Практика для небольших магазинов: защита от мошенничества в интернет-магазине через лимиты, проверки адреса, подтверждение наложки и очередь заказов.
У маленьких интернет-магазинов есть уязвимость: у вас меньше времени разбирать каждую странную покупку. Этим пользуются и разовые мошенники, и те, кто работает по схеме регулярно.
Чаще всего бьют по деньгам и логистике. Классический пример: заказ на дорогой товар с оплатой при получении, но с «одноразовым» телефоном. Вы отправляете посылку, клиент не приходит, а вы оплачиваете доставку туда и обратно. Другой сценарий - попытка оплатить чужой картой или «пробить» платежи серией мелких транзакций, пока банк не остановил.
Есть и абьюз, который не выглядит как кража, но забирает ресурсы. Боты массово создают заказы и аккаунты, перебирают промокоды, пытаются выжать бонусы, накручивают реферальные механики. Цель простая: получить скидку или товар почти бесплатно, либо перегрузить поддержку и склад.
Часть сигналов видна еще на этапе оформления заказа, до оплаты:
Разовые атаки обычно короткие: 10-50 попыток за час, часто на один продукт или одну точку оплаты. Постоянный абьюз действует тише: скрипты каждый день проверяют ваши правила, меняя телефоны, адреса и корзины.
Задача защиты - снижать риск без лишних барьеров для честных людей. Лучше отлавливать подозрительные заказы «на фоне» и отправлять их на проверку, чем заставлять всех проходить дополнительные шаги.
Абьюз редко выглядит как катастрофа в один день. Чаще это утечка: больше странных заказов, отмен, возвратов, больше вопросов в поддержку. А в конце месяца внезапно видно, что прибыль просела, а команда вымоталась.
Самый заметный удар - деньги на логистике. Мусорные заказы приводят к отправкам в никуда, недовыкупам и платным возвратам. Даже если товар вернулся, вы оплачиваете упаковку, сборку, доставку, обратную логистику и время сотрудников. При наложенном платеже особенно больно: товар катается туда-сюда, а складские остатки «замораживаются».
Второй слой - платежные риски. Частые споры по картам, возвраты и подозрительная активность портят статистику у платежных партнеров. В итоге вас могут попросить усилить проверки, поднять комиссию или временно ограничить прием платежей. Для небольшого магазина это означает прямое падение продаж, даже если вы «ничего не меняли» на сайте.
Операционные потери часто недооценивают. Мусорные заказы создают очередь задач, которые не двигают бизнес вперед: поддержка уточняет одно и то же, склад собирает и упаковывает то, что не будет выкуплено, менеджеры разбирают отмены вместо работы с ассортиментом, а владелец постоянно тушит пожары.
Даже 1-2% проблемных заказов заметно съедают маржу, потому что стоимость ошибки часто выше прибыли с обычной покупки. Если вы зарабатываете 300-500 рублей, а один недовыкуп забирает 400-800 рублей на логистике и обработке, несколько таких случаев легко «съедают» десятки успешных заказов.
И еще репутация. Когда абьюз растет, сервис начинает хромать: дольше отвечают, чаще путают отправки, больше раздраженных клиентов. Поэтому защита от мошенничества в интернет-магазине - это не только про безопасность, но и про стабильный клиентский опыт.
Хорошая защита не должна превращать оформление заказа в квест. Идея простая: покупатель делает минимум шагов, а большая часть проверок происходит уже после нажатия «Оформить».
Полезно строить защиту слоями: сначала мягкие меры, а жесткие включать только если риск реально высокий или повторяется.
Уберите проверки, которые заставляют клиента заполнять лишние поля или проходить «докажите, что вы не робот». Лучше принять заказ быстро, а затем автоматически проверить его по простым сигналам и, если нужно, отправить в очередь на ручной просмотр.
Не начинайте с блокировок. Начните с действий, которые почти не заметны нормальному покупателю, но сдерживают атаки:
Так вы ловите массовый абьюз (боты, подбор промокодов, тестовые списания), но не ломаете конверсию.
Если нужна дополнительная проверка, формулировка должна быть нейтральной. Люди охотнее подтверждают заказ, когда видят заботу о безопасности, а не подозрение.
Подходящие варианты:
Постоянным клиентам не стоит каждый раз проходить одни и те же барьеры. Если человек уже получал заказы, платил без проблем и не устраивал странных возвратов, ему логично упростить проверки.
Пример: новый покупатель оформляет дорогую доставку с наложенным платежом и просит «срочно». Заказ не отклоняют сразу, но отправляют в очередь подозрительных, где менеджер быстро сверяет телефон, адрес и историю попыток. А постоянный клиент с тем же чеком проходит без лишних шагов.
Rate limits - это ограничения по частоте действий. Они хорошо работают против перебора промокодов, накрутки бонусов, массовых фейковых заказов и тестирования украденных карт. Важно, чтобы ограничения включались там, где поведение похоже на атаку, а не на обычную покупку.
Начните с лимитов на попытки оформления и оплаты. Ставьте их сразу по нескольким «ключам», чтобы не наказать семейный Wi-Fi или офисный интернет: по IP, по аккаунту и по устройству (например, связка cookie + браузер). Если у вас доставка по городам, иногда полезно учитывать и регион, чтобы один атакующий не мог «залить» весь магазин из одной точки.
Пример мягких настроек, которые обычно не добавляют трения:
Вместо капчи для всех используйте «ступеньки». Сначала замедление (например, +1-2 секунды к ответу), затем временная пауза, и только потом капча или подтверждение по коду. Капча нужна не как барьер, а как проверка, что за экраном человек. Хорошие триггеры: много попыток с разными картами, частая смена адреса доставки, десятки промокодов подряд.
Важно, чтобы лимиты оставляли след в логах. Иначе вы не поймете, кого и почему вы ограничили, и не сможете настроить антифрод для малого бизнеса без потери продаж.
Что логировать:
Адрес в заказе часто «ломается» не из-за мошенников, а из-за спешки: опечатки, перепутанные поля, неверный индекс. Хорошая проверка адреса помогает и покупателю, и вам, и при этом не добавляет лишних шагов.
Первый слой - автоподсказки и нормализация. Дайте подсказки по городу, улице и дому, а ввод приводите к единому формату: отдельные поля для города, улицы, дома, корпуса, квартиры, индекса. Если индекс не совпадает с городом, лучше не блокировать заказ, а попросить перепроверить: «Похоже, индекс не подходит к городу. Исправить?».
Второй слой - соответствие адреса выбранной доставке. Если человек выбрал доставку «по Москве», а в адресе указан другой регион, это либо ошибка, либо попытка пройти по условиям доставки. В таких случаях проще либо автоматически переключить доступный способ доставки, либо задать один короткий вопрос: «Доставка нужна в этот регион, верно?».
Если вы используете платежный адрес (например, для юрлиц), полезна сверка платежного адреса и адреса доставки. Полного совпадения требовать не всегда нужно, но сильные расхождения для нового клиента - сигнал.
Смысл не в том, чтобы наказывать всех подряд, а в том, чтобы ловить рискованные сочетания: новый клиент + дорогой товар, срочная доставка, адрес «улица без дома», частые правки адреса за 5-10 минут, доставка в один регион при явно «чужом» городе по телефону и адресу.
Пример: новый покупатель оформляет смартфон, выбирает срочную доставку, а адрес указан «Сочи, Ленина» без дома и индекса. Это не повод отменять заказ. Это повод отправить его в проверку и попросить уточнить дом и подъезд одним сообщением. Часто фрод отваливается сам, а честный клиент просто дополняет данные.
Подтверждение нужно не всем. Если заставлять каждого вводить коды и проходить проверки, вы теряете продажи. Лучше включать подтверждение «по сигналу» - только там, где риск выше.
SMS или звонок оставьте как запасной вариант и включайте точечно: когда заказ дорогой, когда по этому номеру еще не было успешных получений, или когда данные выглядят странно.
Часто хватает простого правила: не подтверждать тех, кто уже получал заказы без проблем, и подтверждать новых при одном-двух красных флагах. Так вы не раздражаете постоянных клиентов и при этом отсекаете часть фрода.
Перед сборкой и передачей в доставку отправьте короткое сообщение в мессенджер: одно предложение и два варианта ответа. Не просите «пройти регистрацию» или «перейти по ссылке» - это вызывает недоверие.
Примеры:
Если покупатель просит поменять адрес уже после оформления, попросите повторное подтверждение именно изменения. Это частый сценарий злоупотреблений: заказ оформляют на один адрес, а затем уводят на другой.
Для наложенного платежа полезен отдельный сценарий: подтверждение прямо перед передачей в доставку. Наложка бьет по магазину не только возвратами, но и расходами на логистику.
Рабочая схема:
Небольшой пример: клиент оформил наложку на крупную сумму, через 10 минут просит сменить адрес «на склад у друга». Вместо отмены продажи вы отправляете одно сообщение: «Подтвердите новый адрес и что сможете принять наложку. Ответьте да/нет». Если ответа нет или он уклончивый, заказ уходит в паузу, а не в доставку.
Простой скоринг (оценка риска) помогает понять, какой заказ стоит проверить вручную, а какой можно спокойно отправлять дальше. Хороший принцип: вы не усложняете оплату и оформление, вы просто отмечаете редкие случаи, где риск выше.
Начните с нескольких факторов, которые легко посчитать и объяснить. Не пытайтесь угадывать мошенника по «портрету». Смотрите на поведение и несостыковки.
Обычно достаточно нескольких сигналов:
Дальше добавляйте флаги точечно: много попыток оплаты, резкая смена города доставки при одинаковых данных, десятки заказов с похожими шаблонными комментариями.
Реакция должна быть спокойной. Цель - уточнить, а не обвинить.
Понятный сценарий:
Пример: за час пришли 6 заказов на один адрес, но с разными картами и именами. Вместо блокировки всех вы помечаете их как риск, делаете один звонок по номеру получателя и уточняете, есть ли реальный заказ. Часто это либо ошибка, либо тестирование оплат.
Чтобы защита не превратилась в дискриминацию, не используйте признаки вроде национальности, возраста, акцента или «подозрительных регионов». Надежнее опираться на проверяемые действия: частоту, несостыковки данных и историю заказов.
Автоматические проверки не должны блокировать покупки. Но когда срабатывают сигналы риска, лучше отправлять заказ в отдельную очередь и быстро решать: отправлять, уточнить детали или отменить.
Начните с простых статусов, чтобы команда говорила на одном языке:
Очередь работает только если есть понятный SLA. Для малого магазина часто достаточно правила: каждый заказ из очереди получает решение за 15 минут в рабочее время. Назначьте конкретную роль (например, сменный менеджер) и резерв, чтобы очередь не копилась после выходных или рекламных запусков.
Покупателю важнее короткие вопросы, которые подтверждают намерение купить, чем длинный «допрос». Лучше одно сообщение в одном канале.
Примеры шаблонов:
Ведите короткий лог решения: кто проверил, какой сигнал сработал, что спросили, чем закончилась проверка. Через 1-2 недели обычно видно, что повторяется (например, ошибки в адресах из автозаполнения), и можно уменьшить ручную работу без потери качества.
Цель антифрода для малого бизнеса - отсеять риск, не ломая обычную покупку. Чаще всего продажи падают не из-за самих проверок, а из-за того, как их применяют.
Первая ошибка - жесткие проверки для всех подряд. Когда каждый покупатель видит капчу, дополнительные поля, обязательный звонок или длинную форму подтверждения, растет число брошенных корзин. Усиление должно включаться только при явных сигналах: много попыток за короткое время, несостыковки в адресе, странная комбинация доставки и оплаты.
Вторая ошибка - нет исключений для своих и нет «белого списка». Постоянные клиенты ожидают, что им будет проще. Если человек уже получал заказы без проблем, лишние проверки выглядят как недоверие. Практичное правило: базовые проверки остаются, а строгие шаги включаются только для новых клиентов или при повышенном риске.
Третья ошибка - нет обратной связи, поэтому правила не улучшаются. Бывает так: один инцидент - и команда навсегда закручивает гайки. Или наоборот, фрод проходит, но никто не фиксирует, почему. Нужен короткий цикл обновления: раз в неделю или раз в месяц отвечать на два вопроса - какой сигнал пропустили и какое правило добавим так, чтобы не задеть нормальных покупателей.
Четвертая ошибка - размытая ответственность. Когда поддержка «на глаз» решает, подозрительный заказ или нет, появляется хаос: кто-то отменяет слишком много, кто-то боится отменять вообще. Помогает простой набор критериев и полномочий: что поддержка может отклонять сразу, что требует звонка, а что должен решать ответственный.
Ориентир, который обычно спасает конверсию:
Если вы только запускаете защиту, начните с набора, который ловит большую часть фрода и абьюза, но почти не трогает нормальных покупателей. Важно не усложнять оформление заказа: лучше тихие ограничения и проверка уже после оформления.
Минимальный стартовый набор, который реально собрать за день:
Дальше введите привычку: перед отправкой быстро проверяйте заказ по одному и тому же сценарию. Это занимает 30-60 секунд и заметно снижает недовыкуп и возвраты.
Проверьте:
Пример: новый клиент оформил наложку на крупную сумму, адрес с ошибкой в индексе, а телефон не отвечает. Такой заказ не отменяйте сразу. Поставьте в очередь, отправьте шаблон на уточнение адреса и попросите подтвердить наложенный платеж одним сообщением. Если человек отвечает нормально, вы не потеряли продажу. Если молчит, вы сэкономили доставку и нервы.
Раз в неделю смотрите цифры: долю отмен, недовыкупов и возвратов, а также причины по каждому правилу. Если правило дает много ложных срабатываний, смягчите порог или добавьте исключение (например, для постоянных клиентов).
Следующий шаг, когда ручная очередь начинает отнимать много времени, - автоматизировать правила и статусы в вашем приложении. Например, внутреннюю панель с очередью подозрительных заказов и действиями по статусам можно собрать на TakProsto (takprosto.ai): там удобно заранее описать логику в planning mode, а снапшоты и откат помогают безопасно менять правила и не ломать рабочий процесс.
Лучший способ понять возможности ТакПросто — попробовать самому.
