В марте 2026 года представители торговых точек и пунктов выдачи обратились в «Яндекс Маркет» с жалобами на массовые случаи несанкционированного доступа к их учетным записям. Получив контроль над аккаунтами, мошенники инициируют возвраты ранее приобретенных товаров на значительные суммы, не отправляя сами изделия обратно. В результате маркетплейс предъявляет владельцам ПВЗ финансовые требования за якобы утерянную продукцию.
Как сообщают «Ведомости», преступники создают ложные заявки на возврат, а бизнесмены затем сталкиваются с претензиями от «Яндекс.Маркета». Суммы таких исков могут достигать миллионов рублей. Специалисты рекомендуют на время пересмотреть текущий порядок работы площадки и приостанавливать списание средств с пунктов выдачи до окончания служебного расследования.
Ассоциация участников электронной торговли (АУРЭК), представляющая интересы продавцов и операторов ПВЗ, в марте 2026 года направила обращение в «Яндекс Маркет» в связи с жалобами бизнеса на взломы аккаунтов и фиктивные возвраты. Об этом свидетельствует письмо главы совета ассоциации Евгении Черницкой на имя генерального директора маркетплейса Романа Маресова, с которым работали журналисты «Ведомостей». В компании подтвердили получение документа и уточнили, что он находится на рассмотрении.
С начала 2026 года в ассоциацию поступило множество сообщений о подобных киберинцидентах. По словам владельцев пунктов выдачи, злоумышленники, получив доступ к их личным кабинетам, дистанционно оформляют возвраты дорогостоящих товаров, не осуществляя их фактическую отправку. После этого площадка выставляет предпринимателям счета за предположительно утраченные товары или за нарушение сроков их отправки.
В обращении ассоциации подчеркивается, что в некоторых случаях служба поддержки маркетплейса самостоятельно обнаруживает подозрительные действия и временно ограничивает доступ к аккаунту ПВЗ, однако финансовые претензии к владельцам все равно впоследствии выставляются.
Обычная процедура возврата предполагает, что покупатель лично приносит товар в пункт выдачи, показывает сотруднику QR-код из мобильного приложения площадки, после чего работник проверяет соответствие товара и подтверждает операцию возврата в системе. По оценке АУРЭК, технически невозможно, чтобы один сотрудник в ИТ-системе «Яндекс.Маркета» оформил более двадцати возвратов за несколько минут в рамках установленного регламента.
В качестве иллюстрации в АУРЭК ссылаются на историю бизнесмена Сергея Клоповского. Он сообщает, что 28 декабря 2025 года в его личном кабинете пункта выдачи за четыре минуты — с 16:19 до 16:24 — было оформлено 22 возврата на общую сумму 1,79 млн рублей. В электронной системе они отображались как завершенные, но в реальности клиенты не приносили эти товары обратно. Среди позиций, отмеченных как возвращенные, числились автопокрышки, техника для дома и игровая консоль.
Как рассказал Сергей Клоповский, в день возникновения проблем с системой служба поддержки маркетплейса предупредила его о подозрительных операциях и заблокировала аккаунт. Позже ему порекомендовали завести новый профиль и провести проверку остатков. Инвентаризация выявила, что 22 возврата существуют лишь в цифровом виде — на самом деле этих позиций на складе пункта не оказалось. Посетивший позже точку аудитор также подтвердил наличие несуществующих возвратов, отмечается в документе. Несмотря на это, 28 января 2025 года предпринимателю выставили счет на компенсацию стоимости товаров. Впоследствии требования преобразовали во взаимозачет — сумму могут удержать из будущих переводов партнеру.
С похожей ситуацией столкнулась в 2025 году владелица пункта выдачи «Яндекс Маркета», о чем ранее информировал CNews. Один из сотрудников ПВЗ написал в группу «Яндекс Маркета» в Telegram с просьбой ускорить реакцию поддержки. Вскоре ему пришло приватное сообщение от аккаунта «Яндекс Маркет поддержка» с отметкой о верификации. Собеседник предложил содействие и отправил инструкцию, содержащую запрос на предоставление технических данных страницы в браузере — кода, позволяющего получить доступ к пользовательской сессии. Уже на следующий день, по ее словам, доступ к личному кабинету ПВЗ был заблокирован. В поддержке маркетплейса заявили о регистрации мошеннических действий. После обновления учетных данных работа пункта возобновилась, однако в системе появилось 15 товаров на сумму около 600 тыс. рублей, якобы принятых для возврата и ожидающих курьера. Эти товары, настаивает предприниматель, физически отсутствовали в пункте, и даже записи с камер видеонаблюдения не помогли на начальном этапе разбирательств. Как она утверждает, рассмотрение дела заняло примерно 2,5 месяца. В конечном счете все претензии были отозваны, но добиться этого удалось лишь при участии адвоката.
Ассоциация АУРЭК предлагает скорректировать текущий порядок действий: при обнаружении индикаторов кибератаки или несанкционированного проникновения не блокировать средства на счетах пунктов выдачи заказов до окончания расследования инцидента в сфере ИТ. Помимо этого, ассоциация рекомендует проводить совместные инспекции с привлечением представителей торговых площадок и ПВЗ, в рамках которых будет осуществляться изучение журналов доступа, IP-адресов, записей аутентификации и хронологии смены статусов заказов.
АУРЭК также выносит на обсуждение ряд дополнительных шагов по укреплению защиты от киберугроз, среди которых: ограничение на выполнение операций в часы, когда пункты выдачи не работают; введение более строгого мониторинга за массовым изменением статусов заказов.
В официальном обращении отмечается, что если по данным инициативам не будет достигнуто договоренностей, ассоциация сохраняет возможность обратиться в соответствующие государственные инстанции.
Разногласия по вопросам возвратов и финансовых требований со стороны маркетплейсов способны нести для владельцев ПВЗ существенные угрозы, указывает директор Института развития предпринимательства и экономики Артур Гафаров. Он пояснил, что бизнес пунктов выдачи характеризуется низкой маржинальностью: после начального периода поддержки от площадки партнер переходит на самофинансирование, зарабатывая на процентах от оборота заказов.
Председатель совета по противодействию технологическим нарушениям при Координационном совете негосударственной сферы безопасности России Игорь обращает внимание, что схема с необоснованными возвратами существует давно: она активно применялась на Ozon еще в 2024 году. После того как сведения о ней стали широко известны, площадки и бизнес усилили защитные механизмы, что сделало подобные махинации менее прибыльными.
Вице-председатель АУРЭК Алексей Васильев рассказал «Ведомостям», что 13 марта 2026 года хакеры целенаправленно атаковали ПВЗ «Яндекс Маркета». По его информации, часто кибератака инициируется через фишинговые рассылки: владелец пункта выдачи переходит по фальшивой ссылке, после чего злоумышленники получают контроль над его учетной записью.
В Ozon сообщили, что осведомлены о подобных схемах на рынке и постоянно отслеживают новые виды угроз. Компания использует поведенческую аналитику — технологию, которая помогает обнаруживать подозрительную активность пользователей в их личных кабинетах.
В Wildberries заявили, что у них нет подтвержденных данных о подобных ИТ-инцидентах. В компании акцентировали, что оформить возврат товара в ИТ-системе Wildberries нельзя без обязательного сканирования товара непосредственно в пункте выдачи. Представитель маркетплейса дополнил, что многие подобные ситуации являются следствием социальной инженерии, когда работники ПВЗ самостоятельно передают злоумышленникам свои учетные данные. В таких случаях ответственность возлагается на владельца пункта выдачи или его персонал.
