Как наш интернет-магазин взломали и увели 2900 рублей (а могли бы и миллион)
Десятиминутный детектив с картинками и счастливым концом
Мы — «Мам, купи!» Делаем одежду и аксессуары для блогеров и музыкантов, монетизируем мемы, наводим суету. Иногда в интернетах случаются скандалы с нашим участием (каждый раз неловко) — но так или иначе, мы остаемся фабрикой футболок и кружек, с типичными для легкой промышленности процессами
За шесть лет существования компании, мы столкнулись с мошенниками только один раз, и то с натяжкой: какой-то мужик тупо зашел в офис, схватил Макбук и убежал
Как устроена наша система
Мы торгуем одеждой и аксессуарами в интернет-магазине. Заказ оформляется через сайт на Битриксе, оплата производится через Юкассу, затем заказ уходит в МойСклад — где формируется список товаров для производства и отправки. Схематично вся цепочка выглядит вот так:
- Клиент выбирает футболку на сайте > кладет в корзину > кликает «оплатить»
- Сайт перекидывает клиента на страничку оплаты в Юкассе
- Клиенту, на указанный при оформлении email, автоматически приходит письмо «Ваш заказ оформлен, вот ссылка для оплаты»
- Клиент оформляет заказ в окне оплаты Юкассы > заказ уходит в МойСклад
- Клиенту приходит письмо «Ваш заказ оплачен вот вам его номер»
- Сотрудники производства выгружают заказ из МоегоСклада и начинают работать
На случай, если оформить заказ через сайт не получается, существует старая система, оставшаяся еще со времен торговли через социальные сети: клиент пишет в директ нашего Инстаграма, отдел продаж принимает заказ, ручками оформляет его через админку сайта, а дальше все развивается по схеме выше, начиная с пункта № 3 + ссылка для оплаты дублируется прямо в директе Инстаграма
Взлом
На дворе 23 марта, клиент пишет нам в Инстаграме — хочет купить вышедшее из продажи худи «Обрыган”. Это мемное худи, приуроченное к появлению двух наших блогеров в “Вечернем Урганте»
Торги уже закрыты, худи с сайта убрано, но материалы есть — так что мы решаем продать еще одну штучку. Продавашки действуют по инструкции: узнают всякое про размер, адрес доставки, спрашивают email, оформляют заказ в админке Битрикса и высылают платежную ссылку. Клиент оплачивает 2900 рублей, однако деньги до нас не доходят
об-ры-ган: Существительное, одушевлённое, мужской род, 2-е склонениесленг, презр. опустившийся человек
Проходит час, еще один, завязывается переписка, клиент показывает чек и скриншоты — и вот тут мы понимаем что оплата была произведена в каком-то левом кошельке https://sobe.ru/na/mamcupy. Кошелек называется «MamCupy», прямо как наша компания — однако оформлен на физическое лицо и никак с нами не связан. Под ним буквально написано «Деньги получит человек, а не компания», но видимо клиент этого не заметил. Продавашки пытаются понять: как клиент попал туда — проверяют автоматическое письмо, отправленное Битриксом, и видят подмену платежной ссылки
Кто-то влез в наш Битрикс, и подменил платежную ссылку в автоматическом письме так, что теперь она стала вести на левый кошелек!
Мы тут же останавливаем продажи, меняем пароли, проверяем все заказы за последние дни — и обнаруживаем, что все автоматические письма начиная с 21 марта содержат в себе ссылку на левый кошелек. То есть: целых три дня наш сайт отправлял клиентам письма с фальшивой платежной ссылкой. Обзваниваем клиентов и выдыхаем — в ловушку успел попасться только один человек
Обманутого клиента мы успокоили, заказанное худи выслали за свой счет, а кошелек мошенника https://sobe.ru/na/mamcupy — заблокировали через обращение в саппорт. Взломанный шаблон на Битриксе исправили в тот же день, после чего заменили пароли
Расследование
На следующий день после закрытия дыры, мы сообщили команде: «в систему влез червь, клиента обманули на 2900 рублей — чистим компутеры и перестаем лазать по порносайтам, хорошо?» Разумеется, ни в какого червя мы не верили — ссылку однозначно подменил кто-то из компании. Для поиска мошенника, была собрана группа из доверенных сотрудников. Расследование началось!
«Мам, купи!» долгое время существовала небольшой дружной командой, пароли конечно не валялись в открытом доступе — но и добыть их труда не составляло. В последние три месяца мы наняли новых контентщиков, бухгалтеров, b2b-менеджеров, закупщиков — у любого из них было достаточно прав доступа для получения паролей от Битрикса
Сперва мы решили допросить sobe.ru, в конце концов кошелек мошенника находился на их платформе. Закономерно, мы получили отписку: мол ситуация мутная, но данные владельца кошелька мы выдать не можем, даже email, сами понимаете — подключайте полицию
Дальше мы полезли читать логи Битрикса. Выгрузили большую таблицу со списком авторизаций и стали изучать все входы в админку за месяц. Мы искали необычные идентификаторы, ночных посетителей и все остальное что не вписывается в обычный рабочий распорядок. Увы, ничего из ряда вон выходящего — вот продавашки создают новые товары, вот контентщики заливают фотографии, вот руководство заходит что-то проверить, тоска
Сразу найти ничего не получилось, навалились новые дела, так что мы забили — вернулись к обычной работе, а 26 марта опубликовали в нашем Телеграме статью о случившемся. Чтобы взлом не повторился, мы предприняли две меры: поменяли все-все пароли, и стали делать 1 пробный заказ в начале каждого дня
27 марта, после пробного заказа, мы заметили что ссылку снова подменили! Лезем в логи — таинственный незнакомец заходит в админку Битрикса, делает заказ, видит что мы починил ссылку, меняет шаблон, делает еще один заказ, стирает следы. Проверяем логи почты, с которой отправляется ссылка, и находим email мошенника: [email protected]
Все изучив, мы фиксируем порядок действий (какие команды, сколько времени заняло) мошенника, и ищем аналогичный в районе 21 марта — ровно тогда произошел первый взлом. Бинго! Те же действия, снова удаленные пробные заказы, только email теперь другой, гораздо более знакомый нам — [email protected]
DSA — инициалы Дмитрия, недавно уволенного сотрудника «Мам, купи!» Август 1984 года сходится с датой его рождения. Вытащив из архива его резюме, мы обнаруживаем все тот же email [email protected]. Как можно было так глупо проколоться?
Сложно поверить, что кто-то будет тестировать мошенническую схему на своем рабочем почтовом ящике, да еще и с инициалами и годом рождения? Для верности, мы пытаемся войти на [email protected] с помощью номера Дмитрия. Яндекс принимает номер и отправляет на него код. То есть ящик и правда зарегистрирован на него. Окей, теперь верим!
Шаг за шагом
Взяв Дмитрия на карандаш, мы изучили логи с нуля и восстановили картину событий
10 марта:
Дмитрий уволен
14 марта:
Дмитрий обнаруживает, что мы забыли отключить его персональную учетку Битрикса, начинает заходить в админку и тыкаться в шаблоны. Он очевидно не слишком понимает как они работают, ловит ошибки, уходит читать мануалы
21 марта:
Дмитрий ковыряется в шаблонах, проверяет наши графики продаж и полученных сумм, смотрит настройки заказов. Наконец у него получается подменить ссылку — он делает заказ на email [email protected], убеждается что ссылка изменилась на фальшивую, и стирает все следы своих проказ. Схема сработала, впереди миллионные хищения!
23 марта:
Мы потеряли 2900, обнаружили взломанный шаблон и починили его. Поиски по логам ничего не дают — слишком большой массив данных, а у нас лапки и вообще мы больше по одежде
26 марта:
Мы публикуем статью про мошенничество
27 марта:
Дмитрий снова заходит в админку и меняет шаблон, делает два пробных заказа на email [email protected] — по которому мы и выходим на его следы
Идеальные условия для победы!
Как же так вышло, что мы наняли подобного человека?
Долгое время мы существовали в формате небольшой мастерской, работали как удобно и не запаривались созданием сложной бизнес-структуры. В 2020 году все изменилось. Во-первых, карантин вынудил нас ужать штат. Во-вторых, мы выпустили суперуспешную коллекцию одежды для Моргенштерна — и нам привалило заказов больше, чем мы могли отработать в привычном режиме. Тогда мы решили поступить как большие дядьки: нанять крутого операционного директора. Мы полагали, что он опишет все наши бизнес-процессы, составит понятные инструкции, натянет CRM
Вместо CRM, он решил натянуть нас!
Дмитрий пришел к нам из крупной сети цветочных магазинов. Приличное резюме, послужной список, рекомендации, карьерный путь от продавца-консультанта до руководителя сети. Скучноватый, чуть старше нас всех, высокомерный вроде, но разговаривать можно — его компетенции вопросов не вызывали. Мы посадили его за большой стол, назначили солидную зарплату, поставили ряд глобальных задач
Три месяца он составлял таблицы, делал звонки, описывал процессы, уволил пару сотрудников, вроде что-то делалось — нельзя же требовать от топ-менеджера срочных результатов. В марте ждать надоело, мы устроили большую беседу и поняли — дядька не вывозит наш хаос. B2B-подразделение настроить у него не получилось, структурирование процессов тоже по нулям, внедрение CRM застряло на стадии консультации с поставщиком. Поразмыслив, мы решили что пора прощаться — без обидок, с полной выплатой обещанного вознаграждения и передачей дел. Спустя неделю Дмитрий сдал нам все учетки, корпоративный Макбук, и покинул «Мам, купи!» в той же тишине, что сопровождала его все три месяца работы
По итогу расследования, мы пытались связаться с Дмитрием — но он молча банил нас во всех мессенджерах и тер диалоги с двух сторон
Найти о нем какую-то дополнительную информацию не удавалось, его имя не гуглилось, в социальных сетях он не фигурировал. Мы не понимаем — то ли взлом стал реакцией на увольнение, то ли Дмитрий с самого начала был мошенником с поддельными резюме и рекомендациями
Что теперь?
Как обычно бывает после косяка — мы приняли меры и прокачали нашу систему безопасности. Приятно, что мошенником оказался не действующий сотрудник — а обиженный мутный тип. Неприятно — что мы так безответственно относились к нашим паролям и не сообразили сразу прочесать логи по командам изменения шаблонов. С Дмитрием мы еще надеемся увидеться, благо все данные для дружеской встречи у нас есть
Всем удачи и правильного подбора кадров, а если уж жизнь подтолкнет вас к мошенничеству — настоятельно советуем не использовать рабочий email с вашими инициалами и годом рождения в названии
обрыганы наняли обрыгана продавать обрыганов, а тот их обрыгал
Одному мне кажется, что статья выглядит как реклама Битрикса, Моего склада, Юкассы и одного интернет-магазина, торгующего прозрачными трусами? А вся история выдумана, для привлечения внимания почтенной публики?
Антиреклама. Логов нет, доступы к критически важным разделам админки есть вообще у всех
«контентщиков, бухгалтеров, b2b-менеджеров, закупщиков — у любого из них было достаточно прав доступа для получения паролей от Битрикса»
Комментарий недоступен
берите глубже - это антиреклама компьютеров. на счётах такого не было!
это скрытая реклама вебкама. Следующий пост будет про то как, бизнес не пошел и героиня возвращается в вебкам. Кстати, она очень даже красивая)
Комментарий удален модератором
tldr: "мы забыли отключить его персональную учетку Битрикса"
А также настроить роли пользователей
Дмитрий, а что вы хотите? У руководства другой «профиль». https://www.forbes.ru/karera-i-svoy-biznes/409875-mama-kupila-kak-byvshaya-vebkam-model-zarabatyvaet-sotni-millionov-na
Ой да что там вы. Я знал одного программиста, он ушёл с прошлой работы год назад, решил зайти под своими данными в систему и она его приняла: полный доступ! А это очень крупная торговая сеть! Они даже пароли не меняли. А что говорить про вас с 1 заказом за 3 дня и то фейковым)
Ещё учётка заведена на личный, не на корпоративный ящик.
Хм. У вас такой большой оборот, что за три дня только один заказ был оплачен? Как получилась такая малая кровь?
99% клиентов платят через сайт, или по ссылке в директе (если на сайт почему-то не попасть). Ссылки в письмах обычно игнорируют, они играют роль напоминалки скорее
За такой урок безопасности, что он вам преподал - вам бы стоило ему сказать спасибо. Конечно неприятны такие люди, неприятная и некрасивая ситуация, но выявить такую реальную проблему - стоило бы хотя бы без полиции обойтись. Прощать надо уметь, ему его вернется.
Никому ничего никогда не возвращается. Это просто библейская поговорка для поддержания порядка среди бедных, позволяющая богачам творить любой беспредел. Никакого урока он не преподавал и прощения он не заслуживает. Он наверняка ещё мнит себя кул-хацкером. Заморочился же — почту левую создал. Ещё поди с VPN заходил. Если бы дыра была техническая или хотя бы в регламенте работы — ещё куда ни шло. А тут банальное злоупотребление доверием. Это не круто, это не хакерство. Спасибо ему говорить точно не за что. Обыкновенный человек-мудак.
Комментарий недоступен
А в чем на ваш взгляд реальная проблема?
В полицию заявление на взлом написали?
В статье написано «мусорнуться не вариант». Аффтар походу сидел
Никто в полиции не будет этим заниматься. Ущерб 2900, через N месяцев напишут отказное постановление.
Особенности ведения онлайн-бизнеса в России...
Приплетайте рашку, пожалуйста, в другом месте. Тем более, что это ваш первый комментарий на VC. )
Вот поэтому я свои сайты на битриксе сам администнистрирую. А при необходимости приходится даже php изучать, чтобы самостоятельно переделать какой-нибудь модуль на битриксе.
Комментарий удален модератором
Сколько лет прошло с вебкама, все мерч с приколами продаете? )) Ребят, давно пора развиваться
Шесть лет прошло — все стабильно. Именно приколы на второй план отошли, продаются слабо, делаем для души. Основной упор у нас на мерч для блогеров и музыкантов, ну и на b2b заказы — производственные мощности все же есть
Комментарий недоступен
Могу вас разочаровать никакого на ура не будет. Любое мошенничество, особенно связанное с применением компьютерных технологий, требует немалой траты сил и средств для расследования. Куча запросов, пара экспертиз, на которые всегда очередь. При сумме ущерба в 2900 встанет вопрос о квалификации. Мошенничество сложнее расследовать чем ту же кражу или вред здоровью. Пару раз представлял потерпевших по мошенничеству - долго, трудно, нудно, нервы мотает здорово, результат неочевиден.
С полицией связываться себе дороже. Мы пробовали один раз — после кражи в магазине. В итоге просто потратили кучу времени на допросы и бумажки. Россия! В данном случае, возможно, сделаем исключение — так как человек в дальнейшем может попробовать обмануть другого работодателя
Вы очень наивны.
"продавашки" - как же отстойно и неуважительно звучит
А там уважения к себе не ждите.
"Отвратительная компания с культурой уровня 90-х. Зарплата ниже рынка, KPI скотский, как и отношение к команде.
Не коллектив, а змеиное гнездо, где за любую ошибку за тебя доносят Даше, которая не директор а истеричная умалишенная хабалка, материт тебя лично, публично и в рабочих чатах.
Культуры работы нет, мат-перемат в чатах, задачи ставятся как попало в зависимости от цикла непрекращающегося ПМС "руководительницы".
НЕ ОФОРМЛЯЮТ ПО ТК ПЛАТЯТ В КОНВЕРТАХ В ЧЕРНУЮ!!!"
У меня что-то не сходится. Ок, первый раз пароль у него был, потом вы сменили все пароли, как он подменил шаблон второй раз?
Они ему админский доступ не закрыли
В первые дни работы, для него была сделана персональная учетка — а мы про нее совсем забыли
Спасибо. Прочитал с интересом. Может кого-то убережёт от таких ошибок!
Какой-то дурачок... 36 лет...
Шоколад ни в чём не виноват!
Комментарий недоступен
Все ровно наоборот. Это мы разрабатываем дизайн — а потом его (иногда) утаскивают на левые площадки
Насколько я наблюдала - Алик копирует дизайны) стоит чему-то мелькнуть в соц.сетях у кого-то "популярного", через неделю это топ-товар на Али, создаётся спрос, китайцы тоже не дураки и делают деньги) ну и сейчас даже региональные бренды продаются на Алиэкспресс, он такой же маркет-плейс, на данный момент, как и Озон, ВБ. На Али теперь сложно найти копии nike и люкс-брендов, потому что бренды сами туда вышли официально.
Комментарий недоступен
Вот эта история вообще ни о чем по сравнению с тем как я пытался вести бизнес на торговых рынках. Вы-то сразу заметили пропажу 2900 рублей. А вот я порой замечал кражи своими продавщицами только спустя продолжительное время, когда обнаруживалось, что вот был мешок или целая коробка с товаром, и вдруг её не стало и даже в продажах этого нет. Я это направление закрыл несколько лет назад с большим минусом. Больше даже из-за воровства.
То ли сами сочинили этот бред, чтобы напомнить о себе в очередной раз. Слишком много ерунды в статье получилось.
я прям вижу, как топ-менеджер после увольнения сидит и от обиды начинает битрикс ломать за 2900)))
Хорошо бы опубликовать контакты болезного, чтобы внести его везде в черный список и забанить во всех сетях.
Увы. Без суда мы его даже "мошенником" в полной мере называть не может
Нашли инфоповод за 2900
Продавашки, программашки, дизайнеряшки ((
Мусорнуться — не вариант!
Вечер в хату, часик в радость, чифир в сладость, бродяги!
Это позиция обрыганов и фемок?
О, на картинках крутой мульт! Даша, дочка любила раньше смотреть
Очень интересная история! И есть полезный лайфхак - чтобы проверить принадлежность левой почты, надо вбить номер телефона подозреваемых. Просто, но ведь реально хороший способ!
Кто-то привязывает почту к телефону? Зачем?
Комментарий недоступен
Вывод один хотите денег в интернет магазине штатный админ с прописанной на бумаге ответственностью должен быть, не будет истории в разном виде будут повторятся.
Мы давно работаем в области безопасности интернем магазинов и могу сказать что в 9 из 10 случае причина взлома одна - нет постоянного грамотного админа.
На текущий момент, если бы они наняли админа в штат, они бы сэкономили бы 2900, а потратили бы на зарплату и налоги админа в раз в 100 больше. Тут конечно многое зависит от везения, плюс сработала их собственная внимательность и интуиция.
Все правильно говорите
Что ж ты, фраер, сдал назад
Не по масти я тебе
Ты смотри в мои глаза
Брось трепаться о судьбе
Ведь с тобой, мой мусорок
Я попутала рамсы
Завязала узелок
Как тугие две косы
Помню как ты подошел
Как поскрипывал паркет
Как поставил на мой стол
Чайных роз большой букет
Я решила ты - скокарь
Или вор-авторитет
Оказалось, просто тварь
Брал на понт, тушите свет
Ты весь вечер флиртовал
И разжег в груди пожар
А когда поцеловал
Миша смазал в лузу шар
Как узнали, что ты мент
Кипишнулся в баре стог
Все растаяли в момент
Тут облава и гоп-стоп
Сели в бест на долгий срок
Хоть, спасибо, не метут
Но меня, мой мусорок
Все ментовкою зовут!
Ты со мною говорил
Не разбрасывая слов
Целовал и много пил
За меня и за любовь
Ты ж с иголочки ходил -
Лярвы пялили глаза
А вчера как дверь открыл
Я попятилась назад
На тебе, мышиный туз
Был майорский макинтош
И с кокардою картуз
На себя ты не похож!
А когда узнал, кто я
То разлил на стол вино
И сказав: "Приду на днях"
Не вернулся все равно!
Story with good end
Что хорошего? Мошенник якобы вычислен, а заявление в полицию так и не написано.
даша зарыковская троллит: «мы сообщили команде: «чистим компутеры и перестаем лазать по порносайтам, хорошо?»)) p.s.: не понял момента, три дня с сайта шли левые ссылки, и только один клиент попался на байт. а остальные заказывают, получают ссылон на оплату, и получают по уху от предков, вместо худи от моргена, так что-ли? почему счета на оплату дошли до сделки за три дня только у одного человека?
Подменялась только ссылка в почте. Ссылка для оплаты, которую видит клиент сразу после оформления заказу не была подменена. Почти все оплаты были сделаны сразу, а не по ссылке в почте
99% клиентов оплачивают заказ в Юкассе, после перехода из корзины. Письмо с платежной ссылкой просто игнорируется, оно скорее выполняет роль напоминалки, мол "вот вы собирались сделать заказ, осталось лишь оплатить его". Нам ОЧЕНЬ повезло что все так, иначе мы бы потеряли значительно больше денег
Вы же пароли поменяли. Как он 2й раз залез?
В статье не хотите "мусорнуться" ( понты какие то если честно ), а на скриншоте мессенджера написано "передали в полицию"
"Под ним буквально написано «Деньги получит человек, а не компания», но видимо клиент этого не заметил" — полагаю, он заметил. Такая надпись разве должна кого-то напрягать?
Крайне порадовало, что админы по жалобам "Мам, купи" трут любые критические отзывы, именуя это "токсичностью".
То есть ссылка на известный недавний скандал, когда Зарыковская обхамила матом свою сотрудницу не имеет никакого отношения к тому, что в "Мам купи" возникают проблемы с сотрудниками. С чего бы вдруг!
Комментарий недоступен
не матюгайся 😂
передаем дело в полицию
Ясно, понятно. А Битрикс все равно кал)
Подключать полицию чтобы выяснить кто преступник — 100% результата не будет, тем более при взломе сайта. Совсем другое — передать данные на уже подтвержденного мошенника. Но мы все еще думаем, стоит ли это того
Ну да, к сожалению, не все сотрудники оказываются не только полезные, но и честные. Хотя деньги же он получал честные..!
..какой-то мужик тупо зашел в офис, схватил Макбук и убежал 😂
Кибербезопасность не сработала!
Теперь этого Дмитрия натянут менты на бутылку. Реальный срок, конечно, не дадут, но условка будет запросто. Из-за такой ерунды и мелочи. 36 лет, он реально дурачок
Ну, расчёт-то был не на 2900, а на то, что это долго никто не заметит.
Интересно, на что он рассчитывал, если бы дело приобрело такой оборот, что вы бы обратились в полицию? Не мошенник, а лопух какой-то.
Комментарий удален модератором
Комментарий удален модератором
Даже если история фэйк, все равно даёт задуматься ещё раз об информационной безопасности
Комментарий недоступен
Вот чтобы чужие учётки не уводили, подключили бы второй фактор. Ну и да, управление учётками вообще - полезная штука. Человек увольняется, удаляйте доступы.
Извините, не получается посочувствовать.
Даже не прочитав название магазина, я уже понял о чем речь. Его создатель – извините, забыл фамилию – славится своим взаимоотношением с людьми. Вечные срачи.
По-моему в статье достигнут прямо-таки локальный максимум по дисциплине "как вызвать минимум сочувствия".
Комментарий удален модератором
Спасибо за статью.
Вам бы ограничить на будущее доступ к админке битрикса своей 'офисной' подсетью....
И даже 'забытый' сотрудник снаружи не сможет туда попасть.
Дистанционнка же была сколько времени. А с VPN-ом и PPTP никто не заморачивался
Худи Обрыган? Дайте две!)))
Дурак Дмитрий ;)
После фразы о том, что вы предоставляете сотрудникам полный доступ к админке без разделения аккаунтов по ролям и полномочиям - можно не читать. Без обид - благодарите судьбу и Дмитрия , что вас натянули всего на 2900.
И судя по всему , у вас реальный хаос от внезапного роста. Смена паролей не поможет, если не настроить банальную систему разделения ролей и доступа к админке. При том, что это есть в Битрикс "из коробки", даже программист не нужен.
Мамкины детективы!
Эх, чувак всего лишь хотел чтоб ты вернулась обратно в вебкам, а ты вот так.
А тема то как звучит: Взлом, кража 2900 руб🤦🤦🤦😂😂 прям Уххххх. А всего-то: Мы лохи и не знаем, что такое граничить права в битрикс
Битрикс - дырявое Г вцелом. Но права править что либо на сайте должны быть только у разработки. И вообще все только через git и push request с код ревью и автодепдоем. Доступ к правке кода в админке вообще надо выпилить. Данные для платёжки в шаблоне письма... Ну такое себе )
Добрый день! Благодарим за обратную связь. Не согласны насчет того, что доступ к правке кода должен быть только у разработки, но в любом случае, спасибо за комментарий.
Комментарий удален модератором