Мошенники вывели 350 млн рублей с Wildberries через «подставных продавцов» — источник Статьи редакции
Представители ритейлера подали заявление в полицию.
Мошенники обманули Wildberries через «подставных продавцов», пишет ТАСС со ссылкой на источник в УМВД. В компании подтвердили vc.ru подачу заявления о «хищении денежных средств путём обмана».
«Подставные продавцы» размещали на маркетплейсе несуществующий товар, «подставные покупатели» оплачивали его, но в процессе оплаты намеренно совершали ошибку. Оплата отклонялась, но в Wildberries отображалась продажа, и деньги уходили «продавцу».
В Wildberries рассказали vc.ru, что мошенники впервые провели операцию в начале апреля на сумму в несколько тысяч рублей. А массовая атака прошла в последнюю неделю мая. Компания выявила обман, обратилась в полицию и в профильные органы, чтобы рынок узнал о новой мошеннической схеме.
Официально в компании не комментируют сумму ущерба. Знакомый с расследованием источник рассказал vc.ru, что потери составили около 350 млн рублей, задержаны первые подозреваемые. Часть средств, полученных мошенниками, уже заблокирована.
«Новая мошенническая схема» состоит в обнаружении в компании криворуких разрабов?
А в чём тут криворукость разрабов? Наверняка разрабы сделал всё по ТЗ, тестировщики проверили всё на соответствие ТЗ. Наверняка ТЗ подписало несколько руководителей разного уровня. И то что составитель ТЗ не учёл подобные ситуации — это исключительно его ответственность и тех, кто его подписал.
Я разбирал наверно с полсотни шлюзов в разные продукты и платёжные системы и самые популярные ошибки такие:
1) никак не выфильтровывается тестовая платёжная система (то есть платёж и весь колбек в целом нормальный, но что ПС не тестовая не проверяется, иногда в доках от эквайера эта особенность даже не описана, а иногда если где-то не убрать галочку, она автоматически становится тестовой для карты 4111 1111 1111 1111 / 123)
2) не проверяется сумма платежа (где-то подменяется сумма на 1 рубль, а платёж проходит по номеру "транзакции" и корректной цифровой подписи.
3) аналогично с полем "валюта"
4) очевидно слабый ключ хеширования, который можно сбрутить, отсутствие валидации запрсом эквайеру.
п 1 и 2 встречается даже в официальных модулях к CMS от шлюза (которые конечно же предоставляются в виде "as is" который превращается в "is ass" ).
и да, есть ещё распространённый вариант что всё тз на интеграцию это задача вида: "вот ссылка на новый шлюз, вот доки у него на сайте, вот доступ к ЛК и чтобы завтра было готово".
Я обычный человек с небольшими навыками в js и php, который пишет код исключительно для своих нужд (продажа электронных книг/иных цифровых услуг в интернете) и даже я учёл все то, о чем вы написали, в своем простом коде для оплаты, хоть и понимаю, что те люди, с которыми мне доводится работать, никогда бы не стали делать махинации, потому что целевая аудитория вообще в этом не бум-бум. Я прописывал различные вариации проверки фактической оплаты и проверки хэша на подмену исключительно для себя, и если что-то где-то не сходится (название, цена, количество, айди продукта, хэш, ответ от платёжной системы) — сайт просто выдает определенную ошибку, потому что иначе не могу. Я в замешательстве от того, что такая крупная компания, как ВБ, вероятно об этом не подумали.
чую не все вы учли )))