Год за годом, праздник за праздником а фрод не спит. Пока мы готовим подарки и строим планы на будущее, мошенники тоже не теряют времени даром. Они как Гринчи, только крадут не рождественское настроение, а деньги и данные. 2025 год был богат на мошенников, ущерб от фрода достиг астрономических сумм, а схемы обмана превратились в высокотехнологичный сервис. Готов ли ваш бизнес встретить новый год без неприятных сюрпризов? Давайте рассмотрим виды современного e-commerce-фрода и разберемся, какие угрозы ждут нас в 2026ом и, самое главное, как от них защититься!
Содержание:
1. Ландшафт e-commerce фрода 2025
1.1. Масштаб проблемы
1.2. Тренды и новые схемы
2. Card-Not-Present фрод
2.1. Carding и card testing
2.2. BIN attacks
2.3. Методы детекции
3. Account Takeover
3.1. Credential stuffing
3.2. Session hijacking
3.3. Защита: MFA, device binding
4. Refund fraud
4.1. Return fraud схемы
4.2. Friendly fraud
4.3. Chargeback abuse
5. Promo abuse
5.1. Multi-accounting
5.2. Referral fraud
6. Методы защиты
6.1. Device fingerprinting
6.2. 3D Secure 2.0
6.3. Velocity rules
6.4. ML-модели
7. Баланс fraud vs conversion
8. Вендоры и платформы
1. Ландшафт e-commerce фрода
1.1. Масштаб проблемы
В прошедшем 2025 году, как было сказано выше, финансовый ущерб от мошенничества в электронной коммерции как никогда в тренде. Согласно консолидированным данным отраслевых аналитиков, общие потери от e-commerce фрода к 2025 году оцениваются в широком диапазоне от 48 до 138 миллиардов долларов глобально, причем эта вариативность отражает различия в методологиях подсчета, ведь одни исследования учитывают только прямые платежные убытки, другие включают весь спектр сопутствующих издержек.
Эта цифровая неопределенность сама по себе является симптомом масштаба проблемы, затрудняющего её точное измерение. Прямые финансовые потери от чарджбэков составляют лишь видимую часть айсберга. Намного более значительными и системными являются косвенные издержки, которые сложно квалифицировать, но которые фундаментально подрывают устойчивость бизнеса.
Административные расходы на расследование инцидентов, повышенные комиссии платежных систем для мерчантов с высоким фрод-рейтингом, необратимая потеря товара, искажение маркетинговых метрик и данных аналитики из-за активности ботов, а также стратегический риск попадания в программы мониторинга эквайеров или полной блокировки платежного шлюза при массовых атаках.
Проблема усугубляется международным характером современных атак, которые могут координироваться из одного региона, использовать данные карт, похищенные в другом, а логистику доставки выстраивать через третьи страны, что делает расследование и привлечение к ответственности чрезвычайно сложными для национальных правоохранительных органов. Для нишевых ритейлеров, работающих на низкой марже, даже фрод-рейт в 1-2% может стать фатальным для рентабельности.
1.2. Тренды и новые схемы
Цифровая преступность демонстрирует признаки зрелой и быстро адаптирующейся индустрии. Ключевым трендом остается гибридизация и автоматизация схем, при которой классические векторы атак объединяются в многоступенчатые сценарии, часто выполняемые ботами.
Например, компрометация аккаунта (ATO) становится отправной точкой для последующего кардинга или изощренного мошенничества с возвратами, что позволяет злоумышленникам дольше оставаться незамеченными.
Согласно отчетам компаний, специализирующихся на верификации личности, таких как Veriff, наблюдается подтвержденный рост атак с использованием элементов искусственного интеллекта, в первую очередь в сфере identity fraud.
Нейронки применяются для создания дипфейков при биометрической верификации, подделки документов и генерации синтетических данных для регистрации аккаунтов. Однако важно отметить, что, как указывает Veriff, ИИ пока является усиливающим фактором в арсенале мошенников, а не повсеместным решением для всех видов фрода, поэтому глобальных изменений не происходит, многие атаки по-прежнему основываются на социальной инженерии и эксплуатации уязвимостей процессов.
За последние годы модель Fraud-as-a-Service (FaaS) также набирает всю большую популярность.
По своей сути FaaS - это формат, при котором мошенничество предоставляется «как услуга», злоумышленнику больше не требуется глубокая техническая экспертиза или собственная инфраструктура, достаточно заказать готовое решение на теневых площадках.
Типичный FaaS-кейс строится на чётком разделении ролей между участниками. Одни операторы предоставляют антидетект-браузеры, прокси-пулы и готовые окружения для атак. Другие специализируются на данных, предлагая утёкшие учётные записи, карточные дампы, виртуальные номера и «прогретые» аккаунты различных сервисов.
Отдельный слой экосистемы составляют разработчики программных модулей под конкретные сценарии: credential stuffing, card testing, account takeover, злоупотребления возвратами и промоакциями. Заказчик атаки взаимодействует с этими компонентами через готовые пайплайны, настраивая географию, скорость операций, лимиты без необходимости понимать внутреннюю логику платёжных и антифрод-систем.
На практике такая модель приводит к распространению низкоскоростных, но длительных атак. Каждая отдельная операция формально укладывается в допустимые пороги риска и не выглядит аномальной, однако при анализе агрегированных данных проявляются устойчивые паттерны: повторное использование прокси-пулов, схожие поведенческие сигнатуры, пересечение устройств, аккаунтов и платёжных реквизитов.
Реальные инциденты показывают, что схемы, построенные по модели FaaS, плохо детектируются классическими подходами. Их выявление требует корреляции событий, анализа связей между сущностями и применения поведенческих и графовых моделей, способных обнаруживать скоординированную активность, замаскированную под легитимный пользовательский трафик.
Далее рассмотрим наиболее популярные виды e-commerce фрода.
2. Card-Not-Present фрод
2.1. Carding и card testing
Card-not-present (CNP) фрод - это тип мошенничества, при котором преступник использует реквизиты банковской карты в интернете без физического предъявления карты в момент оплаты, что делает его особенно опасным для онлайн-ритейла. По данным исследований, большинство мошеннических операций по картам в электронной коммерции приходится именно на CNP-транзакции, так как в них проще замаскировать украденные данные и сложнее однозначно доказать авторство транзакции.
Давайте же рассмотрим как развивается этот механизм.
Сarding или card testing заключается в систематической проверке украденных или скомпрометированных банковских реквизитов с целью определить, какие из них валидны и могут быть использованы для последующей фродовой активности. Ранее злоумышленники проверяли работоспособность карт через простые и очевидные «микротранзакции» на сумму $1 или аналогичные операции, которые легко проходили, но одновременно привлекали внимание антифрод-систем.
Сегодня тактика стала гораздо изощрённее. Вместо очевидных тестов криминальные скрипты маскируют проверки под пожертвования на благотворительность, оформляют покупки виртуальных или цифровых товаров (подписок, купонов), инициируют предварительные авторизации (холды) в сервисах с отложенным списанием, которые не отражаются как фактические списания на выписках держателя карты и часто пропускаются антифрод-правилами.
Такой подход позволяет злоумышленникам «тихо» фильтровать миллионы комбинаций реквизитов в поисках работоспособных данных, минимизируя шанс срабатывания простых пороговых срабатываний антифрода.
Ещё одним усовершенствованием стал фокус на этапе токенизации карт или привязки к цифровым кошелькам (Apple Pay, Google Pay). В таких сценариях сама привязка карты к аккаунту служит для злоумышленника подтверждением того, что реквизиты действуют, поскольку процесс токенизации обычно требует успешной проверки PAN, срока действия и CVV. При этом в аккаунте пользователя может не быть реальных транзакций, что затрудняет обнаружение фрода на уровне традиционных правил.
Один из хорошо документированных кейсов card testing произошёл в 2025 году с небольшим SaaS-приложением для генерации изображений. Его разработчик сообщил, что злоумышленники попытались провести сотни фродовых транзакций на сотни тысяч долларов, используя скомпрометированные банковские данные, чтобы проверить CVV-коды и время действия карт.
источник:
Сценарий был примерно следующим:
- Злоумышленники направили 434 фродовые попытки оплаты, суммарно эквивалентные ~$800 000 USD.
- Многие из этих транзакций были отклонены, но около 100 транзакций прошли успешно, каждая из которых приводит к короткому периоду списания и затем возврата (chargeback).
- Владелец сервиса быстро заблокировал платежи, инициировал возвраты и ужесточил антифрод-правила, но даже такой удар выявил, насколько широко злоумышленники могут использовать card testing для поиска действующих карт.
В результате Card testing непосредственно наносит прямые финансовые потери, а именно прямые списания и комиссии за несанкционированные транзакции, издержки на обработку, ухудшение репутации, повышенные ставки эквайринга.
Антифрод-аналитики также отмечают, что такие скрипты часто запускаются через распределённую сеть ботов и прокси сетей, что делает их похожими на нормальный трафик, если смотреть на отдельные события, и требует корреляции и продвинутого анализа для выявления.
2.2. BIN-атаки
BIN-атака (от Bank Identification Number) - это метод фрода, при котором злоумышленник использует первые 6-8 цифр номера карты (BIN) как основу для систематической генерации и проверки потенциально валидных платёжных реквизитов. BIN однозначно указывает платёжную систему и банк-эмитент, что делает его удобной отправной точкой для автоматических скриптов, пытающихся подобрать рабочие номера карт для последующего мошенничества.
В классическом варианте злоумышленники перебирают комбинации оставшихся цифр, срок действия и CVV, отправляя запросы авторизации через формы оплаты. Автоматизированные инструменты способны генерировать и массово отправлять такие запросы, что существенно ускоряет процесс по сравнению с ручным методом.
Сегодня BIN-атаки чаще всего реализуются в виде малошумного, автоматизированного card testing. Скрипты инициируют низкоценовые или нулевые авторизации в попытке определить, какие комбинации параметров проходят проверки платёжных шлюзов. Когда авторизация проходит, это означает, что комбинация работает, и такие реквизиты могут использоваться для более крупных мошеннических трат или перепродаваться на теневых рынках.
Давайте рассмотрим реальный пример для лучшего понимания:
В марте 2025 года в США была зафиксирована масштабная BIN-атака на клиентов крупного ритейлера, где злоумышленники получили несанкционированные списания по банковским картам через сайт сети. По данным кредитного союза Redstone Federal Credit Union, операция была проведена с помощью метода BIN scam, злоумышленники систематически угадывали комбинации карт, пока не нашли работающие, что привело к массовым микроплатежам на сайте ритейлера. Пострадавшим клиентам были возвращены средства, а банк и платёжные партнёры начали расследование инцидента.
источник:
Пример показывает, что даже крупные платформы с защитой не полностью застрахованы от BIN-атак, особенно если платежная система магазина обрабатывает большое количество транзакций, что даёт злоумышленникам широкое поле для автоматизированных попыток.
Современная BIN‑атака редко выглядит как грубый перебор в лоб. Почти всегда это автоматизированный процесс: боты генерируют тысячи вариантов номеров карт, сроков действия и CVV в рамках конкретного BIN, но делают это аккуратно и с паузами, чтобы не бросаться в глаза.
Проверка таких комбинаций тоже старается быть максимально незаметной. Вместо подозрительных списаний на $1 используются микроплатежи, виртуальные товары или предварительные авторизации, которые не сразу отражаются у держателя карты и часто проходят мимо простых антифрод‑правил.
Ключевая особенность современных атак - это их таргетированность. Злоумышленники не перебирают всё подряд. Они опираются на данные из утечек, знания о шаблонах эмиссии конкретных банков и особенностях платёжных шлюзов, чтобы сузить диапазон проверок и тестировать только наиболее вероятные комбинации.
Даже если такие попытки заканчиваются отказами, бизнес всё равно платит цену. Каждая авторизация становится нагрузкой на платёжную инфраструктуру, рост процессинговых затрат и риск деградации пользовательского опыта. В пиковых атаках это может привести к замедлению оплаты или отказам уже для легитимных клиентов, что превращает BIN‑атаку не только в фрод‑угрозу, но и в операционную проблему.
2.3. Методы детекции
В реальной жизни CNP‑фрод и card testing почти никогда не выглядят как «вот она, мошенническая транзакция». Чаще это серия на первый взгляд нормальных попыток, которые начинают настораживать только тогда, когда смотришь на них вместе. Один отказ -это ничего не значит. Десятки однотипных отказов по одному BIN или с похожими ошибками - уже сигнал, что кто‑то проверяет карты.
Очень показательными здесь являются ошибки при оплате. Если система раз за разом видит попытки, где меняется только CVV или срок действия, а всё остальное остаётся одинаковым, это почти всегда автоматизация. Вручную так не платят. Особенно если такие попытки растянуты во времени и идут с разных IP - классический приём, чтобы не попасть под простые лимиты.
Ещё одна зона риска - привязка карт и предварительные авторизации. Для обычного пользователя это редкая операция, а вот для фродера выходит удобный способ проверить, «живая» карта или нет. Когда один аккаунт или группа связанных аккаунтов пытается добавить много карт подряд, а покупок потом не происходит, это очень характерная картина card testing. То же самое касается холдов без списания, они выглядят безопасно, но именно через них часто прогоняют украденные реквизиты.
Многое становится видно на уровне поведения в сессии. Боты заполняют формы слишком быстро, без пауз, без ошибок и исправлений. У них почти всегда одинаковый сценарий: открыл страницу, сразу заполнил, сразу отправил. Даже если используется антидетект‑браузер, такие паттерны повторяются и хорошо заметны при сравнении нескольких сессий.
Самые «тихие» атаки вскрываются только со временем. Каждая отдельная попытка укладывается в норму, но если собрать данные за несколько часов или дней, появляются пересечения: одни и те же устройства, похожие отпечатки браузеров, одинаковые BIN, одинаковые сценарии ошибок. Это и есть признак целенаправленного card testing или BIN‑атаки, замаскированной под обычный трафик.
На практике антифрод выигрывает не тогда, когда жёстко блокирует всё подряд, а когда вовремя замечает повторяемость. Если попытки однотипные, не приводят к реальным покупкам и постепенно накапливаются, почти наверняка это фрод, даже если каждая отдельная операция выглядит «нормальной». Поймать такой паттерн рано - значит остановить атаку до чарджбэков, жалоб клиентов и проблем с эквайером.
3. Account Takeover
3.1. Credential stuffing
Захват учетных записей (ATO) остается одним из наиболее распространенных и финансово затратных видов мошенничества. Его фундаментом по-прежнему служит credential stuffing - массовая автоматизированная атака, при которой боты проверяют на сайтах комбинации логинов и паролей из публичных утечек данных.
В 2025 году тактика стала более изощренной для обхода базовой защиты.
Атаки стали низкоскоростными и распределенными: вместо тысяч попыток в минуту с одного IP, боты растягивают проверки на дни и недели, используя огромные пулы IP-адресов из легитимных облачных сервисов и прокси-сетей.
Широко используется этап предварительной валидации, когда через функцию «Забыли пароль?» проверяется существование аккаунта с данным email. Наиболее опасны целевые атаки, когда на основе данных из соцсетей и прошлых утечек для конкретного человека составляется персонализированный словарь паролей, что резко повышает вероятность успеха.
Из кейсов вам могу предложить следующий заголовок с реддита, дотируемый прошлым годом, там обсуждалась крупная утечка данных пользователей оператора связи «Ростелеком», хакеры получили таблицы с адресами электронной почты и паролями сотен тысяч россиян.
Именно такие утечки становятся исходным материалом для credential stuffing атак. Автоматизированные скрипты подставляют эти пары логин/пароль на десятки других сервисов, где пользователи могли использовать те же данные.
В подобных сценариях злоумышленники получают доступ не только к самому аккаунту на уязвимом сервисе, но и к связанным с ним профилям на сторонних ресурсах - электронной почте, торговым площадкам, сервисам доставки, что значительно расширяет последствия компрометации.
источник:
3.2. Session hijacking
Session hijacking (перехват сессии) - это более сложный метод, при котором злоумышленник получает доступ к уже авторизованной сессии пользователя, минуя этап ввода пароля. Это может происходить через кражу файлов cookie (с помощью XSS-уязвимостей на сайте, вредоносных расширений браузера или в небезопасных публичных сетях Wi-Fi), сессионный фиксинг или атаки на мобильные приложения с целью перехвата OAuth-токенов.
Главная опасность этого метода в его скрытности. Мошенник действует в рамках уже аутентифицированной сессии, что часто позволяет обойти многофакторную аутентификацию (MFA), если она не требуется повторно для чувствительных действий внутри аккаунта. Владелец аккаунта может долгое время не подозревать о компрометации, пока не обнаружит несанкционированные покупки, изменение данных или списание бонусных баллов.
Один из наглядных международных примеров session hijacking произошёл с платформой Slack в 2019 году. Тогда исследователь на багбаунти‑платформе обнаружил уязвимость, позволяющую злоумышленникам перенаправлять пользователей на поддельные сессии и воровать их session‑cookie. Получив такой cookie, атакующий мог получить доступ ко всем данным, которыми обменивались участники Slack‑рабочих пространств, что представляет серьёзную угрозу для корпоративной переписки и конфиденциальной информации. Slack оперативно отреагировал и закрыл уязвимость в течение 24 часов после её сообщения.
Другой известный пример произошёл в 2017 году с GitLab. Исследователь нашёл, что у GitLab session‑токены пользователей были видны прямо в URL, а сами токены были постоянными и не истекали с течением времени. Это означало, что любой, кто получал такую ссылку или токен, мог использовать его для доступа к аккаунту в любое время, даже спустя долгое время после его получения, и выполнять действия от имени пользователя. GitLab исправил этот механизм, изменив способ генерации и хранения токенов, чтобы исключить их открытое отображение и сделать их временными и защищёнными.
Подробнее можете ознакомиться с материалом на эту тему по ссылке:
3.3. Защита: MFA, device binding
Вообще, мы все понимаем, что пароль больше не считается надёжной защитой, его утечка воспринимается как вопрос времени. Поэтому основой защиты от ATO стала адаптивная MFA. Второй фактор запрашивается не всегда, а тогда, когда что‑то идёт не так: вход с нового устройства, странная геолокация, резкая смена IP или попытка изменить данные аккаунта и оформить нетипичный заказ. Для обычного пользователя это почти незаметно, а для атакующих сильно усложняет автоматизацию.
Но одной MFA уже недостаточно. Всё чаще атаки обходят этап входа и работают через перехват сессии. Поэтому современные системы привязывают сессию не только к аккаунту, но и к конкретному устройству. Если украденные cookie или токен пытаются использовать в другом окружении, система видит расхождение и останавливает операцию.
Отдельным моментом можно выделить управление безопасностью аккаунта. Добавление нового MFA‑устройства или смена контактов должны подтверждаться уже существующим фактором. Во многих реальных инцидентах именно этого не хватало, ведь злоумышленник входил один раз и закреплялся, добавляя свой второй фактор.
В итоге рабочая защита - это связка адаптивной MFA, привязки сессий к устройству и контроля внутренних изменений. Она не делает атаки невозможными, но делает их дорогими и плохо масштабируемыми, а значит и невыгодными.
4. Refund fraud
4.1. Return fraud схемы
Мошенничество с возвратами - это когда злоумышленники активно ищут лазейки в правилах возврата, чтобы получить товар и деньги. Помимо привычных схем вроде wardrobing (т.е. взять одежду на разовый выход и вернуть с бирками) или перепутавшего товар на ценную покупку, у нас появляются и более хитрые подходы, ориентированные на человеческий фактор и слабые процедуры в логистике.
Один из ярких примеров был зафиксирован в Подмосковье, где была задержана группа мошенников, которая использовала уязвимость маркетплейса. Они заказывали дорогую технику с курьерской доставкой, сразу после получения отменяли заказ в приложении и скрывались. Система автоматически возвращала им деньги, а товар оставался у них. Через фальшивые аккаунты они похитили техники более чем на 9 млн рублей. В итоге, против участников было возбуждено уголовное дело по части 4 статьи 159 УК РФ «мошенничество в особо крупном размере».
Источник:
Ещё одна распространённая практика связана с взломами личных кабинетов покупателей. злоумышленники получают доступ к аккаунту клиента интернет‑магазина, оформляют возврат уже после получения товара, а затем пытаются убедить жертву, что возврат произошёл «по ошибке» и нужно вернуть деньги обратно. В подобных случаях мошенники нередко используют социальную инженерию - они звонят или пишут жертве от имени службы поддержки и просят перевести «лишние» средства на их реквизиты. Такую схему предупреждал Сбер как новую тенденцию мошенничества, когда злоумышленники сначала сами инициируют возврат, а затем пытаются выманить у пользователя деньги обратно.
Источник:
В итоге return fraud почти всегда возникает из‑за слабого контроля логистики. Когда нет фиксации комплектации, веса и вскрытия посылок, мошеннику легко заявить о «недовложении» или подмене.
Основной метод защиты здесь – это фиксация состояния товара при передаче: фото, видео упаковки, контроль маркировки, штрихкодов и веса посылки. Также важно отслеживать повторные возвраты от одного клиента и применять аналитические инструменты на базе ИИ для выявления подозрительных паттернов.
4.2. Friendly fraud
Friendly fraud - это когда покупатель действительно оплачивает и получает товар или услугу, а потом оспаривает платёж через банк, говоря, что он не совершал транзакцию или «не получал товар», чтобы вернуть деньги и оставить покупку себе. Банк запускает процедуру чарджбэка и списывает деньги с магазина, даже если товар был доставлен и всё прошло как положено. Банки иногда удовлетворяют такие запросы без глубокого разбора, потому что в мобильных приложениях оспорить платёж стало очень просто - пару кликов и спор уже в работе.
Рост friendly fraud в 2025 году связан с тем, что жалоба в банк кажется проще, чем обычное обращение в магазин. Хотя изначально механизм чарджбэка задуман как защита клиентов от настоящего мошенничества или ошибок, злоупотребления им создают серьёзные издержки для онлайн‑ритейлеров - потерянный доход, товар и процессинговые штрафы.
Бороться с френдли фродом можно, контролируя сам товар, а именно, фиксировать его состояние при упаковке и передаче (фото, видео, штрихкоды, вес), проверять уникальные идентификаторы или QR-коды на упаковке. Анализировать повторные возвраты по одному клиенту или адресу . Ограничение частоты возвратов и обязательная проверка состояния товара на складе снижают риски финансовых потерь.
4.3. Chargeback abuse
Успешная борьба с необоснованными чарджбэками - это, в первую очередь, дисциплина сбора и систематизации доказательств, которые банки и платёжные системы требуют от мерчантов для подтверждения легитимности транзакции. Им нужны не общие объяснения, а чёткие данные о фактах сделки и доставке.
Такой подход действительно работает на практике. В одном из расследований продавцы на маркетплейсах отмечали, что банки требуют от них предоставить трекинг‑данные с отметками о доставке, переписку с клиентом и фотофиксацию передачи товара, чтобы оспорить чарджбэк после того, как покупатель заявил, что «не получал заказ» и инициировал возврат через банк. Только после того, как мерчант предоставил подробную доказательственную базу, банк отклонил спор в его пользу, закрепив транзакцию как легитимную.
Чтобы эффективно бороться с абузом чарджбэков, очень важно собирать и систематизировать убедительные доказательства легитимности транзакции, как и в случае с френдли фродом.
К таким доказательствам относятся детальные трекинг‑данные с отметками времени и, по возможности, геометками доставки, фото или видео фиксация передачи товара курьером, а также логи использования цифровой услуги с указанием IP‑адреса клиента. Важна и история предыдущих успешных транзакций с той же карты или аккаунта, а также результаты проверки AVS и CVV/CVC, подтверждающие, что у покупателя были все реквизиты карты при оплате. Наличие такого комплекта доказательств позволяет убедительно оспорить необоснованные чарджбэки, минимизируя схемы с возвратами.
5. Promo abuse
5.1. Multi-accounting
Multi-accounting - это злоупотребление скидками через создание множества аккаунтов. Когда маркетплейсы или магазины запускают акции вроде «скидка на первый заказ» или персональные промокоды, именно такие предложения чаще всех становятся мишенью для мошенников.
Во многих случаях один человек или группа людей регистрируют десятки или сотни аккаунтов, зачастую используя временные email‑адреса и виртуальные номера для SMS‑верификации, чтобы многократно получать те же бонусы и скидки, а затем перепродавать товары с выгодой. Такие схемы и называют multi‑accounting и они являются двигателем большинства злоупотреблений с промо‑кодами и бонусами.
Технически мошенники могут использовать антидетект‑браузеры и прокси, чтобы каждая регистрация выглядела как отдельный «честный» пользователь, а не массовое создание аккаунтов с одного устройства. Эти аккаунты быстро расходуют промо‑бюджет магазина и искажают аналитику маркетинговых кампаний, потому что система видит фальшивых пользователей как новых клиентов.
Проблема мультаккаунтинга особенно обостряется во время крупных распродаж и маркетинговых акций. По данным Kaspersky Fraud Prevention, в третьем квартале 2025 года количество подозрительных аккаунтов на крупных площадках вроде Wildberries и Ozon выросло почти втрое по сравнению с началом года. Мошенники массово создавали фиктивные учётки, чтобы использовать приветственные бонусы, скидки для новых клиентов и накопительные баллы, а потом перепродавали эти преимущества или монетизировали их обходным путём.
источник:
Чтобы ограничить ущерб от таких злоупотреблений, существует эффективное правило: ограничение действия промокодов на товары, уже участвующие в акции или имеющие лучшую цену.
Также ритейлеры вводят жёсткие условия для промо‑акций: например, привязку скидок не к аккаунту, а к уникальным параметрам устройства или личности, проверку электронной почты и номера телефона на предмет подлинности, использование цифровых отпечатков устройства для выявления попыток создания множества аккаунтов с одного оборудования (эту тему мы как раз более подробно рассмотрим далее).
5.2. Referral fraud
Реферальные программы - один из любимых инструментов маркетинга в e‑commerce. Проблема в том, что мошенники научились этим злоупотреблять. Вместо того чтобы приглашать реальных людей, они создают потоки фейковых аккаунтов или захватывают чужие профили, чтобы искусственно получать бонусы. Иногда это делают боты, а иногда и реальные люди с одним единственным интересом: собрать как можно больше плюшек и уйти.
На первый взгляд всё выглядит законно: аккаунт зарегистрирован, реферальная ссылка использована, бонус зачислен. Но дальше никакой реальной активности, нет повторных покупок, нет реального вовлечения. Если не смотреть глубже, маркетинговая система платит бонусы в никуда, а компания теряет деньги и искажает аналитику по привлечению клиентов.
Чтобы противостоять этому, многие магазины перешли от модели «бонус за саму регистрацию» к модели бонуса за реальное действие, например, только после первой подтверждённой покупки или после того, как новый пользователь действительно воспользовался услугой. Также внимательно отслеживают источники трафика с аномально высокой активностью, если на одну реферальную ссылку приходится десятки регистраций без активности дальше - это явный признак злоупотребления.
Один из примеров такого злоупотребления произошёл на Ozon в 2023 году с программой «Отзывы за баллы». Люди нашли способ получать бонусы не за реальных друзей, а за отзывы, которые практически ничего не значили, они массово заказывали товары, оставляли отзывы в одно слово, получали бонусные баллы, а затем возвращали сам товар. Баллы при этом оставались на их аккаунтах, и ими можно было платить за последующие покупки. Таких фейковых аккаунтов было много, и продавцы заметили, что бонусы начисляются не за реальную активность, а за схему, от которой никто не выигрывал, кроме самих мошенников. Платформа блокировала такие учётки и ужесточила правила начисления: теперь бонусы выдаются только после того, как покупка подтверждена и товар реально принят, но вышеописанная схема не помешала заработать мошенникам сотни тысяч рублей, а масштабируя и автоматизируя схему, фродеры лутали миллионы, при это селлеры несли весомые убытки на логистику своих товаров.
Источник:
6. Методы защиты
6.1. Device fingerprinting
Device fingerprinting - это способ понять, одно и то же ли устройство стоит за разными действиями, даже если человек меняет IP, чистит куки или заводит новые аккаунты. Система собирает набор технических признаков браузера или приложения и склеивает их в устойчивый «отпечаток».
На практике это работает следующим образом:
Собираются не только очевидные вещи вроде user-agent или разрешения экрана, а более устойчивые сигналы, а именно как устройство рендерит графику (Canvas, WebGL), какие шрифты и плагины есть в системе, особенности аудиоконтекста, мелкие поведенческие детали. В итоге получается профиль, который сложно подделать даже с антидетект-браузером.
Если с одного и того же отпечатка регистрируется десяток аккаунтов - это почти всегда мультиаккаунтинг под промо или рефералы.
Если вход в аккаунт происходит с нового отпечатка, не похожего на привычный, то логично запросить MFA.
Если с одного устройства идут массовые declined-платежи или тестирование карт, то такой отпечаток быстро уходит в «чёрный список» и режется на уровне сессии.
Фингерпринт собирают уже на ранних шагах: регистрация, логин, добавление товара в корзину. Дальше он участвует в риск-скоринге, сам по себе он не блокирует пользователя, но сильно повышает или понижает доверие к действию.
Важно отслеживать изменения отпечатка: резкая смена параметров браузера или ОС - это типичный признак эмулятора или антидетекта.
Device fingerprinting - это базовый слой, который отлично работает в связке с антифрод-правилами, поведенческим анализом и MFA. Именно так его используют маркетплейсы, финтех и подписочные сервисы.
6.2. 3D Secure 2.0
Когда вы внедряете 3D Secure 2.0 (3DS2), важно не просто подключить протокол, а максимально использовать данные, которые он может передать банку-эмитенту.
Протокол позволяет отправлять богатый набор информации о транзакции, устройстве и покупателе - чем больше этих данных, тем выше шанс, что банк сочтёт операцию низкорисковой и пропустит её в frictionless flow (без дополнительной верификации пользователя) прямо в фоне, не мешая оформлению заказа.
Вместо минимального набора параметров стоит передавать банкe детали о покупателе и контексте покупки: историю транзакций, сведения о предыдущих входах и платежах, адрес доставки и email, данные о способе доставки, а также параметры устройства и браузера.
Такие данные помогают эмитенту «увидеть», что покупатель известен системе и не представляет собой аномалию, позволяя ускорить аутентификацию и избежать challenge flow (когда банк требует ввести код, биометрию или другой подтверждающий фактор).
3DS2 также поддерживает передачу контекстной информации о риске, такой как сумма заказа, то, новый это клиент или повторный, а также история активности по этой карте на вашем сайте. Это даёт эмитенту больше информации для принятия решения и увеличивает шанс одобрения без вмешательства пользователя.
При интеграции обязательно передавайте все доступные параметры из API платёжного провайдера, включая необязательные поля, которые может предложить ваша платёжная система - это делается именно для того, чтобы банк мог провести более точную оценку и реже обращаться к пользователю за дополнительным подтверждением.
По сути, чем богаче данные, которые вы передаёте с транзакцией, тем выше шанс, что большинство платежей пройдёт без видимой аутентификации, сохраняя плавность процесса и снижая количество отказов в оплате. Это критически важно для конверсии, особенно на мобильных устройствах, где лишний ввод кода легко может прервать оформленный заказ.
6.3. Velocity rules
Velocity rules (правила скорости) - это простые, но очень эффективные фильтры, которые ловят подозрительную активность по частоте повторений в короткий промежуток времени. Суть в том, что фродерам свойственно делать много похожих действий быстро: несколько попыток оплаты с одной карты, десятки регистраций с одного IP или серии отказов авторизации за минуты. Такие модели помогают заметить аномалии даже до того, как сработают сложные ML‑системы.
Например, можно настроить правило, которое помечает или блокирует карту, если по ней происходит более трёх транзакций за один час, или правило, которое срабатывает, если с одного IP идёт более пяти разных карт за 10 минут
Практический подход такой:
Сначала запускают правила в shadow‑режиме (только флаги, без блокировки) на 1-2 недели, чтобы оценить, сколько из срабатываний действительно были фродом, и сколько - легитимными покупателями. Хорошая цель - чтобы более 30 % срабатываний действительно были мошенничеством, и меньше 0,5 % всей аудитории блокировалось ошибочно.
Важно не полагаться только на статические пороги вроде «3 попытки/час - блокировать» без тестирования. Настройки зависят от вашего бизнеса, сезона и типа аудитории. В длинной передёрке «flash sale» то, что выглядит как аномалия, может быть просто большим количеством легитимных заказов. Лучший способ - сначала протестировать правила без блокировок, посмотреть на метрики ложных срабатываний, и только потом их ужесточать.
Velocity rules хорошо работают в связке с другими слоями защиты: device fingerprinting, 3D Secure, скорингом и поведенческими моделями. Правила скорости помогают быстро фильтровать очевидные атаки, оставляя более сложные случаи для машинного обучения или ручного анализа, что снижает нагрузку на команду и уменьшает потери от мошенничества без значительного ущерба для конверсии.
6.4. ML-модели
В e-commerce машинное обучение - это умный фильтр поверх вышеописанных базовых правил. На практике антифрод-сервисы вроде Riskified, Forter, Sift, Kount, Stripe Radar или Adyen просто считают риск каждой операции и говорят бизнесу: пропускаем, проверяем или режем. Внутри у них куча моделей, которые одновременно смотрят на карту, устройство, поведение, историю аккаунта и связи с другими пользователями.
Самый полезный и массовый кейс - поведенческие модели. Они не верят словам, они смотрят на действия: как быстро заполняется форма, где пользователь тормозит, как двигается мышь, в каком порядке кликают элементы. Боты, скрипты и антидетект-браузеры здесь часто палятся, даже если прокси и карты выглядят чисто. Это активно используют решения вроде Arkose Labs, Kasada, Human.
Для сложного и массового фрода подключают графовый анализ. Он ищет не «плохую транзакцию», а целую схему,одни и те же устройства, карты, адреса и аккаунты, которые крутятся по кругу. По отдельности всё выглядит нормально, а вместе как классический фрод. Такие модели обычно есть у крупных маркетплейсов или собираются на облаках вроде AWS Fraud Detector.
Отдельно живут unsupervised-модели - это скорее сигнализация, чем блокер. Они ловят что-то новое и странное: всплески активности, нетипичные паттерны, свежие схемы, которых ещё нет в правилах. Дальше аналитики уже решают, что с этим делать.
Главное правило простое: ML не заменяет правила и людей, он экономит им время. Если модель не пересматривать и не обучать заново, она так же быстро устаревает, как и любая жёсткая логика.
7. Баланс fraud vs conversion
Главная задача фрод-менеджмента сегодня - это не попытаться полностью уничтожить мошенничество любой ценой, а держать его на экономически приемлемом уровне, при этом не теряя нормальных клиентов и не душа конверсию. Слишком жёсткие фильтры могут отбросить платежи или заявки легитимных покупателей, а каждый отказ для честного клиента часто означает уход к конкуренту и потерю повторных продаж.
Чтобы находить этот баланс, используют сразу несколько практик:
Во-первых, риск-ориентированная сегментация. Транзакции с низким риском проходят автоматически, средние требуют дополнительной верификации (SMS, MFA, капча), а самые подозрительные отправляются на ручной анализ. Это помогает не мешать большинству честных клиентов, но при этом вовремя ловить очевидные атаки.
Во-вторых, учитывают пожизненную ценность клиента (LTV). Если покупатель давно с вами, оформляет повторные заказы и имеет чистую историю, можно смягчать пороги риска: потеря лояльного клиента зачастую дороже одной сомнительной операции. Анализ LTV, поведения и истории заказов помогает снизить ложные срабатывания и не раздражать постоянных покупателей.
Очень важно постоянно оптимизировать систему. Настройки, которые работали полгода назад, могут переживать сезон, рост трафика или изменения в поведении покупателей. Регулярно пересматривайте правила, запускайте A/B-тесты, следите за FPR долей ложных отказов, а также анализируйте жалобы в поддержку и причины отмен заказов. Когда видите, что с одной акции приходят клиенты с низким LTV или аномально высоким уровнем возвратов, это маркер для аудита фрод-правил и рекламных каналов.
Если после запуска крупной распродажи вы видите всплеск регистраций и оплат, но после первой покупки почти нет повторных заказов, это может быть признаком злоупотреблений (фейковые регистрации ради промо-бонусов). Анализ таких паттернов помогает вовремя корректировать правила или даже приостановить акцию, чтобы не «сливать» бюджет на низкокачественные лиды.
Итог простой:
защита от фрода должна быть частью бизнес-процессов. Каждая мера оценивается не только по снижению фрода, но и по влиянию на конверсию и долгосрочные показатели компании. Сбалансированный подход позволяет минимизировать потери без того, чтобы терять нормальных покупателей.
8. Вендоры и платформы
У нас рынок антифрода заметно развивается параллельно с международными решениями. Компании всё чаще ищут инструменты, которые учитывают локальные особенности в лице интеграций с российскими платёжными шлюзами, соответствием законодательству и специфику поведения пользователей. Для бизнеса это значит, что можно выбрать как готовые SaaS‑решения, так и локальные платформы, которые предлагают гибкую настройку под конкретные сценарии и типы фрода.
Я выделю следующие специализированные платформы:
F6 Fraud Protection - отечественная система для защиты бизнеса от мошенничества с машинным обучением, анализом поведения и Big Data. Платформа легко интегрируется через API и подходит для разных бизнес‑сценариев от малого бизнеса до корпоративных клиентов. Есть возможность пилотного проекта и отчётности по предотвращённым случаям фрода.
WEB ANTIFRAUD - антифрод‑решение, ориентированное на выявление подозрительных регистраций, защиту аккаунтов от краж, анализ поведения и определение реального IP злоумышленников. Это помогает не только от транзакционного фрода, но и от массовых атак на аккаунты.
Smart Fraud Detection / Fuzzy Logic Labs (входит в ГК «Ростелеком») – это платформа с модулями для выявления разных видов мошенничества, включая рекламный фрод и аномалии в маркетинговых кампаниях. Такие модули помогают бизнесам анализировать и защищать бюджеты digital‑продвижения, что особенно важно при больших вложениях в трафик.
Хотя прямые антифрод‑платформы важны, часть защиты также накладывается на российские платёжные агрегаторы и шлюзы. Например, ЮKassa (ранее Yandex.Checkout) предлагает встроенные инструменты для оценки риска платежей и защиты от мошеннических транзакций. Интеграция антифрод‑логики на уровне платёжного шлюза даёт дополнительные сигналы при оценке риска, не требуя отдельного комплекса решений.
Резюмируя, подход к антифроду строится под конкретные задачи и масштабы бизнеса. Например, вышеописанные специализированные платформы вроде F6 и WEB ANTIFRAUD помогают ритейлерам, финтех-проектам и маркетплейсам быстро выявлять подозрительную активность и гибко реагировать на нее. Решения типа Smart Fraud Detection с рекламным модулем не только снижают прямые финансовые потери от транзакционного фрода, но и позволяют контролировать косвенные риски - клик-фрод и некачественный трафик. Такой комбинированный подход делает защиту бизнеса куда добротнее.
Ну и подводя итог статьи, всем должно стать ясно, что мошенники в 2026 году стали куда тише, хитрее и автоматизированнее. Однако, и ответные технологии широко распространяются и становятся только совершеннее. Отслеживание устройств, поведенческий анализ, машинное обучение и адаптивная аутентификация – это и есть новый стандарт защиты. Не пытайтесь поймать каждую «муху» транзакционным ситом, лучше выстройте умную систему, которая сама отличит бота от покупателя. Выбирайте проверенных вендоров, настраивайте правила под свою специфику и не забывайте про главное: безопасность должна работать на бизнес, а не против него.
Готовы к новому году без сюрпризов? Тогда время действовать!
Антифрод-аналитики также отмечают, что такие скрипты часто запускаются через распределённую сеть ботов и прокси сетей, что делает их похожими на нормальный трафик, если смотреть на отдельные события, и требует корреляции и продвинутого анализа для выявления.
2.2. BIN-атаки
BIN-атака (от Bank Identification Number) - это метод фрода, при котором злоумышленник использует первые 6-8 цифр номера карты (BIN) как основу для систематической генерации и проверки потенциально валидных платёжных реквизитов. BIN однозначно указывает платёжную систему и банк-эмитент, что делает его удобной отправной точкой для автоматических скриптов, пытающихся подобрать рабочие номера карт для последующего мошенничества.
В классическом варианте злоумышленники перебирают комбинации оставшихся цифр, срок действия и CVV, отправляя запросы авторизации через формы оплаты. Автоматизированные инструменты способны генерировать и массово отправлять такие запросы, что существенно ускоряет процесс по сравнению с ручным методом.
Сегодня BIN-атаки чаще всего реализуются в виде малошумного, автоматизированного card testing. Скрипты инициируют низкоценовые или нулевые авторизации в попытке определить, какие комбинации параметров проходят проверки платёжных шлюзов. Когда авторизация проходит, это означает, что комбинация работает, и такие реквизиты могут использоваться для более крупных мошеннических трат или перепродаваться на теневых рынках.
Давайте рассмотрим реальный пример для лучшего понимания:
В марте 2025 года в США была зафиксирована масштабная BIN-атака на клиентов крупного ритейлера, где злоумышленники получили несанкционированные списания по банковским картам через сайт сети. По данным кредитного союза Redstone Federal Credit Union, операция была проведена с помощью метода BIN scam, злоумышленники систематически угадывали комбинации карт, пока не нашли работающие, что привело к массовым микроплатежам на сайте ритейлера. Пострадавшим клиентам были возвращены средства, а банк и платёжные партнёры начали расследование инцидента.
источник:
Ссылка скрыта от гостей
Пример показывает, что даже крупные платформы с защитой не полностью застрахованы от BIN-атак, особенно если платежная система магазина обрабатывает большое количество транзакций, что даёт злоумышленникам широкое поле для автоматизированных попыток.
Современная BIN‑атака редко выглядит как грубый перебор в лоб. Почти всегда это автоматизированный процесс: боты генерируют тысячи вариантов номеров карт, сроков действия и CVV в рамках конкретного BIN, но делают это аккуратно и с паузами, чтобы не бросаться в глаза.
Проверка таких комбинаций тоже старается быть максимально незаметной. Вместо подозрительных списаний на $1 используются микроплатежи, виртуальные товары или предварительные авторизации, которые не сразу отражаются у держателя карты и часто проходят мимо простых антифрод‑правил.
Ключевая особенность современных атак - это их таргетированность. Злоумышленники не перебирают всё подряд. Они опираются на данные из утечек, знания о шаблонах эмиссии конкретных банков и особенностях платёжных шлюзов, чтобы сузить диапазон проверок и тестировать только наиболее вероятные комбинации.
Даже если такие попытки заканчиваются отказами, бизнес всё равно платит цену. Каждая авторизация становится нагрузкой на платёжную инфраструктуру, рост процессинговых затрат и риск деградации пользовательского опыта. В пиковых атаках это может привести к замедлению оплаты или отказам уже для легитимных клиентов, что превращает BIN‑атаку не только в фрод‑угрозу, но и в операционную проблему.
2.3. Методы детекции
В реальной жизни CNP‑фрод и card testing почти никогда не выглядят как «вот она, мошенническая транзакция». Чаще это серия на первый взгляд нормальных попыток, которые начинают настораживать только тогда, когда смотришь на них вместе. Один отказ -это ничего не значит. Десятки однотипных отказов по одному BIN или с похожими ошибками - уже сигнал, что кто‑то проверяет карты.
Очень показательными здесь являются ошибки при оплате. Если система раз за разом видит попытки, где меняется только CVV или срок действия, а всё остальное остаётся одинаковым, это почти всегда автоматизация. Вручную так не платят. Особенно если такие попытки растянуты во времени и идут с разных IP - классический приём, чтобы не попасть под простые лимиты.
Ещё одна зона риска - привязка карт и предварительные авторизации. Для обычного пользователя это редкая операция, а вот для фродера выходит удобный способ проверить, «живая» карта или нет. Когда один аккаунт или группа связанных аккаунтов пытается добавить много карт подряд, а покупок потом не происходит, это очень характерная картина card testing. То же самое касается холдов без списания, они выглядят безопасно, но именно через них часто прогоняют украденные реквизиты.
Многое становится видно на уровне поведения в сессии. Боты заполняют формы слишком быстро, без пауз, без ошибок и исправлений. У них почти всегда одинаковый сценарий: открыл страницу, сразу заполнил, сразу отправил. Даже если используется антидетект‑браузер, такие паттерны повторяются и хорошо заметны при сравнении нескольких сессий.
Самые «тихие» атаки вскрываются только со временем. Каждая отдельная попытка укладывается в норму, но если собрать данные за несколько часов или дней, появляются пересечения: одни и те же устройства, похожие отпечатки браузеров, одинаковые BIN, одинаковые сценарии ошибок. Это и есть признак целенаправленного card testing или BIN‑атаки, замаскированной под обычный трафик.
На практике антифрод выигрывает не тогда, когда жёстко блокирует всё подряд, а когда вовремя замечает повторяемость. Если попытки однотипные, не приводят к реальным покупкам и постепенно накапливаются, почти наверняка это фрод, даже если каждая отдельная операция выглядит «нормальной». Поймать такой паттерн рано - значит остановить атаку до чарджбэков, жалоб клиентов и проблем с эквайером.
3. Account Takeover
3.1. Credential stuffing
Захват учетных записей (ATO) остается одним из наиболее распространенных и финансово затратных видов мошенничества. Его фундаментом по-прежнему служит credential stuffing - массовая автоматизированная атака, при которой боты проверяют на сайтах комбинации логинов и паролей из публичных утечек данных.
В 2025 году тактика стала более изощренной для обхода базовой защиты.
Атаки стали низкоскоростными и распределенными: вместо тысяч попыток в минуту с одного IP, боты растягивают проверки на дни и недели, используя огромные пулы IP-адресов из легитимных облачных сервисов и прокси-сетей.
Широко используется этап предварительной валидации, когда через функцию «Забыли пароль?» проверяется существование аккаунта с данным email. Наиболее опасны целевые атаки, когда на основе данных из соцсетей и прошлых утечек для конкретного человека составляется персонализированный словарь паролей, что резко повышает вероятность успеха.
Из кейсов вам могу предложить следующий заголовок с реддита, дотируемый прошлым годом, там обсуждалась крупная утечка данных пользователей оператора связи «Ростелеком», хакеры получили таблицы с адресами электронной почты и паролями сотен тысяч россиян.
Именно такие утечки становятся исходным материалом для credential stuffing атак. Автоматизированные скрипты подставляют эти пары логин/пароль на десятки других сервисов, где пользователи могли использовать те же данные.
В подобных сценариях злоумышленники получают доступ не только к самому аккаунту на уязвимом сервисе, но и к связанным с ним профилям на сторонних ресурсах - электронной почте, торговым площадкам, сервисам доставки, что значительно расширяет последствия компрометации.
источник:
Ссылка скрыта от гостей
3.2. Session hijacking
Session hijacking (перехват сессии) - это более сложный метод, при котором злоумышленник получает доступ к уже авторизованной сессии пользователя, минуя этап ввода пароля. Это может происходить через кражу файлов cookie (с помощью XSS-уязвимостей на сайте, вредоносных расширений браузера или в небезопасных публичных сетях Wi-Fi), сессионный фиксинг или атаки на мобильные приложения с целью перехвата OAuth-токенов.
Главная опасность этого метода в его скрытности. Мошенник действует в рамках уже аутентифицированной сессии, что часто позволяет обойти многофакторную аутентификацию (MFA), если она не требуется повторно для чувствительных действий внутри аккаунта. Владелец аккаунта может долгое время не подозревать о компрометации, пока не обнаружит несанкционированные покупки, изменение данных или списание бонусных баллов.
Один из наглядных международных примеров session hijacking произошёл с платформой Slack в 2019 году. Тогда исследователь на багбаунти‑платформе обнаружил уязвимость, позволяющую злоумышленникам перенаправлять пользователей на поддельные сессии и воровать их session‑cookie. Получив такой cookie, атакующий мог получить доступ ко всем данным, которыми обменивались участники Slack‑рабочих пространств, что представляет серьёзную угрозу для корпоративной переписки и конфиденциальной информации. Slack оперативно отреагировал и закрыл уязвимость в течение 24 часов после её сообщения.
Другой известный пример произошёл в 2017 году с GitLab. Исследователь нашёл, что у GitLab session‑токены пользователей были видны прямо в URL, а сами токены были постоянными и не истекали с течением времени. Это означало, что любой, кто получал такую ссылку или токен, мог использовать его для доступа к аккаунту в любое время, даже спустя долгое время после его получения, и выполнять действия от имени пользователя. GitLab исправил этот механизм, изменив способ генерации и хранения токенов, чтобы исключить их открытое отображение и сделать их временными и защищёнными.
Подробнее можете ознакомиться с материалом на эту тему по ссылке:
Ссылка скрыта от гостей
3.3. Защита: MFA, device binding
Вообще, мы все понимаем, что пароль больше не считается надёжной защитой, его утечка воспринимается как вопрос времени. Поэтому основой защиты от ATO стала адаптивная MFA. Второй фактор запрашивается не всегда, а тогда, когда что‑то идёт не так: вход с нового устройства, странная геолокация, резкая смена IP или попытка изменить данные аккаунта и оформить нетипичный заказ. Для обычного пользователя это почти незаметно, а для атакующих сильно усложняет автоматизацию.
Но одной MFA уже недостаточно. Всё чаще атаки обходят этап входа и работают через перехват сессии. Поэтому современные системы привязывают сессию не только к аккаунту, но и к конкретному устройству. Если украденные cookie или токен пытаются использовать в другом окружении, система видит расхождение и останавливает операцию.
Отдельным моментом можно выделить управление безопасностью аккаунта. Добавление нового MFA‑устройства или смена контактов должны подтверждаться уже существующим фактором. Во многих реальных инцидентах именно этого не хватало, ведь злоумышленник входил один раз и закреплялся, добавляя свой второй фактор.
В итоге рабочая защита - это связка адаптивной MFA, привязки сессий к устройству и контроля внутренних изменений. Она не делает атаки невозможными, но делает их дорогими и плохо масштабируемыми, а значит и невыгодными.
4. Refund fraud
4.1. Return fraud схемы
Мошенничество с возвратами - это когда злоумышленники активно ищут лазейки в правилах возврата, чтобы получить товар и деньги. Помимо привычных схем вроде wardrobing (т.е. взять одежду на разовый выход и вернуть с бирками) или перепутавшего товар на ценную покупку, у нас появляются и более хитрые подходы, ориентированные на человеческий фактор и слабые процедуры в логистике.
Один из ярких примеров был зафиксирован в Подмосковье, где была задержана группа мошенников, которая использовала уязвимость маркетплейса. Они заказывали дорогую технику с курьерской доставкой, сразу после получения отменяли заказ в приложении и скрывались. Система автоматически возвращала им деньги, а товар оставался у них. Через фальшивые аккаунты они похитили техники более чем на 9 млн рублей. В итоге, против участников было возбуждено уголовное дело по части 4 статьи 159 УК РФ «мошенничество в особо крупном размере».
Источник:
Ссылка скрыта от гостей
Ещё одна распространённая практика связана с взломами личных кабинетов покупателей. злоумышленники получают доступ к аккаунту клиента интернет‑магазина, оформляют возврат уже после получения товара, а затем пытаются убедить жертву, что возврат произошёл «по ошибке» и нужно вернуть деньги обратно. В подобных случаях мошенники нередко используют социальную инженерию - они звонят или пишут жертве от имени службы поддержки и просят перевести «лишние» средства на их реквизиты. Такую схему предупреждал Сбер как новую тенденцию мошенничества, когда злоумышленники сначала сами инициируют возврат, а затем пытаются выманить у пользователя деньги обратно.
Источник:
Ссылка скрыта от гостей
В итоге return fraud почти всегда возникает из‑за слабого контроля логистики. Когда нет фиксации комплектации, веса и вскрытия посылок, мошеннику легко заявить о «недовложении» или подмене.
Основной метод защиты здесь – это фиксация состояния товара при передаче: фото, видео упаковки, контроль маркировки, штрихкодов и веса посылки. Также важно отслеживать повторные возвраты от одного клиента и применять аналитические инструменты на базе ИИ для выявления подозрительных паттернов.
4.2. Friendly fraud
Friendly fraud - это когда покупатель действительно оплачивает и получает товар или услугу, а потом оспаривает платёж через банк, говоря, что он не совершал транзакцию или «не получал товар», чтобы вернуть деньги и оставить покупку себе. Банк запускает процедуру чарджбэка и списывает деньги с магазина, даже если товар был доставлен и всё прошло как положено. Банки иногда удовлетворяют такие запросы без глубокого разбора, потому что в мобильных приложениях оспорить платёж стало очень просто - пару кликов и спор уже в работе.
Рост friendly fraud в 2025 году связан с тем, что жалоба в банк кажется проще, чем обычное обращение в магазин. Хотя изначально механизм чарджбэка задуман как защита клиентов от настоящего мошенничества или ошибок, злоупотребления им создают серьёзные издержки для онлайн‑ритейлеров - потерянный доход, товар и процессинговые штрафы.
Бороться с френдли фродом можно, контролируя сам товар, а именно, фиксировать его состояние при упаковке и передаче (фото, видео, штрихкоды, вес), проверять уникальные идентификаторы или QR-коды на упаковке. Анализировать повторные возвраты по одному клиенту или адресу . Ограничение частоты возвратов и обязательная проверка состояния товара на складе снижают риски финансовых потерь.
4.3. Chargeback abuse
Успешная борьба с необоснованными чарджбэками - это, в первую очередь, дисциплина сбора и систематизации доказательств, которые банки и платёжные системы требуют от мерчантов для подтверждения легитимности транзакции. Им нужны не общие объяснения, а чёткие данные о фактах сделки и доставке.
Такой подход действительно работает на практике. В одном из расследований продавцы на маркетплейсах отмечали, что банки требуют от них предоставить трекинг‑данные с отметками о доставке, переписку с клиентом и фотофиксацию передачи товара, чтобы оспорить чарджбэк после того, как покупатель заявил, что «не получал заказ» и инициировал возврат через банк. Только после того, как мерчант предоставил подробную доказательственную базу, банк отклонил спор в его пользу, закрепив транзакцию как легитимную.
Чтобы эффективно бороться с абузом чарджбэков, очень важно собирать и систематизировать убедительные доказательства легитимности транзакции, как и в случае с френдли фродом.
К таким доказательствам относятся детальные трекинг‑данные с отметками времени и, по возможности, геометками доставки, фото или видео фиксация передачи товара курьером, а также логи использования цифровой услуги с указанием IP‑адреса клиента. Важна и история предыдущих успешных транзакций с той же карты или аккаунта, а также результаты проверки AVS и CVV/CVC, подтверждающие, что у покупателя были все реквизиты карты при оплате. Наличие такого комплекта доказательств позволяет убедительно оспорить необоснованные чарджбэки, минимизируя схемы с возвратами.
5. Promo abuse
5.1. Multi-accounting
Multi-accounting - это злоупотребление скидками через создание множества аккаунтов. Когда маркетплейсы или магазины запускают акции вроде «скидка на первый заказ» или персональные промокоды, именно такие предложения чаще всех становятся мишенью для мошенников.
Во многих случаях один человек или группа людей регистрируют десятки или сотни аккаунтов, зачастую используя временные email‑адреса и виртуальные номера для SMS‑верификации, чтобы многократно получать те же бонусы и скидки, а затем перепродавать товары с выгодой. Такие схемы и называют multi‑accounting и они являются двигателем большинства злоупотреблений с промо‑кодами и бонусами.
Технически мошенники могут использовать антидетект‑браузеры и прокси, чтобы каждая регистрация выглядела как отдельный «честный» пользователь, а не массовое создание аккаунтов с одного устройства. Эти аккаунты быстро расходуют промо‑бюджет магазина и искажают аналитику маркетинговых кампаний, потому что система видит фальшивых пользователей как новых клиентов.
Проблема мультаккаунтинга особенно обостряется во время крупных распродаж и маркетинговых акций. По данным Kaspersky Fraud Prevention, в третьем квартале 2025 года количество подозрительных аккаунтов на крупных площадках вроде Wildberries и Ozon выросло почти втрое по сравнению с началом года. Мошенники массово создавали фиктивные учётки, чтобы использовать приветственные бонусы, скидки для новых клиентов и накопительные баллы, а потом перепродавали эти преимущества или монетизировали их обходным путём.
источник:
Ссылка скрыта от гостей
Чтобы ограничить ущерб от таких злоупотреблений, существует эффективное правило: ограничение действия промокодов на товары, уже участвующие в акции или имеющие лучшую цену.
Также ритейлеры вводят жёсткие условия для промо‑акций: например, привязку скидок не к аккаунту, а к уникальным параметрам устройства или личности, проверку электронной почты и номера телефона на предмет подлинности, использование цифровых отпечатков устройства для выявления попыток создания множества аккаунтов с одного оборудования (эту тему мы как раз более подробно рассмотрим далее).
5.2. Referral fraud
Реферальные программы - один из любимых инструментов маркетинга в e‑commerce. Проблема в том, что мошенники научились этим злоупотреблять. Вместо того чтобы приглашать реальных людей, они создают потоки фейковых аккаунтов или захватывают чужие профили, чтобы искусственно получать бонусы. Иногда это делают боты, а иногда и реальные люди с одним единственным интересом: собрать как можно больше плюшек и уйти.
На первый взгляд всё выглядит законно: аккаунт зарегистрирован, реферальная ссылка использована, бонус зачислен. Но дальше никакой реальной активности, нет повторных покупок, нет реального вовлечения. Если не смотреть глубже, маркетинговая система платит бонусы в никуда, а компания теряет деньги и искажает аналитику по привлечению клиентов.
Чтобы противостоять этому, многие магазины перешли от модели «бонус за саму регистрацию» к модели бонуса за реальное действие, например, только после первой подтверждённой покупки или после того, как новый пользователь действительно воспользовался услугой. Также внимательно отслеживают источники трафика с аномально высокой активностью, если на одну реферальную ссылку приходится десятки регистраций без активности дальше - это явный признак злоупотребления.
Один из примеров такого злоупотребления произошёл на Ozon в 2023 году с программой «Отзывы за баллы». Люди нашли способ получать бонусы не за реальных друзей, а за отзывы, которые практически ничего не значили, они массово заказывали товары, оставляли отзывы в одно слово, получали бонусные баллы, а затем возвращали сам товар. Баллы при этом оставались на их аккаунтах, и ими можно было платить за последующие покупки. Таких фейковых аккаунтов было много, и продавцы заметили, что бонусы начисляются не за реальную активность, а за схему, от которой никто не выигрывал, кроме самих мошенников. Платформа блокировала такие учётки и ужесточила правила начисления: теперь бонусы выдаются только после того, как покупка подтверждена и товар реально принят, но вышеописанная схема не помешала заработать мошенникам сотни тысяч рублей, а масштабируя и автоматизируя схему, фродеры лутали миллионы, при это селлеры несли весомые убытки на логистику своих товаров.
Источник:
Ссылка скрыта от гостей
6. Методы защиты
6.1. Device fingerprinting
Device fingerprinting - это способ понять, одно и то же ли устройство стоит за разными действиями, даже если человек меняет IP, чистит куки или заводит новые аккаунты. Система собирает набор технических признаков браузера или приложения и склеивает их в устойчивый «отпечаток».
На практике это работает следующим образом:
Собираются не только очевидные вещи вроде user-agent или разрешения экрана, а более устойчивые сигналы, а именно как устройство рендерит графику (Canvas, WebGL), какие шрифты и плагины есть в системе, особенности аудиоконтекста, мелкие поведенческие детали. В итоге получается профиль, который сложно подделать даже с антидетект-браузером.
Если с одного и того же отпечатка регистрируется десяток аккаунтов - это почти всегда мультиаккаунтинг под промо или рефералы.
Если вход в аккаунт происходит с нового отпечатка, не похожего на привычный, то логично запросить MFA.
Если с одного устройства идут массовые declined-платежи или тестирование карт, то такой отпечаток быстро уходит в «чёрный список» и режется на уровне сессии.
Фингерпринт собирают уже на ранних шагах: регистрация, логин, добавление товара в корзину. Дальше он участвует в риск-скоринге, сам по себе он не блокирует пользователя, но сильно повышает или понижает доверие к действию.
Важно отслеживать изменения отпечатка: резкая смена параметров браузера или ОС - это типичный признак эмулятора или антидетекта.
Device fingerprinting - это базовый слой, который отлично работает в связке с антифрод-правилами, поведенческим анализом и MFA. Именно так его используют маркетплейсы, финтех и подписочные сервисы.
6.2. 3D Secure 2.0
Когда вы внедряете 3D Secure 2.0 (3DS2), важно не просто подключить протокол, а максимально использовать данные, которые он может передать банку-эмитенту.
Протокол позволяет отправлять богатый набор информации о транзакции, устройстве и покупателе - чем больше этих данных, тем выше шанс, что банк сочтёт операцию низкорисковой и пропустит её в frictionless flow (без дополнительной верификации пользователя) прямо в фоне, не мешая оформлению заказа.
Вместо минимального набора параметров стоит передавать банкe детали о покупателе и контексте покупки: историю транзакций, сведения о предыдущих входах и платежах, адрес доставки и email, данные о способе доставки, а также параметры устройства и браузера.
Такие данные помогают эмитенту «увидеть», что покупатель известен системе и не представляет собой аномалию, позволяя ускорить аутентификацию и избежать challenge flow (когда банк требует ввести код, биометрию или другой подтверждающий фактор).
3DS2 также поддерживает передачу контекстной информации о риске, такой как сумма заказа, то, новый это клиент или повторный, а также история активности по этой карте на вашем сайте. Это даёт эмитенту больше информации для принятия решения и увеличивает шанс одобрения без вмешательства пользователя.
При интеграции обязательно передавайте все доступные параметры из API платёжного провайдера, включая необязательные поля, которые может предложить ваша платёжная система - это делается именно для того, чтобы банк мог провести более точную оценку и реже обращаться к пользователю за дополнительным подтверждением.
По сути, чем богаче данные, которые вы передаёте с транзакцией, тем выше шанс, что большинство платежей пройдёт без видимой аутентификации, сохраняя плавность процесса и снижая количество отказов в оплате. Это критически важно для конверсии, особенно на мобильных устройствах, где лишний ввод кода легко может прервать оформленный заказ.
6.3. Velocity rules
Velocity rules (правила скорости) - это простые, но очень эффективные фильтры, которые ловят подозрительную активность по частоте повторений в короткий промежуток времени. Суть в том, что фродерам свойственно делать много похожих действий быстро: несколько попыток оплаты с одной карты, десятки регистраций с одного IP или серии отказов авторизации за минуты. Такие модели помогают заметить аномалии даже до того, как сработают сложные ML‑системы.
Например, можно настроить правило, которое помечает или блокирует карту, если по ней происходит более трёх транзакций за один час, или правило, которое срабатывает, если с одного IP идёт более пяти разных карт за 10 минут
Практический подход такой:
Сначала запускают правила в shadow‑режиме (только флаги, без блокировки) на 1-2 недели, чтобы оценить, сколько из срабатываний действительно были фродом, и сколько - легитимными покупателями. Хорошая цель - чтобы более 30 % срабатываний действительно были мошенничеством, и меньше 0,5 % всей аудитории блокировалось ошибочно.
Важно не полагаться только на статические пороги вроде «3 попытки/час - блокировать» без тестирования. Настройки зависят от вашего бизнеса, сезона и типа аудитории. В длинной передёрке «flash sale» то, что выглядит как аномалия, может быть просто большим количеством легитимных заказов. Лучший способ - сначала протестировать правила без блокировок, посмотреть на метрики ложных срабатываний, и только потом их ужесточать.
Velocity rules хорошо работают в связке с другими слоями защиты: device fingerprinting, 3D Secure, скорингом и поведенческими моделями. Правила скорости помогают быстро фильтровать очевидные атаки, оставляя более сложные случаи для машинного обучения или ручного анализа, что снижает нагрузку на команду и уменьшает потери от мошенничества без значительного ущерба для конверсии.
6.4. ML-модели
В e-commerce машинное обучение - это умный фильтр поверх вышеописанных базовых правил. На практике антифрод-сервисы вроде Riskified, Forter, Sift, Kount, Stripe Radar или Adyen просто считают риск каждой операции и говорят бизнесу: пропускаем, проверяем или режем. Внутри у них куча моделей, которые одновременно смотрят на карту, устройство, поведение, историю аккаунта и связи с другими пользователями.
Самый полезный и массовый кейс - поведенческие модели. Они не верят словам, они смотрят на действия: как быстро заполняется форма, где пользователь тормозит, как двигается мышь, в каком порядке кликают элементы. Боты, скрипты и антидетект-браузеры здесь часто палятся, даже если прокси и карты выглядят чисто. Это активно используют решения вроде Arkose Labs, Kasada, Human.
Для сложного и массового фрода подключают графовый анализ. Он ищет не «плохую транзакцию», а целую схему,одни и те же устройства, карты, адреса и аккаунты, которые крутятся по кругу. По отдельности всё выглядит нормально, а вместе как классический фрод. Такие модели обычно есть у крупных маркетплейсов или собираются на облаках вроде AWS Fraud Detector.
Отдельно живут unsupervised-модели - это скорее сигнализация, чем блокер. Они ловят что-то новое и странное: всплески активности, нетипичные паттерны, свежие схемы, которых ещё нет в правилах. Дальше аналитики уже решают, что с этим делать.
Главное правило простое: ML не заменяет правила и людей, он экономит им время. Если модель не пересматривать и не обучать заново, она так же быстро устаревает, как и любая жёсткая логика.
7. Баланс fraud vs conversion
Главная задача фрод-менеджмента сегодня - это не попытаться полностью уничтожить мошенничество любой ценой, а держать его на экономически приемлемом уровне, при этом не теряя нормальных клиентов и не душа конверсию. Слишком жёсткие фильтры могут отбросить платежи или заявки легитимных покупателей, а каждый отказ для честного клиента часто означает уход к конкуренту и потерю повторных продаж.
Чтобы находить этот баланс, используют сразу несколько практик:
Во-первых, риск-ориентированная сегментация. Транзакции с низким риском проходят автоматически, средние требуют дополнительной верификации (SMS, MFA, капча), а самые подозрительные отправляются на ручной анализ. Это помогает не мешать большинству честных клиентов, но при этом вовремя ловить очевидные атаки.
Во-вторых, учитывают пожизненную ценность клиента (LTV). Если покупатель давно с вами, оформляет повторные заказы и имеет чистую историю, можно смягчать пороги риска: потеря лояльного клиента зачастую дороже одной сомнительной операции. Анализ LTV, поведения и истории заказов помогает снизить ложные срабатывания и не раздражать постоянных покупателей.
Очень важно постоянно оптимизировать систему. Настройки, которые работали полгода назад, могут переживать сезон, рост трафика или изменения в поведении покупателей. Регулярно пересматривайте правила, запускайте A/B-тесты, следите за FPR долей ложных отказов, а также анализируйте жалобы в поддержку и причины отмен заказов. Когда видите, что с одной акции приходят клиенты с низким LTV или аномально высоким уровнем возвратов, это маркер для аудита фрод-правил и рекламных каналов.
Если после запуска крупной распродажи вы видите всплеск регистраций и оплат, но после первой покупки почти нет повторных заказов, это может быть признаком злоупотреблений (фейковые регистрации ради промо-бонусов). Анализ таких паттернов помогает вовремя корректировать правила или даже приостановить акцию, чтобы не «сливать» бюджет на низкокачественные лиды.
Итог простой:
защита от фрода должна быть частью бизнес-процессов. Каждая мера оценивается не только по снижению фрода, но и по влиянию на конверсию и долгосрочные показатели компании. Сбалансированный подход позволяет минимизировать потери без того, чтобы терять нормальных покупателей.
8. Вендоры и платформы
У нас рынок антифрода заметно развивается параллельно с международными решениями. Компании всё чаще ищут инструменты, которые учитывают локальные особенности в лице интеграций с российскими платёжными шлюзами, соответствием законодательству и специфику поведения пользователей. Для бизнеса это значит, что можно выбрать как готовые SaaS‑решения, так и локальные платформы, которые предлагают гибкую настройку под конкретные сценарии и типы фрода.
Я выделю следующие специализированные платформы:
F6 Fraud Protection - отечественная система для защиты бизнеса от мошенничества с машинным обучением, анализом поведения и Big Data. Платформа легко интегрируется через API и подходит для разных бизнес‑сценариев от малого бизнеса до корпоративных клиентов. Есть возможность пилотного проекта и отчётности по предотвращённым случаям фрода.
Ссылка скрыта от гостей
WEB ANTIFRAUD - антифрод‑решение, ориентированное на выявление подозрительных регистраций, защиту аккаунтов от краж, анализ поведения и определение реального IP злоумышленников. Это помогает не только от транзакционного фрода, но и от массовых атак на аккаунты.
Ссылка скрыта от гостей
Smart Fraud Detection / Fuzzy Logic Labs (входит в ГК «Ростелеком») – это платформа с модулями для выявления разных видов мошенничества, включая рекламный фрод и аномалии в маркетинговых кампаниях. Такие модули помогают бизнесам анализировать и защищать бюджеты digital‑продвижения, что особенно важно при больших вложениях в трафик.
Ссылка скрыта от гостей
Хотя прямые антифрод‑платформы важны, часть защиты также накладывается на российские платёжные агрегаторы и шлюзы. Например, ЮKassa (ранее Yandex.Checkout) предлагает встроенные инструменты для оценки риска платежей и защиты от мошеннических транзакций. Интеграция антифрод‑логики на уровне платёжного шлюза даёт дополнительные сигналы при оценке риска, не требуя отдельного комплекса решений.
Резюмируя, подход к антифроду строится под конкретные задачи и масштабы бизнеса. Например, вышеописанные специализированные платформы вроде F6 и WEB ANTIFRAUD помогают ритейлерам, финтех-проектам и маркетплейсам быстро выявлять подозрительную активность и гибко реагировать на нее. Решения типа Smart Fraud Detection с рекламным модулем не только снижают прямые финансовые потери от транзакционного фрода, но и позволяют контролировать косвенные риски - клик-фрод и некачественный трафик. Такой комбинированный подход делает защиту бизнеса куда добротнее.
Ну и подводя итог статьи, всем должно стать ясно, что мошенники в 2026 году стали куда тише, хитрее и автоматизированнее. Однако, и ответные технологии широко распространяются и становятся только совершеннее. Отслеживание устройств, поведенческий анализ, машинное обучение и адаптивная аутентификация – это и есть новый стандарт защиты. Не пытайтесь поймать каждую «муху» транзакционным ситом, лучше выстройте умную систему, которая сама отличит бота от покупателя. Выбирайте проверенных вендоров, настраивайте правила под свою специфику и не забывайте про главное: безопасность должна работать на бизнес, а не против него.
Готовы к новому году без сюрпризов? Тогда время действовать!
