Владельцы пунктов выдачи заказов по всей стране предупреждают о появлении опасной схемы кибермошенничества, жертвами которой становятся как сотрудники, так и собственники бизнеса
Злоумышленники используют методы социальной инженерии, выдавая себя за официальных представителей техподдержки маркетплейсов в мессенджерах. Целью атаки является получение доступа к рабочим сессиям в браузере, что позволяет мошенникам дистанционно управлять личным кабинетом ПВЗ и проводить фиктивные операции.
Схема активируется, когда сотрудник пункта обращается в тематические группы или чаты за помощью. В ответ он получает личное сообщение от аккаунта, который визуально имитирует официальный профиль поддержки, включая название и даже поддельную иконку верификации. Под предлогом ускорения решения технического вопроса преступники просят передать программный код страницы или другие специфические данные, позволяющие украсть активную сессию пользователя без ввода пароля.
Получив доступ к системе, мошенники оформляют фиктивные возвраты на дорогостоящую технику и одежду, которые были приобретены ранее. В результате система маркетплейса фиксирует прием товара обратно на склад, деньги возвращаются на счета злоумышленников, а реальный товар остается у них на руках. Владелец ПВЗ при этом оказывается в критической ситуации: на него ложится огромный долг перед площадкой за «утерянные» или некорректно оформленные позиции, которые фактически в пункт выдачи не поступали.
Использование украденных сессий является крайне эффективным методом, так как двухфакторная аутентификация в этом случае часто не срабатывает. Представители отраслевых сообществ призывают предпринимателей к максимальной бдительности и проведению дополнительного инструктажа персонала. Официальная поддержка крупных площадок никогда не запрашивает технические коды страниц или пароли через личные сообщения в сторонних мессенджерах.
В настоящее время пострадавшие владельцы пунктов выдачи пытаются оспорить начисленные задолженности через внутренние арбитражи маркетплейсов и правоохранительные органы. Юристы рекомендуют в подобных случаях немедленно фиксировать все подозрительные действия в системе и делать скриншоты переписки с фальшивыми аккаунтами. Осложняет ситуацию то, что доказать факт несанкционированного доступа бывает технически сложно, если сотрудник добровольно передал данные.