Мошенники вывели 350 млн рублей с Wildberries через «подставных продавцов» — источник Статьи редакции

Представители ритейлера подали заявление в полицию.

Мошенники обманули Wildberries через «подставных продавцов», пишет ТАСС со ссылкой на источник в УМВД. В компании подтвердили vc.ru подачу заявления о «хищении денежных средств путём обмана».

«Подставные продавцы» размещали на маркетплейсе несуществующий товар, «подставные покупатели» оплачивали его, но в процессе оплаты намеренно совершали ошибку. Оплата отклонялась, но в Wildberries отображалась продажа, и деньги уходили «продавцу».

В Wildberries рассказали vc.ru, что мошенники впервые провели операцию в начале апреля на сумму в несколько тысяч рублей. А массовая атака прошла в последнюю неделю мая. Компания выявила обман, обратилась в полицию и в профильные органы, чтобы рынок узнал о новой мошеннической схеме.

Мы уверены в успешном исходе дела: злоумышленники, оставившие свои «цифровые следы», уже установлены, а правоохранительные органы ведут активные следственные действия. Покупатели и продавцы товаров не пострадали — для нас их «цифровая безопасность» на онлайн-площадке является ключевым приоритетом.

Wildberries

Официально в компании не комментируют сумму ущерба. Знакомый с расследованием источник рассказал vc.ru, что потери составили около 350 млн рублей, задержаны первые подозреваемые. Часть средств, полученных мошенниками, уже заблокирована.

0
275 комментариев
Написать комментарий...
Valentin Dombrovsky

«Новая мошенническая схема» состоит в обнаружении в компании криворуких разрабов? 

Ответить
Развернуть ветку
AntoN

А в чём тут криворукость разрабов? Наверняка разрабы сделал всё по ТЗ, тестировщики проверили всё на соответствие ТЗ. Наверняка ТЗ подписало несколько руководителей разного уровня. И то что составитель ТЗ не учёл подобные ситуации — это исключительно его ответственность и тех, кто его подписал.

Ответить
Развернуть ветку
L A

Я разбирал наверно с полсотни шлюзов в разные продукты и платёжные системы и самые популярные ошибки такие:
1) никак не выфильтровывается тестовая платёжная система (то есть платёж и весь колбек в целом нормальный, но что ПС не тестовая не проверяется, иногда в доках от эквайера эта особенность даже не описана, а иногда если где-то не убрать галочку, она автоматически становится тестовой для карты 4111 1111 1111 1111 / 123)
2) не проверяется сумма платежа (где-то подменяется сумма на 1 рубль, а платёж проходит  по номеру "транзакции" и корректной цифровой подписи.
3) аналогично с полем "валюта"
4) очевидно слабый ключ хеширования, который можно сбрутить, отсутствие валидации запрсом эквайеру.

п 1 и 2 встречается даже в официальных модулях к CMS от шлюза (которые конечно же предоставляются в виде "as is" который превращается в "is ass" ).

и да, есть ещё распространённый вариант что всё тз на интеграцию это задача вида:  "вот ссылка на новый шлюз, вот доки у него на сайте, вот доступ к ЛК и чтобы завтра было готово".

Ответить
Развернуть ветку
Akman X

Я обычный человек с небольшими навыками в js и php, который пишет код исключительно для своих нужд (продажа электронных книг/иных цифровых услуг в интернете) и даже я учёл все то, о чем вы написали, в своем простом коде для оплаты, хоть и понимаю, что те люди, с которыми мне доводится работать, никогда бы не стали делать махинации, потому что целевая аудитория вообще в этом не бум-бум. Я прописывал различные вариации проверки фактической оплаты и проверки хэша на подмену исключительно для себя, и если что-то где-то не сходится (название, цена, количество, айди продукта, хэш, ответ от платёжной системы) — сайт просто выдает определенную ошибку, потому что иначе не могу. Я в замешательстве от того, что такая крупная компания, как ВБ, вероятно об этом не подумали.

Ответить
Развернуть ветку
animegravitation

чую не все вы учли ))) 

Ответить
Развернуть ветку
272 комментария
Раскрывать всегда