В марте 2026 года представители торговых точек и пунктов выдачи обратились в «Яндекс Маркет» с жалобами на участившиеся случаи несанкционированного доступа к их учетным записям. Злоумышленники, получив контроль над аккаунтами, инициируют возвраты ранее приобретенных товаров на значительные суммы, не отправляя сами изделия обратно. В результате маркетплейс выставляет владельцам ПВЗ счета за якобы потерянную продукцию.
Как сообщают «Ведомости», мошенники создают ложные заявки на возврат, а бизнесмены затем сталкиваются с финансовыми требованиями от платформы. Суммы претензий из-за этих махинаций достигают миллионов рублей. Специалисты рекомендуют на время пересмотреть текущие правила работы площадки и приостанавливать списание средств с пунктов выдачи до окончания служебного расследования.
Ассоциация участников электронной торговли (АУРЭК), представляющая интересы продавцов и операторов ПВЗ, в марте 2026 года направила обращение в «Яндекс Маркет» в связи с жалобами бизнеса на взломы аккаунтов и фиктивные возвраты. Об этом свидетельствует письмо главы совета ассоциации Евгении Черницкой на имя генерального директора маркетплейса Романа Маресова, с которым ознакомились журналисты издания. В компании подтвердили получение документа и сообщили, что он находится на рассмотрении.
С начала 2026 года в ассоциацию поступило множество сообщений о подобных киберинцидентах. По словам владельцев пунктов выдачи, злоумышленники, получив доступ к их личным кабинетам, дистанционно оформляют возвраты дорогостоящих товаров, купленных ранее, при этом физически товары в пункт не поступают. После этого платформа предъявляет предпринимателям претензии о возмещении ущерба за утраченные товары или задержку их отправки.
В обращении ассоциации указано, что в некоторых случаях служба поддержки маркетплейса самостоятельно обнаруживает подозрительные действия и временно ограничивает доступ к аккаунту ПВЗ, однако финансовые требования к владельцам бизнеса все равно впоследствии выставляются.
Обычный процесс возврата товара предполагает, что покупатель лично приносит изделие в пункт выдачи, показывает сотруднику QR-код из мобильного приложения маркетплейса, после чего работник проверяет соответствие товара и подтверждает операцию возврата в системе. По оценке АУРЭК, технически невозможно для одного сотрудника оформить в ИТ-системе «Яндекс.Маркета» более двадцати возвратов за несколько минут в рамках установленного регламента.
В качестве иллюстрации АУРЭК ссылается на историю бизнесмена Сергея Клоповского. Он сообщает, что 28 декабря 2025 года в его личном кабинете пункта выдачи за четыре минуты — с 16:19 до 16:24 — было оформлено 22 возврата на общую сумму 1,79 млн рублей. В электронной системе они отображались как завершенные, но в реальности клиенты не приносили эти товары обратно. Среди позиций, отмеченных как возвращенные, числились автопокрышки, техника для дома и игровая консоль.
Как пояснил Сергей Клоповский, в день происшествия служба безопасности маркетплейса, обнаружив подозрительные операции, заблокировала его аккаунт. Впоследствии ему порекомендовали завести новую учетную запись и провести ревизию. Инвентаризация подтвердила, что 22 возврата существуют лишь в цифровом виде — на складе пункта этих позиций фактически не оказалось. Независимый аудитор, посетивший позже пункт, также засвидетельствовал отсутствие данных товаров, о чем указано в документе. Тем не менее, 28 января 2025 года предпринимателю были выставлены счета на оплату стоимости этих товаров. Позднее требования преобразовали во взаимозачет — сумму планировали удержать из последующих переводов партнеру.
С аналогичным мошенничеством столкнулась в 2025 году владелица пункта выдачи «Яндекс Маркета», как ранее сообщал CNews. Один из сотрудников ПВЗ написал в Telegram-группу маркетплейса с просьбой ускорить реакцию поддержки. В ответ ему пришло личное сообщение от аккаунта «Яндекс Маркет поддержка» с отметкой о верификации. От имени службы помощи была предложена инструкция, содержащая запрос на передачу технических данных страницы в браузере — кода, позволяющего получить доступ к пользовательской сессии. Уже на следующий день, по ее словам, доступ к личному кабинету ПВЗ был заблокирован. В поддержке маркетплейса заявили о регистрации мошеннических действий. После смены учетных данных работа пункта возобновилась, однако в системе появились 15 товаров на сумму около 600 тыс. рублей, отмеченных как принятые на возврат и ожидающие передачи курьеру. По утверждению предпринимательницы, этих товаров физически не было в пункте, и даже записи с камер видеонаблюдения не помогли на начальном этапе разбирательств. Как она отмечает, урегулирование ситуации заняло примерно 2,5 месяца. В конечном итоге все претензии были отозваны, но добиться этого удалось лишь при участии адвоката.
Ассоциация АУРЭК предлагает скорректировать текущий порядок действий: при обнаружении индикаторов кибератаки или несанкционированного проникновения в систему, не блокировать средства на счетах пунктов выдачи заказов до окончания расследования инцидента. Также ассоциация рекомендует проводить совместные инспекции с привлечением экспертов маркетплейсов и операторов ПВЗ, в ходе которых изучались бы журналы доступа, IP-адреса, записи аутентификации и хронология смены статусов по заказам.
Кроме того, АУРЭК выступила с инициативой обсудить дополнительные шаги по повышению цифровой безопасности, такие как: запрет на проведение транзакций в нерабочие часы пунктов выдачи; внедрение строгого мониторинга за массовым изменением статусов заказов.
В официальном обращении отмечается, что если по данным предложениям не будет достигнуто согласия, ассоциация может инициировать обращение в соответствующие государственные инстанции.
Как пояснил руководитель Института развития предпринимательства и экономики Артур Гафаров, любые разногласия по вопросам возвратов и финансовых требований со стороны маркетплейсов способны нести для владельцев ПВЗ существенные угрозы. Он отметил, что бизнес пунктов выдачи характеризуется низкой маржинальностью: после начального периода поддержки от площадки партнер выходит на самоокупаемость, зарабатывая лишь процент с оборота заказов.
Председатель совета по противодействию технологическим правонарушениям Координационного совета негосударственной сферы безопасности России Игорь указал, что схема с необоснованными возвратами не является новой: она активно применялась на Ozon еще в 2024 году. После того как эти сведения стали достоянием общественности, площадки и бизнес усилили защитные механизмы, что сделало подобные махинации менее прибыльными.
Заместитель председателя АУРЭК Алексей Васильев рассказал «Ведомостям», что 13 марта 2026 года хакеры целенаправленно атаковали именно пункты выдачи «Яндекс Маркета». По его информации, часто кибератака стартует с фишинговых рассылок: владелец ПВЗ переходит по фальшивой ссылке, после чего злоумышленники получают контроль над его учетной записью.
В Ozon сообщили, что осведомлены о подобных схемах на рынке и постоянно отслеживают новые виды угроз. Компания использует поведенческую аналитику — технологию, которая помогает обнаруживать подозрительную активность в личных кабинетах пользователей.
В Wildberries заявили, что у них нет подтвержденных данных о подобных ИТ-инцидентах. В компании акцентировали, что оформить возврат товара в системе Wildberries нельзя без обязательного сканирования товара непосредственно в пункте выдачи. Представитель маркетплейса дополнил, что многие подобные случаи связаны с методами социальной инженерии, когда сами сотрудники ПВЗ передают злоумышленникам данные для входа. В таких ситуациях ответственность возлагается на владельца пункта выдачи или его персонал.
