и передавать злоумышленникам. А последние, получая пароли и логины, заходят в личные кабинеты вместо продавца.

Именно поэтому сами маркетплейсы рекомендуют заходить в личные кабинеты не с помощью пароля, а с помощью СМС с кодом. Ведущий инженер CorpSoft24 Михаил Сергеев говорит, что рекомендуется также использовать при входе в аккаунт двухфакторную авторизацию, она позволяет предотвратить получение контроля над учетной записью даже в случае утечки пароля.

Дополнительную защиту должен вводить и сам маркетплейс. Если, например, человек всегда заходит в свой аккаунт из РФ, то было бы логично препятствовать заходу в этот же аккаунт из другой страны, требуя дополнительных подтверждений. Кажется правильным, что вызывать подозрения маркетплейса должна и резкая смена географии: например, человек, все время заказывавший товары в одном регионе, вдруг делает крупный заказ в пункт выдачи на другом конце страны (такие случае тоже описаны в сети — люди вынуждены платить крупные суммы за отказ от товаров, которые за них заказал злоумышленник).

Маркетплейсы все же и сами совершенствуют свои системы защиты, отмечают специалисты по кибербезопасности.

В пресс-службе Ozon подтвердили, что их команды по информационной безопасности и противодействию мошенничеству внедряют дополнительные меры по защите личных данных клиентов и продавцов. «Например, мы уведомляем письмом на электронную почту о каждом входе с нового устройства. Для таких пользователей также ограничен функционал по изменениям в личном кабинете — с нового устройства не получится завершить сессии для других устройств, сменить номер телефона или другие чувствительные данные», — отмечают в пресс-службе.

Весь новый контент, который добавляет продавец, включая изображения или текстовые описания в карточке товара, проходят через модерацию перед публикацией, отмечают в Ozon. «Для этого мы используем модели машинного обучения, которые определяют QR-код или призывы переходить на сторонний ресурс — если модель обнаружит такой контент, то удалит его, так как это противоречит правилам площадки», — говорят в пресс-службе компании.

В Ozon также заявили, что вместе с ведущими компаниями в сфере кибербезопасности оперативно находят и блокируют фишинговые сайты и сообщения в каналах и соцсетях, которые распространяют контент злоумышленников.

Стоит отметить, что от взломов личных кабинетов страдают и продавцы западных маркетплейсов. Например, Amazon. Еще в далеком 2017 году Wall Street Journal писала о продажах баз данных этого маркетплейса в сети. В результате десятки продавцов потеряли доступ к личным кабинетам, так как их данные были украдены и использованы хакерами. Потери от действий хакеров у продавцов тогда составляли от 15 тыс. до 100 тыс. долларов.

Взломы аккаунтов продавцов Amazon происходят регулярно. Схемы атак стандартные. Это все те же фишинговые атаки, когда продавцам предлагают пройти по внешним ссылкам или атаки с помощью «кейлоггеров» — специальных программ-шпионов, фиксирующих все, что вы набираете на своей клавиатуре.

Защити себя сам

Если атака на продавца уже совершена, потребуется уже правовая защита. Юристы советуют максимально подробно документировать все, что происходит на взломанных аккаунтах.

Партнер юридической фирмы «Тимофеев, Гусев и партнеры» Антон Гусев отмечает, что чем больше документов и сведений, подтверждающих признаки преступления, будет представлено, тем подробнее и быстрее компетентные сотрудники маркетплейсов представят подробные объяснения произошедшего.

По словам адвоката, партнера Criminal Defense Firm Анны Голуб, первое, что нужно сделать, — не выходить из аккаунта: так вы сможете увидеть данные, которые уже успели поменять мошенники. Это может быть другой почтовый адрес, или расчетный счет, или иные данные.

Далее следует обратиться в техническую поддержку. Хотя она и не всегда своевременно сможет помочь. Но все равно важно оперативно отреагировать, добавляет Александр Тарасенко. «Пишите в техподдержку, что вас взломали и вы просите заблокировать все действия в вашем личном кабинете с такой-то даты. И действия с такой-то даты просите отменить. Если вы написали письмо в Wildberries и рассказали о ситуации, мяч перешел на сторону маркетплейса. Теперь он должен откликнуться на вашу заявку и совершить какие-то действия», — отмечает юрист.

В этот же день надо написать заявление в полицию, добавляет Тарасенко. «Сделать это можно через Госуслуги. В заявлении пишем, что неизвестный злоумышленник взломал вас, и рассказываем, как именно он это сделал. Даже если пока вам не начислили штрафы, можно написать, что вы стали жертвой преступления. И впоследствии это преступление приведет к тому, что вы получите ущерб деловой репутации, будет вынуждены удалить товар и так далее», — перечисляет Тарасенко. Но Анна Голуб добавляет, что при этом не стоит рассчитывать на правоохранителей: скорее всего, мошенников они не найдут.

«Ситуация осложнена тем, что мошенники разбираются в информационных технологиях, используют VPN, прокси-серверы, чтобы скрыть свое местоположение, а также одноразовые сим-карты и банковские счета, хранят свои деньги в криптовалюте. Найти мошенников можно, однако возможность их задержать и привлечь к ответственности сводится к минимуму, поскольку находиться они могут в том числе за рубежом. Другая проблема — отсутствие специалистов по расследованию киберпреступлений в правоохранительных органах», — говорит Анна Голуб.

Между тем написанное заявление понадобится в суде. По словам Тарасенко, суд первым делом спросит, обращались ли вы в полицию. «Если вы заявление в полицию не писали, суд посчитает, что взлома не было», — уточняет юрист. Тарасенко добавляет, что самое худшее — потерять время и оперативно не среагировать на взлом. «Ко мне также часто обращаются люди, чьи аккаунты были взломаны давно. Им тоже можно помочь, но сделать это уже намного сложнее. Например, если человек даже не уведомил техническую поддержку маркетплейса, то мы бессильны. Если же он просто не написал заявление в полицию, то можно попробовать найти основания, почему он этого не сделал. Ясно, что маркетплейс уже не будет пересматривать штрафы в досудебном порядке. Поэтому, даже если затянули историю всего на месяц, придется идти в суд. Это дорого, долго — судебный процесс может растянуться на полгода, — но шансы у вас есть», — заключил юрист.