Факап на Amazon: как «подарить» немецким мошенникам промокод на 99% и потерять товар на €3400

В середине января наши настольные игры стоимостью несколько тысяч евро были проданы на Amazon со скидкой 99% за €34 и уехали в две разные точки Германии экспресс-доставкой. И всё это произошло по нашей вине.

В Европе мы продаём наши игры под маркой «The Brainy Band». Несколько лет мы работали только через европейских дистрибьюторов, но полгода назад начали продавать игры на Amazon.

Изучив возможности сервиса, мы решили завести специальный промокод Y4V49T8A со скидкой 99%: на случай, если понадобится быстро доставить игры на одну из европейских выставок, в которых мы регулярно участвуем. Во всяком случае, через Amazon получалось быстрее, чем при доставке с нашего склада в Таллине. Разумеется, этот код знали только наши сотрудники, мы его никому не показывали и, если честно, через некоторое время вообще забыли про него.

В понедельник 14 января мы зашли в личный кабинет Amazon и не поверили своим глазам: 12 января было продано 267 игр на €3441. Это при средних продажах около €50 в день!

А спустя пару минут выяснилось, что вся эта сумма состоит из восьми заказов со скидкой 99% и экспресс-доставкой в два города, расположенных в разных концах Германии: Хойхельхайм и Вайе.

Мы оперативно связались с саппортом Amazon: первый менеджер просто мычал в трубку, после чего переключил на старшего специалиста. Тот сказал: «Я посмотрю, что можно сделать», и спустя полчаса сообщил в письме, что один из восьми заказов застрял из-за отсутствия части товаров на складе, в результате чего его удалось отменить. Ещё один заказ удалось отменить частично. Остальные были успешно переданы получателям.

Конечно же, всё это случилось благодаря нашей беспечности — мы просто не знали, что так бывает. С другой стороны, если вы держите бумажник в расстёгнутом кармане, это ещё никому не даёт права его у вас забирать.

Скорее всего мошенники не просто угадали код, а использовали так называемый «brute force» или полный перебор: когда программа с огромной скоростью подбирает разные сочетания символов в поле «промокод». На некоторых сайтах при каждой новой попытке появляется капча, но на Amazon такой защиты нет — пробуй хоть миллион промокодов в час.

И хотя с точки зрения европейского законодательства такой способ мошенничества практически недоказуем (и, как следствие, ненаказуем), злоумышленники приняли меры, чтобы обезопасить себя и повысить шансы на успех.

1. Заказ был сделан вечером в субботу, за пару часов до закрытия логистического центра Amazon с экспресс-доставкой. На деле это означает, что заказ оперативно собирают, отдают в доставку и уходят на выходные. И до понедельника хоть обзвонись — никто не остановит отправку.

2. Доставка была оформлена не на домашний адрес или в офис, а в почтовое отделение. Опять же, неплохой способ скрыть место, имеющее отношение к заказчику (например, адрес работы или дома).

3. Заказ был оплачен с помощью подарочных карт Amazon, которые в Германии продаются в каждом супермаркете. Это позволяет не светить данные банковской карты или счёта — достаточно указать произвольное имя и получить посылку, имея на руках только номер заказа.

Во-первых, стало очевидно, что не стоит заводить промокоды с огромной скидкой: особенно «про запас», когда они не нужны здесь и сейчас. Даже если мы уверены, что их никто кроме нас не знает.

Во-вторых, мы сделали то, что надо было сделать изначально — подключили ручное подтверждение заказа, если в нём больше 5 товаров. Теперь ни один крупный заказ физически не может покинуть склад Amazon, пока менеджер не проверит его и не подтвердит в личном кабинете.

В итоге этот урок базовой безопасности обошёлся нам в €3400 или 254000 рублей. Передаём привет нашему «коучу» Кристиану Мекелю (или как там его зовут на самом деле). И конечно же советуем всем, кто продаёт товары на Amazon, быть внимательнее и не повторять наших ошибок.