Согласно исследованию аналитиков Juniper Research, глобальный объем онлайн-продаж в 2024 году достиг 7 трлн долларов и, как ожидается, удвоится в следующие пять лет. Однако активность киберпреступников в этой сфере увеличивается опережающими темпами. За минувший год ущерб от мошеннических операций составил свыше 44 млрд долларов, а через пять лет может превысить 107 млрд долларов.
Риску подвержена любая электронная площадка — вне зависимости от масштаба или специализации. Будь то торговая платформа цифрового контента, интернет-магазин строительных материалов, сервис бронирования путешествий или сайт развлекательного комплекса. Прием платежей, программы поощрения клиентов, персональные кабинеты пользователей — все это привлекает аферистов. Какие методы атак наиболее распространены, какие убытки несут компании и как им защититься?
Компрометация учетных записей
Благодаря фишинговым схемам и утечкам информации у злоумышленников имеются миллиарды комбинаций логинов и паролей. Эти данные последовательно проверяются на различных ресурсах с авторизацией в расчете на то, что пользователи применяют одинаковые авторизационные данные для разных сервисов. Такая методика именуется credential stuffing. Успешная атака позволяет злоумышленникам оплачивать товары с привязанных банковских карт либо расходовать накопленные бонусы. Также компрометированные аккаунты могут применяться для незаконных операций с использованием сторонних платежных средств.
Проверка украденных платежных данных
Аналогично предыдущему сценарию, преступники располагают базами с реквизитами банковских карт, полученных посредством вредоносного ПО. Для фильтрации действующих карт с возможностью онлайн-оплат они задействуют торговые платформы. Тестовые транзакции обычно имеют минимальные суммы. Валидные карточные данные затем реализуются на черном рынке для последующего хищения средств.
Со стороны магазина такие действия выглядят как массовое добавление недорогих позиций в корзину с последующими безуспешными попытками оплаты разными картами. Количество незавершенных операций может достигать сотен даже для небольших площадок. В результате платежный агрегатор может заблокировать магазин за превышение лимита отклоненных транзакций.
Необоснованные возвраты платежей
Добросовестные клиенты иногда оспаривают совершенные покупки через банк-эмитент, заявляя о несанкционированных операциях. Иногда это сознательный обман, иногда — отсутствие согласования между членами семьи (например, ребенок совершает покупку без ведома родителей). Хотя подобные случаи обычно единичны, убытки могут быть существенными, если информация о простоте возвратов станет популярной в тематических сообществах.
Фиктивные операции с товарами
В зависимости от специфики бизнеса и географии деятельности, злоумышленники могут организовать массовые заказы с использованием похищенных платежных инструментов. Магазин сталкивается с лавиной обращений по отмене транзакций и возвратам. Проблему усугубляет масштаб таких операций — в одном из зафиксированных случаев было оформлено 118 тысяч заказов, что соответствует одной сделке каждые три секунды.
Подбор кодов подарочных сертификатов
При поддержке подарочных карт боты автоматически проверяют тысячи комбинаций цифровых кодов для активации баланса. Успешно подобные номера либо используются для приобретения товаров, либо перепродаются третьим лицам.
Хищение накопленных бонусов
Если платформа позволяет совершать покупки за баллы без дополнительной верификации (например, подтверждения SMS), злоумышленники моментально обналичивают скомпрометированные счета либо выжидают накопления значительной суммы. Особенно актуально для премиальных сегментов с высокой клиентской лояльностью.
Скупка лимитированной продукции
При продаже билетов на популярные мероприятия или эксклюзивных коллекционных товаров активизируются боты перекупщиков. Такие программы способны выкупить весь ассортимент за минуты, вызывая недовольство реальных покупателей. В даркнете доступны специализированные боты для крупных платформ, например Shopifybot.
Массовое создание фейковых профилей
Для реализации описанных схем мошенники генерируют тысячи ложных аккаунтов, увеличивая расходы на обслуживание — отправка приветственных SMS-сообщений, почтовых рассылок и т.д.
Финансовые и репутационные издержки
Даже при отсутствии прямого хищения активов описанные схемы приводят к серьезным последствиям:
- Финансовые потери из-за операций с украденными платежными данными и многочисленными ошибочными транзакциями. В зависимости от договоренностей с платежным сервисом возможны комиссии за возвраты, штрафные санкции, временное ограничение доступа к шлюзу.
- Неэффективные рекламные расходы. Боты часто переходят по рекламным ссылкам, исчерпывая маркетинговый бюджет на привлечение несуществующих клиентов. Их активность искажает аналитику, ухудшая таргетирование.
- Злоупотребление промоакциями. Пользователи создают дополнительные аккаунты для получения приветственных бонусов, а мошенники находят уязвимости для массового обналичивания поощрений.
- Ошибки прогнозирования. Ложные заказы усложняют анализ продаж и планирование закупок, особенно при использовании стандартных инструментов аналитики.
- Повышенная нагрузка на персонал. Обработка брошенных корзин, расследование подозрительных аккаунтов и транзакций отвлекают ресурсы сотрудников.
- Ухудшение клиентского опыта. Пользователи сталкиваются с хищениями средств, дефицитом товаров или техническими сбоями. Несмотря на усилия службы поддержки и компенсации, часть аудитории неизбежно уходит к конкурентам.
По некоторым оценкам, на каждые 100$ мошеннических транзакций бизнес теряет более 200$ из-за сопутствующих расходов.
Методы защиты электронной коммерции
Период, когда для защиты хватало блокировки подозрительных IP-адресов или внедрения CAPTCHA, завершился. Искусственный интеллект породил не только новые сервисы для бизнеса, но и умных ботов, способных обходить традиционные средства защиты.
Современным компаниям требуются комплексные решения, анализирующие поведение пользователя на всех этапах взаимодействия с платформой — от входа до завершения операции. Такие системы выявляют аномалии в режиме реального времени: несанкционированный доступ к аккаунтам, злоупотребление платежными API, попытки создания фальшивых профилей.
Одно из таких решений — Kaspersky Fraud Prevention. Технология анализирует параметры устройства, поведенческие паттерны, контекст операций и метаданные для формирования цифрового профиля пользователя. Система допускает гибкую настройку под специфику бизнеса, используя как внутренние данные компании, так и глобальную аналитику. Интеграция выполняется без установки дополнительного ПО на устройства клиентов и минимально затрагивает существующую инфраструктуру.
Владельцы сайтов отмечают, что современные антифрод-системы улучшают клиентский опыт, сокращая необходимость в дополнительной верификации для добросовестных покупателей. Это позволяет компаниям фокусироваться на развитии сервисов и ассортимента вместо борьбы с мошенничеством.