Как интернет-магазин Tasty Coffee нагрели на 100 000+ рублей через кешбэк Тинькофф и другие программы лояльности

Привет, это Яна Куклина из интернет-магазина свежего кофе Tasty Coffee. У нас есть кешбэк на покупки, а ещё мы возвращаем деньги, если покупателю не понравился кофе. Но некоторым этого мало, и они пытаются обмануть нас хотя бы на пару тысяч рублей. Рассказываем, какие «дыры» нашли клиенты в наших программах лояльности и во сколько нам это обошлось.

Опросы показывают, что каждый второй клиент интернет-магазинов готов обмануть продавца, чтобы сэкономить побольше. Среди наших покупателей таких единицы, но они всё же есть. Поэтому, когда делаешь программы лояльности, приходится думать не только о добросовестных клиентах, но и о мошенниках. Мы профакапили несколько моментов — узнали о проблемах и начали их исправлять уже после того, как потеряли кучу денег. Вот как нас обманывали.

Если сейчас зайти в приложение банка «Тинькофф», вы увидите там больше сотни компаний, которые предлагают кешбэк. Но в 2019 году это было ещё в новинку — рекламодателей мало, аудитория горячая и лояльная. Мы рискнули и запустились — дали новым клиентам кешбэк 15% за первую покупку. По акции пришло несколько тысяч человек, мы были довольны результатом.

Как нас обманули. Тогда мы впервые столкнулись с недобросовестными покупателями. Обман обнаружили, когда подряд прошли отмены нескольких заказов на сумму от 50 000 рублей, притом что средний чек у нас 2000 рублей.

Человек заказывал, например, дорогую кофемолку типа Fiorenzato F64e за 62 000 рублей, получал от нас кешбэк через банк в размере 9300 рублей и отменял заказ, пока мы не успели её отправить. 62 000 рублей тоже возвращались ему обратно на карту.

Сначала было непонятно, что происходит, почему люди вообще отказываются от товара. Мы провели небольшое расследование и выяснили, что возвраты за все отменённые заказы сделаны на карты Тинькофф.

В то время мы почти не проверяли банковские реестры: вручную почекать несколько тысяч операций невозможно, а автоматизировать процесс ещё не успели. Решили проверить эти операции, связались с банком и совместно нашли причину. Оказалось, что не все наши возвраты обрабатывались автоматически, — некоторые приходилось в ручном режиме отправлять в банк, и он на своей стороне откатывал кешбэк.

Мы точно не знаем, сколько денег увели по этой схеме, пока мы её не раскрыли, но никак не меньше 60–70 тысяч рублей.

Как мы защитились. Мы латали «дыру» несколько месяцев, чтобы всё работало как надо. Но главную проблему закрыли быстро: ограничили максимальную сумму оплаты на сайте до 30–40 тысяч рублей. Если заказ дороже, оплатить картой на сайте не получится, будет доступна только оплата при получении. Ещё снизили кешбэк до 5% на первую покупку. Это помогло отрезать большую часть махинаторов. Постепенно ввели дополнительные меры защиты:

А вот с большого заказа вернуть кешбэк полностью не выйдет. На те же кофемолки и другие аксессуары у нас очень низкая наценка, и если мы будем возвращать за них кешбэком по несколько тысяч, то уйдём в минус. Сначала так и было, мы неверно посчитали программу лояльности. Можно сказать, обманщики помогли нам пофиксить эту ошибку тоже.

Партнёрка с Тинькофф работает до сих пор. Мы регулярно перезапускаем акцию, чтобы попадать в раздел «Новое» в приложении и оставаться заметными для пользователей. Кешбэк не поднимаем выше 5% для новых клиентов и 3% для старых, потому что он уже не столько привлекает новую аудиторию, сколько поддерживает лояльность постоянных покупателей.

А спустя три года, в этом феврале, мы словили дежавю. Люди опять начали заказывать на крупные суммы и тут же отменять заказы, так как думали, что кешбэк останется. Но теперь мы это сразу заметили, просмотрели данные и выяснили, что во всех случаях оплата проходила с карт Яндекс Банка.

Первым делом отключили возможность автоматической отмены заказа на сайте — деньги у хитрецов зависли. Они стали писать нам в поддержку, и я позвонила паре человек: «Ребята, у нас есть сквозная аналитика, которая показывает, что вы делаете на сайте: заходите, ничего не выбираете, а кидаете первый попавшийся дорогой товар в корзину, сразу оплачиваете и через 20 секунд отменяете. Это подозрительно. Пока не разберёмся, деньги вернуть не получится, а проверка может затянуться. Или честно признавайтесь, что происходит».

Одного получилось напугать, видимо, совсем новичок. Парень раскололся и сказал, что такие схемы описываются в специальных чатах в Телеграме. И там уже есть информация, что с Tasty Coffee способ не работает, — нас больше не побеспокоят. Действительно, в тот же день всё прекратилось.

В 2021 году в приложении Тинькофф «Кошелёк» появился денежный кешбэк, который начисляют за любую покупку у партнёров независимо от того, оплатили её картой или наличными. Человек покупает товар, загружает чек в приложение, получает кешбэк и выводит деньги на банковскую карту.

Как нас обманули. Летом 2022 года сработала другая схема. Когда клиент оплачивает заказ на сайте, ему на email приходит электронный чек о предоплате, а когда получает товар на руки — чек о полном расчёте. Нечестные покупатели начали загружать в приложение «авансовые» чеки, чтобы получить кешбэк через приложение, а от заказа отказывались. В результате мы возвращали предоплату плюс тратились на кешбэк.

Как мы защитились. Пока решение только одно: отслеживать каждую операцию в «Кошельке» вручную. Мы связались с командой приложения, и теперь она ежемесячно присылает нам реестр пользователей, которые загрузили в приложение чеки о предоплате. Сотрудник Tasty Coffee проверяет каждого клиента из списка — если человек ничего не отменил и забрал кофе, мы выплачиваем ему кешбэк. Планируем скоро автоматизировать и этот процесс.

Ещё ребята из Тинькофф обещали сделать так, чтобы приложение принимало только чеки с фискальным признаком «Полный расчёт». Но, видимо, эта задача у программистов не на первом месте, поэтому пока ждём и работаем со списками.

В Tasty Coffee можно купить подарочный онлайн-сертификат на любую сумму. Нужно только указать email получателя, чтобы мы отправили ему карту с кодом. Всё как в других интернет-магазинах, кроме дыры в коде.

Как нас обманули. Пользователь сам покупал себе подарочный сертификат, например на 1000 рублей, добавлял товары в корзину и применял код сертификата. Потом открывал эту корзину сразу в пяти вкладках и везде нажимал кнопки «Оформить заказ». Открывалось пять платёжных страниц, и клиент пять раз оплачивал товар одним сертификатом. Пока обновлялись данные об остатке на сертификате, эта операция успевала сработать на нескольких вкладках. В результате четыре из пяти заказов обходились жулику бесплатно, а мы теряли 4000 рублей.

Как мы защитились. Узнали об этой схеме случайно: как-то просматривали отчёты и обнаружили, что по некоторым сертификатам отрицательные цифры.

На то, чтобы разобраться, в чём дело, и поправить код, у нас ушла пара дней. Теперь мы знаем, что все финансовые операции нужно выполнять строго последовательно и с блокировкой таблиц. Сейчас, если открыть сначала одну платёжную страницу, а потом вторую, первая сбросится автоматически.

Сертификатом Tasty Coffee можно воспользоваться и по-другому: пополнить внутренний счёт в интернет-магазине, а потом оплатить с него покупки. Это удобно, если человек не хочет заказывать кофе прямо сейчас. Позже ему не придётся перелистывать всю почту, чтобы найти промокод: деньги уже в личном кабинете на сайте.

Как нас обманули. Один из пользователей написал скрипт, который за секунду отправлял сотни запросов на пополнение внутреннего счёта подарочным сертификатом. Процессы запускались параллельно, вот так:

До момента погашения счёт успевал пополниться с одного сертификата 10–15 раз.

Параллельный запуск процессов — тоже наш косяк. Но и ребята тут были посерьёзнее. Если размножить сертификат на несколько платёжных страниц мог любой пользователь, то со скриптом всё-таки нужно было заморочиться, а не просто найти инструкцию в интернете.

Как мы защитились. Воспользоваться скриптом смог всего один человек: он оформил покупку 1 января на 12 000 рублей и успел получить посылку. До сих пор удивляемся: куда ему почти 15 кг кофе? Разве что на подарки. Ещё несколько любителей халявы за день до конца новогодних каникул пополнили свои внутренние счета на разные суммы до 15 000 рублей и оформили заказы. Но тут наступило 9 января, мы пришли на работу и увидели это безобразие. Заказы отменили, а минусовые сертификаты заблокировали.

Чтобы ситуация не повторилась, наши программисты изменили логику обработки пополнений внутреннего счёта. Теперь каждая операция обрабатывается по очереди.

С качеством продукта у нас точно всё в порядке. Мы закупаем зёрна напрямую в странах произрастания, правильно их храним, а наши обжарщики нередко выигрывают профильные конкурсы. Считаем, что свежий кофе вкуснее, поэтому всегда идём навстречу клиентам: помогаем освоить рецепты и возвращаем деньги, если покупателю что-то не понравилось. Всё-таки вкус — штука субъективная, к тому же сильно зависит от качества воды, степени помола, времени заваривания. Правило о возврате есть у нас на сайте, но клиенты им не злоупотребляют, обращения по этому поводу единичные.

Мы и сейчас возвращаем деньги всем, кто жалуется на кофе, — несмотря на то, что однажды нашёлся человек, который решил бесплатно получать каждую вторую пачку.

Как нас обманули. Один из покупателей начал постоянно требовать возвраты. Сначала пожаловался на вкус кофе, потом на мятую пачку, задержку доставки на один день, отсутствие нужного сорта в посылке. Дальше начал повторяться: ему упорно не нравился кофе, хотя с водой и рецептом у него всё было в порядке. По сути, человек несколько раз получил товар за полцены: он платил один раз, забирал кофе, пил, предъявлял претензии, мы возвращали деньги на счёт, он делал новый заказ.

После нескольких компенсаций мы поняли, что клиент злоупотребляет нашим доверием. Сообщили ему, что в таком ключе работать с ним не будем. Тогда пользователь создал новую учётную запись, заказал кофе и опять воспользовался гарантией возврата средств.

Как мы защитились. Сейчас перед возвратом средств мы проверяем всё: совпадение почты, телефона, имени, IP, cookies сайта и user agent, а также данные карты, которой оплачен заказ. А программисты работают над антифрод-системой, которая будет делать это автоматически.

В случае с нашим жалобщиком мы сначала нашли по IP часть его заказов. В этих заказах были использованы телефоны, по которым мы нашли другие заказы и в конце концов вычислили настоящие данные человека. В ответ на очередную жалобу предупредили его, что так делать не надо. Надеялись, что он прекратит нас обманывать. Но нет. Тогда мы подняли все его заказы и сообщения, нашли в самых первых реальный телефон, почту и имя.

Мы предложили ему компенсировать хотя бы половину убытков, иначе обратимся в полицию. Ведь при ущербе больше 2500 рублей могут возбудить уголовное дело, а человек уже получил возвратов примерно на 12 000 рублей. Отправили ему счёт на 6 000 рублей, он оплатил, и вопрос мы закрыли.

Кстати, пока мы писали статью, этот клиент снова сделал заказ. Мы ждали новых жалоб, но он нас приятно удивил и ничего возвращать не стал. Рады, что ситуация закончилась хеппи-эндом.

После этой истории мы немного пересмотрели политику возвратов и теперь всегда оцениваем контекст. Обычно люди берут кофе в пачках по 250 грамм. Если человек заказал пять таких пачек на 2000 рублей и попросил вернуть 300–400 рублей за одну, то нет причин сомневаться. В таком случае мы спокойно возвращаем деньги или меняем кофе и получаем лояльного клиента. А вот килограммовые пачки, которые стоят около 1500 рублей, забираем на проверку и возвращаем оплату.

Вроде всё просто, но пока не попались сами, мы и не подозревали, на что способны некоторые люди. Как-то больше не тянет наступать на собственные грабли. Однако мы не хотим, чтобы жулики диктовали нам свои условия. Нам важно донести до аудитории идею о том, что кофе должен быть свежим, поэтому продолжим использовать программы лояльности и идти навстречу покупателям. Думаем, это поможет привлечь к нашей идее как можно больше людей.

Чтобы снизить риски, мы подписались на крупный телеграм-канал, где учат забирать кешбэк без покупки товара, и каждую новую схему проверяем у себя: вдруг сработает. Подскажете, что ещё проверить?