Как интернет-магазин Tasty Coffee нагрели на 100 000+ рублей через кешбэк Тинькофф и другие программы лояльности

Привет, это Яна Куклина из интернет-магазина свежего кофе Tasty Coffee. У нас есть кешбэк на покупки, а ещё мы возвращаем деньги, если покупателю не понравился кофе. Но некоторым этого мало, и они пытаются обмануть нас хотя бы на пару тысяч рублей. Рассказываем, какие «дыры» нашли клиенты в наших программах лояльности и во сколько нам это обошлось.

Как интернет-магазин Tasty Coffee нагрели на 100 000+ рублей через кешбэк Тинькофф и другие программы лояльности

Опросы показывают, что каждый второй клиент интернет-магазинов готов обмануть продавца, чтобы сэкономить побольше. Среди наших покупателей таких единицы, но они всё же есть. Поэтому, когда делаешь программы лояльности, приходится думать не только о добросовестных клиентах, но и о мошенниках. Мы профакапили несколько моментов — узнали о проблемах и начали их исправлять уже после того, как потеряли кучу денег. Вот как нас обманывали.

Получили от нас через Тинькофф 15% кешбэка за отменённые заказы

Если сейчас зайти в приложение банка «Тинькофф», вы увидите там больше сотни компаний, которые предлагают кешбэк. Но в 2019 году это было ещё в новинку — рекламодателей мало, аудитория горячая и лояльная. Мы рискнули и запустились — дали новым клиентам кешбэк 15% за первую покупку. По акции пришло несколько тысяч человек, мы были довольны результатом.

Как нас обманули. Тогда мы впервые столкнулись с недобросовестными покупателями. Обман обнаружили, когда подряд прошли отмены нескольких заказов на сумму от 50 000 рублей, притом что средний чек у нас 2000 рублей.

Человек заказывал, например, дорогую кофемолку типа Fiorenzato F64e за 62 000 рублей, получал от нас кешбэк через банк в размере 9300 рублей и отменял заказ, пока мы не успели её отправить. 62 000 рублей тоже возвращались ему обратно на карту.

Сначала было непонятно, что происходит, почему люди вообще отказываются от товара. Мы провели небольшое расследование и выяснили, что возвраты за все отменённые заказы сделаны на карты Тинькофф.

В то время мы почти не проверяли банковские реестры: вручную почекать несколько тысяч операций невозможно, а автоматизировать процесс ещё не успели. Решили проверить эти операции, связались с банком и совместно нашли причину. Оказалось, что не все наши возвраты обрабатывались автоматически, — некоторые приходилось в ручном режиме отправлять в банк, и он на своей стороне откатывал кешбэк.

Мы точно не знаем, сколько денег увели по этой схеме, пока мы её не раскрыли, но никак не меньше 60–70 тысяч рублей.

Как мы защитились. Мы латали «дыру» несколько месяцев, чтобы всё работало как надо. Но главную проблему закрыли быстро: ограничили максимальную сумму оплаты на сайте до 30–40 тысяч рублей. Если заказ дороже, оплатить картой на сайте не получится, будет доступна только оплата при получении. Ещё снизили кешбэк до 5% на первую покупку. Это помогло отрезать большую часть махинаторов. Постепенно ввели дополнительные меры защиты:

  • Подключили уведомления нашим менеджерам об отмене заказов. Теперь мы можем сразу проанализировать отменённые заказы и заметить подозрительные операции.
  • Ограничили в соглашении с банком максимальную сумму кешбэка до 300 рублей. Если клиент делает заказ на типичные 2000 рублей, он получает полную сумму кешбэка.

А вот с большого заказа вернуть кешбэк полностью не выйдет. На те же кофемолки и другие аксессуары у нас очень низкая наценка, и если мы будем возвращать за них кешбэком по несколько тысяч, то уйдём в минус. Сначала так и было, мы неверно посчитали программу лояльности. Можно сказать, обманщики помогли нам пофиксить эту ошибку тоже.

  • Начали сохранять ID всех операций оплаты в системе и автоматизировали их сверку с реестром кешбэка от банков. Если заказ отменят, то и кешбэк мы переводить не будем.

Партнёрка с Тинькофф работает до сих пор. Мы регулярно перезапускаем акцию, чтобы попадать в раздел «Новое» в приложении и оставаться заметными для пользователей. Кешбэк не поднимаем выше 5% для новых клиентов и 3% для старых, потому что он уже не столько привлекает новую аудиторию, сколько поддерживает лояльность постоянных покупателей.

А спустя три года, в этом феврале, мы словили дежавю. Люди опять начали заказывать на крупные суммы и тут же отменять заказы, так как думали, что кешбэк останется. Но теперь мы это сразу заметили, просмотрели данные и выяснили, что во всех случаях оплата проходила с карт Яндекс Банка.

<p>Между заказом и отменой проходит 20–60 секунд при сумме заказа от 40 до 60 тысяч рублей</p>

Между заказом и отменой проходит 20–60 секунд при сумме заказа от 40 до 60 тысяч рублей

Первым делом отключили возможность автоматической отмены заказа на сайте — деньги у хитрецов зависли. Они стали писать нам в поддержку, и я позвонила паре человек: «Ребята, у нас есть сквозная аналитика, которая показывает, что вы делаете на сайте: заходите, ничего не выбираете, а кидаете первый попавшийся дорогой товар в корзину, сразу оплачиваете и через 20 секунд отменяете. Это подозрительно. Пока не разберёмся, деньги вернуть не получится, а проверка может затянуться. Или честно признавайтесь, что происходит».

Одного получилось напугать, видимо, совсем новичок. Парень раскололся и сказал, что такие схемы описываются в специальных чатах в Телеграме. И там уже есть информация, что с Tasty Coffee способ не работает, — нас больше не побеспокоят. Действительно, в тот же день всё прекратилось.

Мы нашли много телеграм-каналов, в которых выкладывают подобные схемы. В одном из сообществ больше 150 тысяч подписчиков! Видели советы, как кинуть на кешбэк Леруа Мерлен, Вайлдберриз, Ламоду. Интересно, как они борются с этим?

Вынесли кешбэк через приложение «Кошелёк»

В 2021 году в приложении Тинькофф «Кошелёк» появился денежный кешбэк, который начисляют за любую покупку у партнёров независимо от того, оплатили её картой или наличными. Человек покупает товар, загружает чек в приложение, получает кешбэк и выводит деньги на банковскую карту.

<p>Мы, как и 200+ других компаний, стали партнёрами приложения «Кошелёк»</p>

Мы, как и 200+ других компаний, стали партнёрами приложения «Кошелёк»

Как нас обманули. Летом 2022 года сработала другая схема. Когда клиент оплачивает заказ на сайте, ему на email приходит электронный чек о предоплате, а когда получает товар на руки — чек о полном расчёте. Нечестные покупатели начали загружать в приложение «авансовые» чеки, чтобы получить кешбэк через приложение, а от заказа отказывались. В результате мы возвращали предоплату плюс тратились на кешбэк.

<p>«Кошелёк» не разбирался, какой чек в него загружают — о предоплате (слева) или о полном расчёте (справа)</p>

«Кошелёк» не разбирался, какой чек в него загружают — о предоплате (слева) или о полном расчёте (справа)

Как мы защитились. Пока решение только одно: отслеживать каждую операцию в «Кошельке» вручную. Мы связались с командой приложения, и теперь она ежемесячно присылает нам реестр пользователей, которые загрузили в приложение чеки о предоплате. Сотрудник Tasty Coffee проверяет каждого клиента из списка — если человек ничего не отменил и забрал кофе, мы выплачиваем ему кешбэк. Планируем скоро автоматизировать и этот процесс.

<p>Вот такие списки сейчас проверяют наши сотрудники каждый день</p>

Вот такие списки сейчас проверяют наши сотрудники каждый день

Ещё ребята из Тинькофф обещали сделать так, чтобы приложение принимало только чеки с фискальным признаком «Полный расчёт». Но, видимо, эта задача у программистов не на первом месте, поэтому пока ждём и работаем со списками.

Мы стараемся разбираться с каждым отказом, потому что всё равно несём убытки от таких операций. Если человек сделал заказ и его отменил, то некоторые банки, которым мы платим за эквайринг, берут комиссию и обратно не возвращают. С 60 000 рублей выходит почти 1000 рублей комиссии, которую мы списываем в расходы.

Размножили один сертификат на несколько заказов

В Tasty Coffee можно купить подарочный онлайн-сертификат на любую сумму. Нужно только указать email получателя, чтобы мы отправили ему карту с кодом. Всё как в других интернет-магазинах, кроме дыры в коде.

Как нас обманули. Пользователь сам покупал себе подарочный сертификат, например на 1000 рублей, добавлял товары в корзину и применял код сертификата. Потом открывал эту корзину сразу в пяти вкладках и везде нажимал кнопки «Оформить заказ». Открывалось пять платёжных страниц, и клиент пять раз оплачивал товар одним сертификатом. Пока обновлялись данные об остатке на сертификате, эта операция успевала сработать на нескольких вкладках. В результате четыре из пяти заказов обходились жулику бесплатно, а мы теряли 4000 рублей.

Как мы защитились. Узнали об этой схеме случайно: как-то просматривали отчёты и обнаружили, что по некоторым сертификатам отрицательные цифры.

<p>Например, сертификат стоит 1000 рублей, им воспользовались два раза, и в системе он отображается как погашенный с остатком в минус 1000 рублей</p>

Например, сертификат стоит 1000 рублей, им воспользовались два раза, и в системе он отображается как погашенный с остатком в минус 1000 рублей

На то, чтобы разобраться, в чём дело, и поправить код, у нас ушла пара дней. Теперь мы знаем, что все финансовые операции нужно выполнять строго последовательно и с блокировкой таблиц. Сейчас, если открыть сначала одну платёжную страницу, а потом вторую, первая сбросится автоматически.

Написали скрипт, чтобы пополнить личный счёт в магазине на сумму в 10–15 раз больше номинала

Сертификатом Tasty Coffee можно воспользоваться и по-другому: пополнить внутренний счёт в интернет-магазине, а потом оплатить с него покупки. Это удобно, если человек не хочет заказывать кофе прямо сейчас. Позже ему не придётся перелистывать всю почту, чтобы найти промокод: деньги уже в личном кабинете на сайте.

Как нас обманули. Один из пользователей написал скрипт, который за секунду отправлял сотни запросов на пополнение внутреннего счёта подарочным сертификатом. Процессы запускались параллельно, вот так:

  • Сертификат действителен? — Да.
  • Какая сумма на сертификате? — 1000 рублей.
  • Зачислить 1000 рублей на счёт? — Да.
  • Сертификат погашен? — Да.

До момента погашения счёт успевал пополниться с одного сертификата 10–15 раз.

<p>В логах многократное пополнение счёта с одного сертификата выглядело так</p>

В логах многократное пополнение счёта с одного сертификата выглядело так

Параллельный запуск процессов — тоже наш косяк. Но и ребята тут были посерьёзнее. Если размножить сертификат на несколько платёжных страниц мог любой пользователь, то со скриптом всё-таки нужно было заморочиться, а не просто найти инструкцию в интернете.

Пока мы ни разу не обращались в полицию: время дороже — день проведи в отделении, потом отвечай на запросы. Потери списываем на то, что пользователи нашли баги в нашем интернет-магазине, а мы им за это как бы заплатили.

Как мы защитились. Воспользоваться скриптом смог всего один человек: он оформил покупку 1 января на 12 000 рублей и успел получить посылку. До сих пор удивляемся: куда ему почти 15 кг кофе? Разве что на подарки. Ещё несколько любителей халявы за день до конца новогодних каникул пополнили свои внутренние счета на разные суммы до 15 000 рублей и оформили заказы. Но тут наступило 9 января, мы пришли на работу и увидели это безобразие. Заказы отменили, а минусовые сертификаты заблокировали.

<p>Аферисты побежали с претензиями в нашу поддержку, а мы им раз — и показали, как за такие фокусы можно оказаться в СИЗО</p>

Аферисты побежали с претензиями в нашу поддержку, а мы им раз — и показали, как за такие фокусы можно оказаться в СИЗО

Чтобы ситуация не повторилась, наши программисты изменили логику обработки пополнений внутреннего счёта. Теперь каждая операция обрабатывается по очереди.

Запрашивали возврат денег — одному клиенту кофе не понравился 12 раз подряд

С качеством продукта у нас точно всё в порядке. Мы закупаем зёрна напрямую в странах произрастания, правильно их храним, а наши обжарщики нередко выигрывают профильные конкурсы. Считаем, что свежий кофе вкуснее, поэтому всегда идём навстречу клиентам: помогаем освоить рецепты и возвращаем деньги, если покупателю что-то не понравилось. Всё-таки вкус — штука субъективная, к тому же сильно зависит от качества воды, степени помола, времени заваривания. Правило о возврате есть у нас на сайте, но клиенты им не злоупотребляют, обращения по этому поводу единичные.

Мы и сейчас возвращаем деньги всем, кто жалуется на кофе, — несмотря на то, что однажды нашёлся человек, который решил бесплатно получать каждую вторую пачку.

Как нас обманули. Один из покупателей начал постоянно требовать возвраты. Сначала пожаловался на вкус кофе, потом на мятую пачку, задержку доставки на один день, отсутствие нужного сорта в посылке. Дальше начал повторяться: ему упорно не нравился кофе, хотя с водой и рецептом у него всё было в порядке. По сути, человек несколько раз получил товар за полцены: он платил один раз, забирал кофе, пил, предъявлял претензии, мы возвращали деньги на счёт, он делал новый заказ.

После нескольких компенсаций мы поняли, что клиент злоупотребляет нашим доверием. Сообщили ему, что в таком ключе работать с ним не будем. Тогда пользователь создал новую учётную запись, заказал кофе и опять воспользовался гарантией возврата средств.

<p>Пользователь повторил схему несколько раз</p>

Пользователь повторил схему несколько раз

Как мы защитились. Сейчас перед возвратом средств мы проверяем всё: совпадение почты, телефона, имени, IP, cookies сайта и user agent, а также данные карты, которой оплачен заказ. А программисты работают над антифрод-системой, которая будет делать это автоматически.

Часто такие обманщики при создании учётной записи используют разные номера телефонов и электронные адреса, оплачивают с разных карт, но указывают один и тот же пункт выдачи. Некоторые каждый раз заказывают кофе прямо домой.

В случае с нашим жалобщиком мы сначала нашли по IP часть его заказов. В этих заказах были использованы телефоны, по которым мы нашли другие заказы и в конце концов вычислили настоящие данные человека. В ответ на очередную жалобу предупредили его, что так делать не надо. Надеялись, что он прекратит нас обманывать. Но нет. Тогда мы подняли все его заказы и сообщения, нашли в самых первых реальный телефон, почту и имя.

Мы предложили ему компенсировать хотя бы половину убытков, иначе обратимся в полицию. Ведь при ущербе больше 2500 рублей могут возбудить уголовное дело, а человек уже получил возвратов примерно на 12 000 рублей. Отправили ему счёт на 6 000 рублей, он оплатил, и вопрос мы закрыли.

Кстати, пока мы писали статью, этот клиент снова сделал заказ. Мы ждали новых жалоб, но он нас приятно удивил и ничего возвращать не стал. Рады, что ситуация закончилась хеппи-эндом.

После этой истории мы немного пересмотрели политику возвратов и теперь всегда оцениваем контекст. Обычно люди берут кофе в пачках по 250 грамм. Если человек заказал пять таких пачек на 2000 рублей и попросил вернуть 300–400 рублей за одну, то нет причин сомневаться. В таком случае мы спокойно возвращаем деньги или меняем кофе и получаем лояльного клиента. А вот килограммовые пачки, которые стоят около 1500 рублей, забираем на проверку и возвращаем оплату.

Итог

Вроде всё просто, но пока не попались сами, мы и не подозревали, на что способны некоторые люди. Как-то больше не тянет наступать на собственные грабли. Однако мы не хотим, чтобы жулики диктовали нам свои условия. Нам важно донести до аудитории идею о том, что кофе должен быть свежим, поэтому продолжим использовать программы лояльности и идти навстречу покупателям. Думаем, это поможет привлечь к нашей идее как можно больше людей.

Чтобы снизить риски, мы подписались на крупный телеграм-канал, где учат забирать кешбэк без покупки товара, и каждую новую схему проверяем у себя: вдруг сработает. Подскажете, что ещё проверить?

616616
11
513 комментария

Ощущение от статьи как будто в электронику поиграл =) под одну дыру горшочек подставили, а из другой уже яйцо катится. А вообще довольно интересная статья, на одном дыхании прочитал.

Потери списываем на то, что пользователи нашли баги в нашем интернет-магазине, а мы им за это как бы заплатили.

Разумный подход, круто что вы так позитивно к этому относитесь 👏

134

Спасибо, рада, что статья оказалась интересной :)

23

Потому что общие потери "копеечные", доказательная база для полиции - слабая, каждый отдельный фрод на несущественную сумму, которую "жулик" может отдать и тем самым закрыть имущественный урон. Для гражданского иска тоже слабые доводы, плюс досудебное урегулирование, проколоться как нефиг делать и остаться с потерянными деньгами и временем.

18

Это стандартный процесс. Метод проб и ошибок.

Если вы что-то сами создаете, новое. То всегда вылазят косяки. ВСЕГДА.

И всё сводится к выработке решений. С одной стороны это занятно, но когда сам пройдёшь пару раз — то вьетнамские флешбеки обеспечены.

Но при этом остается опыт. Это самое важное.

12

Всем бы такой позитивности)

Тут лайк сама картинка заработала, сколько нервов в эту игру потратил)