Безопасность магазина в рознице: основные атаки

в 5:40, , рубрики: Блог компании Мосигра, информационная безопасность

Безопасность магазина в рознице: основные атаки

Вынос товара

Тащат всё, даже ненужное. Кажется, из спортивного интереса, по привычке или просто потому, что получилось. Но есть и настоящие профи. В простом случае товар банально кладётся в карман, в более сложных — избавляется от меток для противокражных ворот либо экранируется специальной сумкой с аналогом решетки Фарадея в стенках (от этого страдают магазины одежды). Крутые дорогие противокражные ворота умеют отличать редкоземельные магниты и сумки с экранирующими камерами на входе — поэтому новым витком стали аналоги средств РЭБ, в частности, разные китайские глушилки. Но куда чаще несут в кармане, рукаве, штанах, за голенищем или в коробке другого товара.

DDoS-атака на магазин с воровством

Представьте, в магазин внезапно заходит человек 15. Например, цыганский табор. Уследить за товаром просто физически невозможно. Мера — сначала напоказ нажимается тревожная кнопка (ещё на момент входа). Иногда такую атаку пытаются предпринять школьники, заваливаясь целым классом, но их-то найти по школам довольно просто (лица есть на видеонаблюдении).

Атака на размен 5000 рублей

Это красивый социнжинринговый метод. К продавцу подходит злоумышленник-покупатель, долго обсуждает товар, колеблется, потом покупает что-то мелкое (до тысячи), протягивает 5000 рублей, ждёт сдачи, отказывается, снова берёт товар — и потом, в результате, всё-таки покупает и уходит. Суть атаки в том, что свою купюру он так и не отдал. Лечение простое — не давать сдачу, пока деньги от покупателя не в кассе. Тем не менее, такие атаки пробуют примерно раз в неделю на магазин на потоке.

Фальшивые деньги

На точке просто должно быть оборудование для проверки купюр. Не все подделки можно отличить визуально — я видел году так в 2007 купюры, где водяной знак был нарисован тонким карандашом как настоящий. Талантливого художника искали, кстати, но не нашли. Реализация атаки обычно такая — минут 15 двое обсуждают товар, вникают в детали, набирают кучу мелочей, заставляют продавца бегать туда-сюда, выматывают. Потом пробуют быстро расплатиться и получить сдачу (около 3-4 тысяч рублей с купюры 5 тысяч). Если продавец при этом отвлечён разговором, каким-то действием с мелочью и вымотан — может пропустить момент проверки.

Атака по скидке от сотрудника

Когда у сотрудника есть право ставить ощутимую скидку, он может продать вам товар по одной цене (розничной), а занести продажу в отчёт как продажу со скидкой. Мер две: первая — в принципе не делать больших скидок (это часть маркетинга — цена должна быть честной, и не обесцениваться скидками). Вторая мера — мониторинг чеков и причин скидки.

Атака на объединение заказов в крупный

Иногда за крупный заказ полагается подарок, бонус или что-то ещё (скидка). Продавец-злоумышленник может не пробивать 2-3 чека, а затем забить всё проданное в один, и забрать себе подарок. Решается так же — мониторинг чеков, жесткая политика IT, жесткие пендюли за невыдачу чека.

Возврат виртуального возврата

Это разновидность воровства, но здесь продавец-злоумышленник продаёт другому злоумышленнику товар, а затем делает возврат по документам, выдавая деньги обратно (или просто оформляет возврат на какой-либо купленный другим покупателем товар себе «в карман»). Меры: каждый возврат — это отчётность, чёткое слежение за товаром и понимание точных причин возврата.

Развод с местным интернетом по монопольной цене

Это атака владельца помещения направленная на арендатора. Достаточно часто в торговых центрах, бизнес-центрах и так далее разрешается подключить кабельный интернет только от одного провайдера, причём по конской цене. При попытке протащить любой другой кабель собственник может формально разрешить, но создать кучу проблем, случайно перерубать кабель раз в сутки и так далее. У кого-то вон спутниковую антенну сдувало ветром (с аккуратно скрученными болтами).

Развод со «входными»

Управляемый издалека торговый центр может официально брать «входные» (разовую сумму за право арендовать помещение), а может делать это неофициально — так иногда грешат небольшие ТЦ в регионах, стремящиеся заработать самостоятельно, не информируя владельца в Москве или Европе. Смотрите договор внимательно, чтобы уточнить статус каждого платежа. Ещё одна разновидность такого развода — внезапно возникающие платежи «за витрину» после окончания ремонта и так далее, которых нет в договоре. Они могут быть как реальными (раздолбайство ещё никто не отменял), равно как и попыткой стрясти с вам немного денег. Читайте договор. Нет в договоре — не должно быть и в реальности.

Воровство

У нас как-то обчистили магазин на Таганской (старый, на Товарищеском). У нас утащили денег, ноутбук и набор покера — рядом был магазин иксбоксов, вот у них вынесли вообще всё. В целом, невозможно сделать магазин полностью защищённым от вора. Но можно сделать его неинтересным в сравнении с соседними магазинами — это как при убегании ото льва, не надо бежать быстрее него. Надо бежать быстрее соседа. Крепкие двери, пара замков, видеонаблюдение, тревожная кнопка, складывающее архив на удалённом сервере. Своевременная инкассация. Всё это очень помогает. Правда, тут история как бэкапом — есть те, кто это не делает, и те, кто уже делает.

Данные наблюдения

Данные видеонаблюдения обычно используются для определения факта воровства товара. Как правило, они хранятся несколько дней, плюс транслируются в реальном времени на охранника. Охранник, по-умному, должен меняться с тем, что в зале — чтобы не уставал. В общем случае лицо вора будет найдено на одном из кадров, отдано в полицию и распечатано на стене магазина в подсобке, если персонаж явно действовал профессионально. В магазинах одежды очень интересно заходить в помещения для персонала — там иногда галереи таких людей и описания методик краж применительно к данному магазину.

Видеонаблюдение очень актуально для ловли людей, ворующих изнутри: кассирш из бывшего СНГ, у которых соблазн оказался сильнее разума; ушлых сотрудников склада; продавцов, бьющих штрих-код со своего рукава, а не товара, и т.п. Один известный мне безопасник крупного розничного магазина провернул отличный фокус. Персонал знал, что камерами всю территорию не покрыть, и поэтому рассчитывал сектора видимости. Мужик, ранее работавший в интересном месте, зафигачил бескорпусных камер в разные продукты питания на верхних полках и повесил новых муляжей больших камер так, чтобы воры выходили ровно на его «засады». За три дня спалилось два десятка человек.

Уязвимость видеонаблюдения

Про то, что можно подключаться к камерам, просто торчащим ip «наружу» вы наверняка знаете. Таких в Гугле можно найти тысячи. Уязвимость для магазина в том, что HD-камера, висящая над кассой, отлично показывает все нажатия на клавиатуру, в том числе — вводы всех паролей.

Итак, как всё это лечится со стороны магазина?

  1. Отбором нормальных людей.
  2. Жестким контролем складских остатков и документами по каждому перемещению.
  3. Отслеживанием возвратов и их причин.
  4. Отслеживанием залежавшегося товара и регулярными физическими инвентаризациями.
  5. Ведением детальных логов каждой операции от приёмки до продажи. Плюс видеонаблюдением.
  6. Регулярными проверками тайными покупателями.
  7. Проверкой отзывов и обратной связью по всем каналам.
  8. Регулярными сверками кассы и регулярной инкассацией.
  9. Жесткими правилами работы с кассой: не поворачиваться спиной к клиенту, ящик для денег всегда должен быть закрыт. Деньги – только в ящике. Всегда стоит держать купюру-ловушку – тысячную купюру, номер которой записан в блокнот.
  10. Физической безопасностью, например, при увольнении сотрудника необходимо менять личинку замка и все пароли, используемые в магазине.

Уязвимостей и их вариаций ещё сотни. Поражает, с одной стороны, просто нечеловеческая изобретательность некоторых индивидуумов, а с другой — порой, тупость, граничащая с идиотизмом. Например, я знаю ситуацию, когда продавец одного из салонов сотовой связи вытащил деньги из кассы, потом увидел над головой камеру. Не найдя «видеомагнитофона» (ну ещё бы, данные складывались сразу на удалённый сервер) этот гений решил, что просто фигово искал. И, чтобы замести следы, поджёг точку.

Если вы дополните топик и расскажете в комментариях известные вам уязвимости, будет очень круто.

Автор: Milfgard

Источник

Поделиться

* - обязательные к заполнению поля