Факап на Amazon: как «подарить» немецким мошенникам промокод на 99% и потерять товар на €3400

В середине января наши настольные игры стоимостью несколько тысяч евро были проданы на Amazon со скидкой 99% за €34 и уехали в две разные точки Германии экспресс-доставкой. И всё это произошло по нашей вине.

В Европе мы продаём наши игры под маркой «The Brainy Band». Несколько лет мы работали только через европейских дистрибьюторов, но полгода назад начали продавать игры на Amazon.

Факап на Amazon: как «подарить» немецким мошенникам промокод на 99% и потерять товар на €3400

Изучив возможности сервиса, мы решили завести специальный промокод Y4V49T8A со скидкой 99%: на случай, если понадобится быстро доставить игры на одну из европейских выставок, в которых мы регулярно участвуем. Во всяком случае, через Amazon получалось быстрее, чем при доставке с нашего склада в Таллине. Разумеется, этот код знали только наши сотрудники, мы его никому не показывали и, если честно, через некоторое время вообще забыли про него.

Что случилось

В понедельник 14 января мы зашли в личный кабинет Amazon и не поверили своим глазам: 12 января было продано 267 игр на €3441. Это при средних продажах около €50 в день!

Статистика продаж по дням на Amazon
Статистика продаж по дням на Amazon

А спустя пару минут выяснилось, что вся эта сумма состоит из восьми заказов со скидкой 99% и экспресс-доставкой в два города, расположенных в разных концах Германии: Хойхельхайм и Вайе.

Один из заказов: цена товаров — €1989, к оплате — €19,88
Один из заказов: цена товаров — €1989, к оплате — €19,88

Мы оперативно связались с саппортом Amazon: первый менеджер просто мычал в трубку, после чего переключил на старшего специалиста. Тот сказал: «Я посмотрю, что можно сделать», и спустя полчаса сообщил в письме, что один из восьми заказов застрял из-за отсутствия части товаров на складе, в результате чего его удалось отменить. Ещё один заказ удалось отменить частично. Остальные были успешно переданы получателям.

<p>Коротко: «Привет, шесть заказов мы не отменили, один отменили полностью и ещё один и частично. Я надеюсь, что смог вам помочь»</p>

Коротко: «Привет, шесть заказов мы не отменили, один отменили полностью и ещё один и частично. Я надеюсь, что смог вам помочь»

Как так вышло

Конечно же, всё это случилось благодаря нашей беспечности — мы просто не знали, что так бывает. С другой стороны, если вы держите бумажник в расстёгнутом кармане, это ещё никому не даёт права его у вас забирать.

Скорее всего мошенники не просто угадали код, а использовали так называемый «brute force» или полный перебор: когда программа с огромной скоростью подбирает разные сочетания символов в поле «промокод». На некоторых сайтах при каждой новой попытке появляется капча, но на Amazon такой защиты нет — пробуй хоть миллион промокодов в час.

И хотя с точки зрения европейского законодательства такой способ мошенничества практически недоказуем (и, как следствие, ненаказуем), злоумышленники приняли меры, чтобы обезопасить себя и повысить шансы на успех.

1. Заказ был сделан вечером в субботу, за пару часов до закрытия логистического центра Amazon с экспресс-доставкой. На деле это означает, что заказ оперативно собирают, отдают в доставку и уходят на выходные. И до понедельника хоть обзвонись — никто не остановит отправку.

2. Доставка была оформлена не на домашний адрес или в офис, а в почтовое отделение. Опять же, неплохой способ скрыть место, имеющее отношение к заказчику (например, адрес работы или дома).

3. Заказ был оплачен с помощью подарочных карт Amazon, которые в Германии продаются в каждом супермаркете. Это позволяет не светить данные банковской карты или счёта — достаточно указать произвольное имя и получить посылку, имея на руках только номер заказа.

Факап на Amazon: как «подарить» немецким мошенникам промокод на 99% и потерять товар на €3400

Чему нас это научило

Во-первых, стало очевидно, что не стоит заводить промокоды с огромной скидкой: особенно «про запас», когда они не нужны здесь и сейчас. Даже если мы уверены, что их никто кроме нас не знает.

Во-вторых, мы сделали то, что надо было сделать изначально — подключили ручное подтверждение заказа, если в нём больше 5 товаров. Теперь ни один крупный заказ физически не может покинуть склад Amazon, пока менеджер не проверит его и не подтвердит в личном кабинете.

В итоге этот урок базовой безопасности обошёлся нам в €3400 или 254000 рублей. Передаём привет нашему «коучу» Кристиану Мекелю (или как там его зовут на самом деле). И конечно же советуем всем, кто продаёт товары на Amazon, быть внимательнее и не повторять наших ошибок.

127127
189 комментариев

Про брутфорс вы ошиблись. Небыло там брутфорса. Код слил кто то из сотрудников. Вероятно даже сотрудников амазона. Брутформ это 36 в 8 степени комбинаций. Пинг 10 мс. + время пока сайт подумает. И у амазона наверняка есть ограничение на кол-во запросов в час или в день. Нереально.

89

Вот скрин из кэша Google. Автор сам накосячил, расходимся.

Текст:

Beim Kauf von mindestens 1 können Sie bei Qualifizierte Artikel aus dem Angebot von The Brainy Band jeweils 10% sparen. Geben Sie den Code Y4V49T8A an der Kasse ein. Weitere Informationen

42

Очень надеюсь, что вы не занимаетесь ремонтом лифтов / транспорта или чем-то другим, связанным с критическими рисками для жизни и здоровья людей. Потому что такая уверенная оценка ситуации на коленке, без доли сомнения — это адский ад, даже если Банда Умников заблуждается насчёт брутфорса

10

И у амазона наверняка есть ограничение на кол-во запросов в час или в день. Нереально.

"наверняка" здесь лишнее слово, таких гигантов просто парсить проблематично, большой пул IP нужен.

2

Вбил в поиск ваш промокод (если вы тут указали реальный):
Нашло ваш товар, в сохраненной кэшем версии страницы лежит этот код (правда обещает скидку в 10 процентов)

25

Как всегда, не стоит объяснять злым умыслом то, что можно объяснить глупостью.

36

Хосспади, да, да, да, еще раз да. Один раз в гугле свой промокод поищи - статью на vc не пиши, экономь время читающих людей.

7