Александр Белов
директор "Волгастройсервис"Качественно сработали. Настолько понравилось, что заказали сразу 5 сайтов, из них...
Наверняка каждый из владельцев интернет-магазина сталкивался с таким явлением, как ложный заказ. Под этим понятием подразумевается заявка, оставленная без намерения приобрести товар. Но в последнее время всё чаще причиной подобных действий становятся не простые шутки, а злонамеренные акции, которые ставят целью как выведение магазина из строя конкурентами, так и шантаж с целью вымогательства денег. Можно смело сказать, что фейковые заказы в интернет-магазине являются одной из форм DDOS-атаки. Что такое DDOS? Так называется атака на сайт, направленная на сервера с целью их перегрузки и прекращения работы портала. Она преследует, как правило, три цели:
- причинение убытков владельцам портала от невозможности его функционирования,
- проблема доступа для обычных посетителей,
- требование денежных средств с целью прекращения атаки.
Подобно DDOS-атаке, ложные заказы в интернет-магазине также выполняются для того, чтобы загрузить работой менеджеров, снизить скорость обработки реальных заявок и, как следствие, вызвать потери. Нередко владельцы магазинов получают письма с предложением прекратить атаку за внушительное вознаграждение.
Следует отличать фейковый заказ от невыкупленного покупателем. В последнем случае за заявкой стоит реальный клиент, который в силу разных причин отказался от приобретения товара. Несмотря на то, что данные случаи менее опасны, их количество может доходить до 20%, и они так же приносят значительные затраты на упаковку, отправку или курьерскую доставку. Поэтому необходимо по возможности обезопасить себя и от них. Для начала разберём причины отказов от выкупа заказов:
1. Человек, проживающий по данному адресу, не заказывал товар. Причиной такого явления могут быть шутки, за которыми чаще всего стоят дети или подростки, смеха ради заказывающие доставку продукции другому лицу, например, соседу или знакомому.
2. Клиент передумал или уже купил в другом месте. Здесь нужно учитывать специфику продукции, например, такое явление обычно характерно для бытовой техники, одежды или мелкой розницы. Но во многом это может быть вина и самого интернет-магазина, например, при медленной работе менеджеров.
3. Заказчик ожидал увидеть совсем другое. Такие случаи характерны для магазинов одежды, бытовой техники, мебели и др. Причина этого кроется в недостаточности информации, размещённой на сайте или некачественными фотографиями, по которым невозможно определить цвет, размер и другие характеристики.
4. Клиент не смог получить заказ, так как его не было на месте или он не получил уведомление по почте.
1. Требуйте при оформлении заказа указать телефон, при чём не только мобильный, но и стационарный. В этом случае вы сможете связаться с клиентом и уточнить покупку, время и место доставки, а в некоторых случаях — и выявить намерения заказчика уже при разговоре.
2. Подробно расспрашивайте клиента о необходимых ему характеристиках товара.
3. Дополните сайт, разместив не нём подробные фото и видеоматериалы, повысьте скорость обработки заявок.
4. Перед выездом курьера или почтовой отправкой дополнительно совершайте звонок для получения подтверждения от покупателя.
5. Защититься от подобных клиентов можно с помощью обязательной частичной или полной предоплаты.
6. Вносите недобросовестных покупателей в «чёрный список».
Но как определить, что за ложными заказами стоят злоумышленники? Иногда это не так просто. Говоря об мошенниках, необходимо отметить, что их существуют два вида:
любители, действующие в одиночку либо группами, главная их особенность — все ложные заказы они оформляют вручную (встречаются достаточно редко); профессионалы, использующие для этого высокотехнологичные системы, в частности, бот-программы для автоматического заполнения форм.Понять, что вы стали объектом атаки можно по резко возросшему количеству заказов — например, если ранее вы получали в день не более 50, то теперь их число может достигать сотен или тысяч.
Главная сложность состоит в том, что практически невозможно отличить реального заказчика от бота, который практически полностью имитирует поведение пользователя (эмуляция браузера, распознавание CAPTCHA, многоэтапное заполнение полей, подтверждение заказа по SMS и E-mail, визуальная неотличимость введённой информации от реальных данных). Однако всё же есть несколько признаков, по которым робота можно выявить:
- бот приходит из поисковой системы, однако по совершенно иному запросу;
- IP адрес не совпадает с регионом доставки;
- бот всегда посещает определённое количество страниц либо проводит на сайте определённое время;
- заходы бота не отображаются в Яндекс.Метрике.
Хотя ещё не существует чёткого алгоритма, который позволил бы предотвратить атаки подобного рода, всё же можно дать несколько советов по решению проблемы.
В случае атаки любителями, имитирующими бота:
1. игнорируйте их: даже если атака проводится большой группой людей, они физически не в состоянии будут оставлять большое количество заявок, и видя тщетность своих действий, оставят вас в покое;
2. блокируйте IP-адреса, номера телефонов, E-mail и аккаунты, с которых поступают фейковые заказы — так вы ещё больше усложните работу атакующим.
Намного сложнее обстоит дело с ботами, игнорировать или заблокировать которые просто так не получиться. Однако и с ними можно и нужно бороться.
1. Сначала попробуйте стандартные технические методы защиты:
- сложная CAPTCHA, например, с выбором мышкой определённого изображения, на разных этапах;
- скрытые поля, которые заполняются JavaScript из браузера;
- нетипичные URL-адреса для POST запросов;
- выявление особенностей поведения бота (время на сайте, скорость заполнения форм, количество просмотренных страниц и др.) и их фильтрация по ряду параметров.
2. Усложните форму оформления заказа, добавьте дополнительные поля или измените их порядок и расположение.
3. На разных этапах оформления поставьте всплывающие окна на JavaScript с необходимостью подтверждения, что пользователь не бот.
4. Установите автодозвон по указанному в заказе телефону с просьбой подтвердить покупку нажатием определённой кнопки или переключением на оператора.
5. На время атаки сделайте возможность заказа только зарегистрированным пользователям, проводите ручную проверку новых.
Но самое главное, не паникуйте и не идите на поводу у злоумышленников, поскольку, выполнив их требования один раз, будьте готовы к новым атакам, так как для них ничего не стоит проделать всё снова. Вместо этого попробуйте воспользоваться одним из перечисленных методов. Помните, что постоянно переписывать бот — дело сложное и дорогостоящее, и есть шанс, что после ваших изменений мошенники просто махнут на вас рукой. Если же это не помогло, обращайтесь за помощью к специалистам, которые помогут найти способ отразить атаку вашего интернет-магазина.