Безпека магазину в роздробі: основні атаки

    
 
 

Винос товару

Тягнуть все, навіть непотрібне. Здається, із спортивного інтересу, за звичкою або просто тому, що вийшло. Але є й справжні профі. У простому випадку товар банально кладеться в кишеню, в складніших — позбавляється від міток для противокрадіжних воріт або екранується спеціальною сумкою з аналогом решітки Фарадея в стінках (від цього страждають магазини одягу). Круті дорогі протикражні ворота вміють відрізняти рідкоземельні магніти і сумки з екрануючими камерами на вході — тому новим витком стали аналоги засобів РЕБ, зокрема, різні китайські глушилки. Але куди частіше несуть в кишені, рукаві, штанах, за халявою або в коробці іншого товару.
 
 

DDoS-атака на магазин з крадіжками

Уявіть, в магазин раптово заходить чоловік 15. Наприклад, циганський табір. Встежити за товаром просто фізично неможливо. Міра — спочатку напоказ натискається тривожна кнопка (ще на момент входу). Іноді таку атаку намагаються вжити школярі, завалюючись цілим класом, але їх-то знайти по школам досить просто (особи є на відеоспостереженні).
 
 

Атака на розмін 5000 рублів

Це гарний соцінжінрінговий метод. До продавця підходить зловмисник-покупець, довго обговорює товар, коливається, потім купує щось дрібне (до тисячі), простягає 5000 рублів, чекає здачі, відмовляється, знову бере товар — і потім, в результаті, все-таки купує і йде. Суть атаки в тому, що свою купюру він так і не віддав. Лікування просте — не давати здачу, поки гроші від покупця не в касі. Тим не менш, такі атаки пробують приблизно раз на тиждень на магазин на потоці.
 
 

Фальшиві гроші

На точці просто повинно бути обладнання для перевірки купюр. Не всі підробки можна відрізнити візуально — я бачив році так в 2007 купюри, де водяний знак був намальований тонким олівцем як справжній. Талановитого художника шукали, до речі, але не знайшли. Реалізація атаки зазвичай така — хвилин 15 двоє обговорюють товар, вникають у деталі, набирають купу дрібниць, змушують продавця бігати туди-сюди, вимотують. Потім пробують швидко розплатитися і отримати здачу (близько 3-4 тисяч рублів з купюри 5000). Якщо продавець при цьому відвернений розмовою, якимось дією з дріб'язком і вимотаний — може пропустити момент перевірки.
 
 

Атака по знижці від співробітника

Коли у співробітника є право ставити відчутну знижку, він може продати вам товар за однією ціною (роздрібної), а занести продаж у звіт як продаж зі знижкою. Мер дві: перша — в принципі не робити великих знижок (це частина маркетингу — ціна повинна бути чесною, і не знецінюватися знижками). Друга міра — моніторинг чеків і причин знижки.
 
 

Атака на об'єднання замовлень у великий

Іноді за велике замовлення покладається подарунок, бонус або щось ще (знижка). Продавець-зловмисник може не пробивати 2-3 чека, а потім забити всі продане в один, і забрати собі подарунок. Вирішується так само — моніторинг чеків, жорстка політика IT, жорсткі пендюлі за невидачу чека.
 
 

Повернення віртуального повернення

Це різновид крадіжки, але тут продавець-зловмисник продає іншому зловмиснику товар, а потім робить повернення за документами, видаючи гроші назад (або просто оформляє повернення на який-небудь куплений іншим покупцем товар собі «в кишеню»). Заходи: кожен повернення — це звітність, чітке стеження за товаром і розуміння точних причин повернення.
 
 

Розлучення з місцевим інтернетом по монопольної ціною

Це атака власника приміщення спрямована на орендаря. Досить часто в торгових центрах, бізнес-центрах і так далі дозволяється підключити кабельний інтернет тільки від одного провайдера, причому по кінської ціною. При спробі протягнути будь-який інший кабель власник може формально дозволити, але створити купу проблем, випадково перерубувати кабель разів на добу і так далі. У когось геть супутникову антену здувало вітром (з акуратно скрученими болтами).
 
 

Розлучення зі «вхідними»

Керований здалеку торговий центр може офіційно брати «вхідні» (разову суму за право орендувати приміщення), а може робити це неофіційно — так іноді грішать невеликі ТЦ в регіонах, які прагнуть заробити самостійно, не інформуючи власника в Москві чи Європі. Дивіться договір уважно, щоб уточнити статус кожного платежу. Ще один різновид такого розлучення — раптово виникають платежі «за вітрину» після закінчення ремонту і так далі, яких немає в договорі. Вони можуть бути як реальними (роздовбайство ще ніхто не відміняв), так само як і спробою струсити з вам трохи грошей. Читайте договір. Ні в договорі — не повинно бути і в реальності.
 
 

Крадіжка

У нас якось обчистили магазин на Таганській (старий, на Товариському). У нас потягли грошей, ноутбук і набір покеру — поруч був магазин іксбоксов, от у них винесли взагалі все. В цілому, неможливо зробити магазин повністю захищеним від злодія. Але можна зробити його нецікавим в порівнянні з сусідніми магазинами — це як при тікання від лева, не треба бігти швидше нього. Треба бігти швидше сусіда. Міцні двері, пара замків, відеоспостереження, тривожна кнопка, Складні архів на віддаленому сервері. Своєчасна інкасація. Все це дуже допомагає. Правда, тут історія як бекапом — є ті, хто це не робить, і ті, хто вже робить.
 
 

Дані спостереження

Дані відеоспостереження зазвичай використовуються для визначення факту крадіжки товару. Як правило, вони зберігаються кілька днів, плюс транслюються в реальному часі на охоронця. Охоронець, по-розумному, повинен змінюватися з тим, що в залі — щоб не втомлювався. У загальному випадку особа злодія буде знайдено на одному з кадрів, віддано в поліцію і роздруковано на стіні магазину в підсобці, якщо персонаж явно діяв професійно. У магазинах одягу дуже цікаво заходити в приміщення для персоналу — там іноді галереї таких людей і описи методик крадіжок стосовно даному магазину.
 
Відеоспостереження дуже актуально для лову людей, що крадуть зсередини: касирок з колишнього СНД, у яких спокуса виявився сильнішим розуму; ушлих співробітників складу; продавців, що б'ють штрих-код зі свого рукава, а не товару, і т.п. Один відомий мені безпечники великого роздрібного магазина провернув відмінний фокус. Персонал знав, що камерами всю територію не покрити, і тому розраховував сектора видимості. Мужик, який раніше працював в цікавому місці, зафігачіть безкорпусних камер в різні продукти харчування на верхніх полицях і повісив нових муляжів великих камер так, щоб злодії виходили рівно на його «засідки». За три дні спали два десятки людей.
 
 

Уразливість відеоспостереження

Про те, що можна підключатися до камер, просто стирчить ip «назовні» ви напевно знаєте. Таких в Гуглі можна знайти тисячі. Уразливість для магазину в тому, що HD-камера, що висить над касою, відмінно показує всі натискання на клавіатуру, в тому числі — вводи всіх паролів.
 
 

Отже, як все це лікується з боку магазину?

 
     
  1. Відбором нормальних людей.
  2.  
  3. Жорстким контролем складських залишків і документами по кожному переміщенню.
  4.  
  5. Відстеженням повернень і їх причин.
  6.  
  7. Відстеженням залежавшегося товару і регулярними фізичними інвентаризаціями.
  8.  
  9. Веденням детальних логів кожної операції від приймання до продажу. Плюс відеоспостереженням.
  10.  
  11. Регулярними перевірками таємними покупцями.
  12.  
  13. Перевіркою відгуків і зворотним зв'язком по всіх каналах.
  14.  
  15. Регулярними звірками каси і регулярної інкасацією.
  16.  
  17. Жорсткими правилами роботи з касою: чи не повертатися спиною до клієнта, ящик для грошей завжди повинен бути закритий. Гроші — тільки в ящику. Завжди варто тримати купюру-пастку — тисячну купюру, номер якої записаний в блокнот.
  18.  
  19. Фізичної безпекою, наприклад, при звільненні співробітника необхідно міняти личинку замку і всі паролі, використовувані в магазині.
  20.  
Вразливостей і їх варіацій ще сотні. Вражає, з одного боку, просто нелюдська винахідливість деяких індивідуумів, а з іншого — часом, тупість, що граничить з ідіотизмом. Наприклад, я знаю ситуацію, коли продавець одного з салонів стільникового зв'язку витягнув гроші з каси, потім побачив над головою камеру. Не знайшовши «відеомагнітофона» (ну ще б, дані складалися відразу на віддалений сервер) цей геній вирішив, що просто фігово шукав. І, щоб замести сліди, підпалив точку.
 
Якщо ви доповніть топік і розповісте в коментарях відомі вам уразливості, буде дуже круто.
    
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.