Как наш интернет-магазин взломали и увели 2900 рублей (а могли бы и миллион)

Десятиминутный детектив с картинками и счастливым концом

Мы — «Мам, купи!» Делаем одежду и аксессуары для блогеров и музыкантов, монетизируем мемы, наводим суету. Иногда в интернетах случаются скандалы с нашим участием (каждый раз неловко) — но так или иначе, мы остаемся фабрикой футболок и кружек, с типичными для легкой промышленности процессами

За шесть лет существования компании, мы столкнулись с мошенниками только один раз, и то с натяжкой: какой-то мужик тупо зашел в офис, схватил Макбук и убежал

Мы торгуем одеждой и аксессуарами в интернет-магазине. Заказ оформляется через сайт на Битриксе, оплата производится через Юкассу, затем заказ уходит в МойСклад — где формируется список товаров для производства и отправки. Схематично вся цепочка выглядит вот так:

На случай, если оформить заказ через сайт не получается, существует старая система, оставшаяся еще со времен торговли через социальные сети: клиент пишет в директ нашего Инстаграма, отдел продаж принимает заказ, ручками оформляет его через админку сайта, а дальше все развивается по схеме выше, начиная с пункта № 3 + ссылка для оплаты дублируется прямо в директе Инстаграма

На дворе 23 марта, клиент пишет нам в Инстаграме — хочет купить вышедшее из продажи худи «Обрыган”. Это мемное худи, приуроченное к появлению двух наших блогеров в “Вечернем Урганте»

Торги уже закрыты, худи с сайта убрано, но материалы есть — так что мы решаем продать еще одну штучку. Продавашки действуют по инструкции: узнают всякое про размер, адрес доставки, спрашивают email, оформляют заказ в админке Битрикса и высылают платежную ссылку. Клиент оплачивает 2900 рублей, однако деньги до нас не доходят

об-ры-ган: Существительное, одушевлённое, мужской род, 2-е склонениесленг, презр. опустившийся человек

Проходит час, еще один, завязывается переписка, клиент показывает чек и скриншоты — и вот тут мы понимаем что оплата была произведена в каком-то левом кошельке https://sobe.ru/na/mamcupy. Кошелек называется «MamCupy», прямо как наша компания — однако оформлен на физическое лицо и никак с нами не связан. Под ним буквально написано «Деньги получит человек, а не компания», но видимо клиент этого не заметил. Продавашки пытаются понять: как клиент попал туда — проверяют автоматическое письмо, отправленное Битриксом, и видят подмену платежной ссылки

Кто-то влез в наш Битрикс, и подменил платежную ссылку в автоматическом письме так, что теперь она стала вести на левый кошелек!

Мы тут же останавливаем продажи, меняем пароли, проверяем все заказы за последние дни — и обнаруживаем, что все автоматические письма начиная с 21 марта содержат в себе ссылку на левый кошелек. То есть: целых три дня наш сайт отправлял клиентам письма с фальшивой платежной ссылкой. Обзваниваем клиентов и выдыхаем — в ловушку успел попасться только один человек

Обманутого клиента мы успокоили, заказанное худи выслали за свой счет, а кошелек мошенника https://sobe.ru/na/mamcupy — заблокировали через обращение в саппорт. Взломанный шаблон на Битриксе исправили в тот же день, после чего заменили пароли

На следующий день после закрытия дыры, мы сообщили команде: «в систему влез червь, клиента обманули на 2900 рублей — чистим компутеры и перестаем лазать по порносайтам, хорошо?» Разумеется, ни в какого червя мы не верили — ссылку однозначно подменил кто-то из компании. Для поиска мошенника, была собрана группа из доверенных сотрудников. Расследование началось!

«Мам, купи!» долгое время существовала небольшой дружной командой, пароли конечно не валялись в открытом доступе — но и добыть их труда не составляло. В последние три месяца мы наняли новых контентщиков, бухгалтеров, b2b-менеджеров, закупщиков — у любого из них было достаточно прав доступа для получения паролей от Битрикса

Сперва мы решили допросить sobe.ru, в конце концов кошелек мошенника находился на их платформе. Закономерно, мы получили отписку: мол ситуация мутная, но данные владельца кошелька мы выдать не можем, даже email, сами понимаете — подключайте полицию

Дальше мы полезли читать логи Битрикса. Выгрузили большую таблицу со списком авторизаций и стали изучать все входы в админку за месяц. Мы искали необычные идентификаторы, ночных посетителей и все остальное что не вписывается в обычный рабочий распорядок. Увы, ничего из ряда вон выходящего — вот продавашки создают новые товары, вот контентщики заливают фотографии, вот руководство заходит что-то проверить, тоска

Сразу найти ничего не получилось, навалились новые дела, так что мы забили — вернулись к обычной работе, а 26 марта опубликовали в нашем Телеграме статью о случившемся. Чтобы взлом не повторился, мы предприняли две меры: поменяли все-все пароли, и стали делать 1 пробный заказ в начале каждого дня

27 марта, после пробного заказа, мы заметили что ссылку снова подменили! Лезем в логи — таинственный незнакомец заходит в админку Битрикса, делает заказ, видит что мы починил ссылку, меняет шаблон, делает еще один заказ, стирает следы. Проверяем логи почты, с которой отправляется ссылка, и находим email мошенника: finntrailshop@yandex.ru

Все изучив, мы фиксируем порядок действий (какие команды, сколько времени заняло) мошенника, и ищем аналогичный в районе 21 марта — ровно тогда произошел первый взлом. Бинго! Те же действия, снова удаленные пробные заказы, только email теперь другой, гораздо более знакомый нам — dsa0884@yandex.ru

DSA — инициалы Дмитрия, недавно уволенного сотрудника «Мам, купи!» Август 1984 года сходится с датой его рождения. Вытащив из архива его резюме, мы обнаруживаем все тот же email dsa0884@yandex.ru. Как можно было так глупо проколоться?

Сложно поверить, что кто-то будет тестировать мошенническую схему на своем рабочем почтовом ящике, да еще и с инициалами и годом рождения? Для верности, мы пытаемся войти на finntrailshop@yandex.ru с помощью номера Дмитрия. Яндекс принимает номер и отправляет на него код. То есть ящик и правда зарегистрирован на него. Окей, теперь верим!

Взяв Дмитрия на карандаш, мы изучили логи с нуля и восстановили картину событий

10 марта:
Дмитрий уволен

14 марта:
Дмитрий обнаруживает, что мы забыли отключить его персональную учетку Битрикса, начинает заходить в админку и тыкаться в шаблоны. Он очевидно не слишком понимает как они работают, ловит ошибки, уходит читать мануалы

21 марта:
Дмитрий ковыряется в шаблонах, проверяет наши графики продаж и полученных сумм, смотрит настройки заказов. Наконец у него получается подменить ссылку — он делает заказ на email dsa0884@yandex.ru, убеждается что ссылка изменилась на фальшивую, и стирает все следы своих проказ. Схема сработала, впереди миллионные хищения!

23 марта:
Мы потеряли 2900, обнаружили взломанный шаблон и починили его. Поиски по логам ничего не дают — слишком большой массив данных, а у нас лапки и вообще мы больше по одежде

26 марта:
Мы публикуем статью про мошенничество

27 марта:
Дмитрий снова заходит в админку и меняет шаблон, делает два пробных заказа на email finntrailshop@yandex.ru — по которому мы и выходим на его следы

Как же так вышло, что мы наняли подобного человека?

Долгое время мы существовали в формате небольшой мастерской, работали как удобно и не запаривались созданием сложной бизнес-структуры. В 2020 году все изменилось. Во-первых, карантин вынудил нас ужать штат. Во-вторых, мы выпустили суперуспешную коллекцию одежды для Моргенштерна — и нам привалило заказов больше, чем мы могли отработать в привычном режиме. Тогда мы решили поступить как большие дядьки: нанять крутого операционного директора. Мы полагали, что он опишет все наши бизнес-процессы, составит понятные инструкции, натянет CRM

Вместо CRM, он решил натянуть нас!

Дмитрий пришел к нам из крупной сети цветочных магазинов. Приличное резюме, послужной список, рекомендации, карьерный путь от продавца-консультанта до руководителя сети. Скучноватый, чуть старше нас всех, высокомерный вроде, но разговаривать можно — его компетенции вопросов не вызывали. Мы посадили его за большой стол, назначили солидную зарплату, поставили ряд глобальных задач

Три месяца он составлял таблицы, делал звонки, описывал процессы, уволил пару сотрудников, вроде что-то делалось — нельзя же требовать от топ-менеджера срочных результатов. В марте ждать надоело, мы устроили большую беседу и поняли — дядька не вывозит наш хаос. B2B-подразделение настроить у него не получилось, структурирование процессов тоже по нулям, внедрение CRM застряло на стадии консультации с поставщиком. Поразмыслив, мы решили что пора прощаться — без обидок, с полной выплатой обещанного вознаграждения и передачей дел. Спустя неделю Дмитрий сдал нам все учетки, корпоративный Макбук, и покинул «Мам, купи!» в той же тишине, что сопровождала его все три месяца работы

По итогу расследования, мы пытались связаться с Дмитрием — но он молча банил нас во всех мессенджерах и тер диалоги с двух сторон

Найти о нем какую-то дополнительную информацию не удавалось, его имя не гуглилось, в социальных сетях он не фигурировал. Мы не понимаем — то ли взлом стал реакцией на увольнение, то ли Дмитрий с самого начала был мошенником с поддельными резюме и рекомендациями

Как обычно бывает после косяка — мы приняли меры и прокачали нашу систему безопасности. Приятно, что мошенником оказался не действующий сотрудник — а обиженный мутный тип. Неприятно — что мы так безответственно относились к нашим паролям и не сообразили сразу прочесать логи по командам изменения шаблонов. С Дмитрием мы еще надеемся увидеться, благо все данные для дружеской встречи у нас есть

Всем удачи и правильного подбора кадров, а если уж жизнь подтолкнет вас к мошенничеству — настоятельно советуем не использовать рабочий email с вашими инициалами и годом рождения в названии