13 Марта 2026 09:13 13 Мар 2026 09:13 |

Поделиться

ПВЗ «Яндекс.Маркета» жалуются на взлом личных кабинетов и фальшивые возвраты на крупные суммы

Жалоба на частые взломы

Злоумышленники оформляют фиктивные возвраты, а предприниматели получают претензии от «Яндекс.Маркета», пишут «Ведомости». Предприниматели получают претензии на миллионы рублей из-за фиктивных возвратов. Эксперты предлагают временно изменить существующие практику в маркетплейсе и не удерживать деньги с пунктов выдачи заказов (ПВЗ) до завершения проверки.

Ассоциация участников рынка электронной коммерции (АУРЭК), объединяющая продавцов и владельцев пунктов выдачи заказов, в марте 2026 г. обратилась к «Яндекс Маркету» из‑за жалоб предпринимателей на взломы личных кабинетов ПВЗ и оформление фиктивных возвратов, об этом говорится в письме председателя совета ассоциации Евгении Черницкой генеральному директору маркетплейса Роману Маресову с которым ознакомились журналисты «Ведомостей». Представитель компании подтвердил изданию получение документа и сообщил, что он изучается.

С начала 2026 г. ассоциация получает значительное число обращений о подобных ИТ-инцидентах. Как утверждают владельцы ПВЗ, злоумышленники получают доступ к их личным кабинетам и удаленно оформляют возвраты ранее купленных товаров на крупные суммы, не возвращая сами товары в пункт выдачи. После этого маркетплейс предъявляет предпринимателям претензии за якобы утраченные товары или несвоевременную отгрузку.

В письме ассоциации отмечается, что в ряде ситуаций служба поддержки маркетплейса сама фиксирует подозрительную активность и временно блокирует аккаунт ПВЗ, однако впоследствии предпринимателям все равно выставляют финансовые претензии.

Стандартная процедура возврата товара предусматривает, что покупатель лично доставляет товар в ПВЗ, предъявляет сотруднику quick response (QR)-код, сформированный в мобильном приложении маркетплейса, после чего работник проводит проверку соответствия товара и подтверждает операцию возврата в информационной системе. По оценке ассоциации АУРЭК, физически оформить более двадцати возвратов за несколько минут в рамках действующей процедуры технически невозможно в ИТ-системе «Яндекс.Маркета» одним сотрудником.

Пример мошенничества

В качестве примера представители АУРЭК приводят случай предпринимателя Сергея Клоповского. По его словам, 28 декабря 2025 г. в личном кабинете его пункта за четыре минуты — с 16:19 до 16:24 — оформили 22 возврата товаров на сумму 1,79 млн руб. В ИТ-системе они значились как принятые, однако фактически покупатели эти товары в пункт не приносили. Среди возращенных товаров были автомобильные шины, бытовая техника и игровая приставка.

По словам Сергея Клоповского, в день ИТ-инцидента служба поддержки маркетплейса уведомила его о подозрительной активности и заблокировала учетную запись. Позже ему предложили создать новый аккаунт и провести инвентаризацию. Проверка показала, что 22 возврата существуют только в ИТ-системе — фактически на складе ПВЗ этих товаров не было. Аудитор, который позже посетил пункт выдачи, также зафиксировал фиктивные возвраты, говорится в письме. Несмотря на это, 28 января 2025 г. предпринимателю выставили претензии на оплату стоимости товаров. Позднее требования перевели в формат взаимозачета — сумма может быть удержана из будущих выплат партнеру.

С подобной схемой столкнулась владелица ПВЗ «Яндекс маркета» в 2025 г., о чем писал CNews. Один из сотрудников ПВЗ обратился в группу «Яндекс маркета» в Telegram с просьбой ускорить ответ службы поддержки. Затем ему пришло личное сообщение от аккаунта с названием «Яндекс маркет поддержка» и галочкой верификации аккаунта. Собеседник предложил помощь и прислал инструкцию, в которой содержалась просьба передать технические данные страницы в браузере — программный код, позволяющий получить доступ к сессии пользователя. Уже на следующий день, по ее словам, доступ к личному кабинету ПВЗ оказался заблокирован. В службе поддержки маркетплейса сообщили, что были зафиксированы мошеннические действия. После смены учетных данных работа ПВЗ была восстановлена, однако в ИТ-системе появилось 15 товаров на сумму около 600 тыс. руб., якобы принятых на возврат и подлежащих передаче курьеру. Эти товары, утверждает предприниматель, физически отсутствовали в пункте выдачи и даже не помогли видеозаписи с камер видеонаблюдения на стадии начальных разбирательств. Как утверждает предприниматель, разбирательство заняло около 2,5 месяца. В итоге все претензии были аннулированы, однако добиться этого удалось только при участии юриста.

Ограничительные меры

В АУРЭК предлагают временно изменить действующую практику: в случае выявления признаков кибервзлома или несанкционированного доступа не производить удержание денежных средств с ПВЗ до завершения расследования ИТ-инцидента. Кроме того, ассоциация выступает за организацию совместных проверок с участием представителей маркетплейсов и пунктов выдачи, включающих анализ журналов доступа, IP-адресов, логов аутентификации и истории изменения статусов заказов.

АУРЭК также инициирует обсуждение дополнительных мер по усилению кибербезопасности, в частности: введение ограничений на проведение операций в нерабочее время пунктов выдачи; установление усиленного контроля за массовыми изменениями статусов заказов.

В направленном письме подчеркивается, что в случае отсутствия конструктивного решения по изложенным предложениям ассоциация оставляет за собой право обратиться в компетентные государственные органы.

Мнение экспертов

Любые споры о возвратах и финансовых претензиях со стороны маркетплейсов могут создавать для владельцев ПВЗ серьезные риски, отмечает руководитель Института развития предпринимательства и экономики Артур Гафаров. По его словам, пункты выдачи — это низкомаржинальный бизнес: после первых месяцев поддержки со стороны маркетплейса партнер начинает работать на самоокупаемости, получая доход в виде комиссии от оборота заказов.

Не просто ВКС: что такое видеоселектор и как его организовать Телеком

Председатель совета по противодействию технологическим правонарушениям Координационного совета негосударственной сферы безопасности России Игорь отмечает, что схема фиктивных возвратов не нова: она активно использовалась на Ozon еще в 2024 г. После того как информация о ней стала публичной, площадки и предприниматели усилили меры защиты, что снизило доходность таких схем.

Заместитель председателя АУРЭК Алексей Васильев сообщил «Ведомостям», что 13 марта 2026 г. хакеры атакуют именно ПВЗ «Яндекс Маркета». По его словам, часто кибератака начинается с фишинговых сообщений: владелец ПВЗ переходит по поддельной ссылке, после чего злоумышленники получают доступ к его личному кабинету.

Конкуренты не пострадали

В Ozon заявили, что знают о подобных схемах на рынке и регулярно анализируют новые угрозы. Компания применяет поведенческую аналитику — технологию, позволяющую выявлять подозрительные действия пользователей в личном кабинете.

В Wildberries сообщили, что подтвержденных сигналов о подобных ИТ-инцидентах у них нет. В компании подчеркнули, что возврат товара в ИТ-системе Wildberries невозможен без обязательного сканирования товара в пункте выдачи. Представитель маркетплейса добавил, что многие подобные случаи связаны с социальной инженерией, когда сотрудники ПВЗ сами передают злоумышленникам логины и пароли. В таких ситуациях ответственность ложится на владельца ПВЗ или персонал пункта выдачи.

Антон Денисенко

Поделиться

Подписаться на новости Короткая ссылка