«Интернет научил нас не показывать сканы паспортов и номера карт. Но почти никто не задумывается, что обычный штрих-код на пачке сахара, сфотографированной для отзыва,, это такой же цифровой ключ. Его можно скопировать и встроить в поддельный финансовый документ, а следом — в схему по обналичиванию кэшбэка или незаконному возмещению НДС. Проблема не в том, что кто-то украдёт вашу пачку сахара, а в том, что её цифровой двойник начинает жить самостоятельной жизнью в экономических системах, где проверяют форматы, а не факты. Это уязвимость на стыке бытовой невнимательности и технологической инфраструктуры.»
Что на самом деле зашифровано в полосках
На потребительской упаковке вы чаще всего видите два типа кодов: линейный штрих-код (EAN-13 или EAN-8) и квадратный Data Matrix. Первый — для кассы, второй — для системы обязательной маркировки «Честный ЗНАК». Многие думают, что линейный штрих-код это просто цена, но это не так.
EAN-13 содержит глобальный номер товара (GTIN), который идентифицирует производителя и конкретный продукт. В системе маркировки к этому GTIN добавляется уникальный серийный номер для каждой единицы товара. Когда вы фотографируете упаковку, на снимке остаётся и GTIN, и иногда серийный номер, если они продублированы в читаемом виде.
Эти данные — легитимные ключи от базы данных национальной системы прослеживаемости. Их копирование не требует взлома или подбора — достаточно чёткой фотографии и простого софта для распознавания.
Цифровой клон товара: от фото до финансовой операции
Мошенничество строится не на подделке самого кода, а на его несанкционированном реплицировании и встраивании в чужие бизнес-процессы. Схема работает в несколько этапов.
Сбор и верификация данных
Коды собирают не вручную. Специализированные скрипты парсят открытые площадки: соцсети, маркетплейсы, форумы, блоги, — ищут изображения товаров. Алгоритмы компьютерного зрения автоматически находят и распознают штрих-коды. Полученный GTIN проверяется через публичные базы или тестовым прогоном через кассовый сканер, это нужно, чтобы убедиться, что код активен и соответствует реальному товару.
Интеграция в мошеннические схемы
Скопированный и верифицированный идентификатор становится основой для атаки. Его не обязательно печатать на физической контрафактной упаковке. Чаще его используют в цифровом виде.
Для этого мошенники создают или используют скомпрометированные кассовые приложения. В базу данных такого приложения загружаются легитимные GTIN-ы с реальными названиями товаров. Далее формируются фискальные чеки, в которых указана «покупка» этих товаров по определённой цене. Критически важно, что чек будет технически корректным: он пройдёт через оператора фискальных данных (ОФД) и попадёт в налоговую. Системы проверяют формат данных и подлинность чека, но не проводят тотальную сверку каждого серийного номера товара с системой маркировки в режиме реального времени.
Конечные цели: cashback, НДС и серая отчётность
С готовым поддельным чеком работают три основные схемы:
- Накрутка кэшбэка. Мошенники регистрируют множество карт или аккаунтов в банках с программами возврата денег. Массово «покуная» товары по поддельным чекам, они получают реальный кэшбэк, который затем обналичивают. Банк теряет деньги, не имея простого способа отличить такую операцию от реальной покупки.
- Незаконное возмещение НДС. Схема для юридических лиц. Фирма-однодневка предъявляет к вычету НДС с фиктивных закупок, подтверждённых такими чеками. Бюджет возвращает деньги, которых по факту никто не платил.
- Прикрытие нецелевых расходов. Поддельные чеки на канцтовары, продукты питания или стройматериалы используются для оформления фиктивных расходов в компаниях, чтобы вывести деньги или уменьшить налог на прибыль.
Слабое звено в системе и круг пострадавших
Уязвимость возникает из-за разрыва между двумя государственными системами: системой фискализации (чеки, ОФД, ФНС) и системой маркировки («Честный ЗНАК»). Данные между ними синхронизируются не в реальном времени и не для каждой операции. Касса не обязана в момент продажи запрашивать у «Честного ЗНАКа» статус именно этого серийного номера. Она работает с GTIN и ценой. Это позволяет цифровому двойнику товара существовать параллельно с физическим оригиналом.
От последствий страдают не только абстрактные «финансовые системы».
| Кто страдает | Последствия |
|---|---|
| Производители и крупные ритейлеры | Репутационные риски, когда их легитимные коды всплывают в налоговых схемах или на контрафакте. Риск внеплановых проверок. |
| Банки и агрегаторы кэшбэка | Прямые финансовые убытки. Вынужденное ужесточение условий программ лояльности для всех клиентов. |
| Налоговая служба (ФНС) | Потери бюджета из-за незаконного возмещения НДС, искажение статистики, трата ресурсов на выявление подобных схем. |
| Добросовестный бизнес | Рост недоверия к инструментам маркировки, усложнение процедур из-за вероятного ужесточения контроля. |
Меры защиты: от бытовых до системных
Простое замазывание кода перед публикацией фото — необходимое, но не достаточное действие. Защита должна быть многоуровневой.
- Цифровая гигиена для пользователя. Перед выкладыванием фото с товаром задайте себе вопрос: нужна ли в кадре вся упаковка? Чаще всего для отзыва хватит фото самого продукта. Используйте встроенные в соцсети или фоторедакторы инструменты размытия, чтобы гарантированно уничтожить читаемость и штрих-кода, и Data Matrix кода. Отключайте сохранение геоданных (EXIF) в настройках камеры смартфона.
- Просветительская работа бизнеса. Компаниям, чьи товары часто фигурируют в отзывах, стоит добавить простую инструкцию на сайт или в правила сообщества: «Перед публикацией фото замажьте штрих-код на упаковке для защиты от мошенников». Это не перекладывание ответственности, а формирование общей культуры безопасности.
- Технологические меры на стороне систем. Это долгосрочный путь. Решением могла бы стать обязательная онлайн-проверка статуса серийного номера в системе маркировки в момент формирования фискального чека для определённых категорий товаров. Это создаст дополнительную нагрузку, но закроет саму возможность существования цифрового двойника.
- Мониторинг со стороны банков и ОФД. Финансовые институты могут внедрять системы анализа аномалий: массовая регистрация чеков с одними и теми же GTIN от разных касс, нехарактерные для региона или точки продаж объёмы покупок определённого товара.
Что делать, если код уже в сети
Паниковать не нужно — вы не станете непосредственной жертвой кражи. Но источник данных необходимо перекрыть.
- Немедленно удалите или отредактируйте публикацию, загрузив изображение с замазанным кодом.
- Проверьте историю своих публикаций в соцсетях, на маркетплейсах — могли остаться другие фото с кодами.
- Если вы представитель бизнеса и обнаружили, что коды ваших товаров массово присутствуют в открытом доступе, имеет смысл проинформировать внутреннюю службу безопасности для мониторинга возможного появления контрафакта или участия в схемах.
История с фотографией пачки сахара показывает, как бытовое действие может иметь последствия в корпоративной и государственной плоскостях. Мы привыкли защищать персональные данные, но корпоративные идентификаторы, случайно попавшие в сеть, оказываются таким же уязвимым активом. Защита начинается с понимания, что каждая деталь в кадре, это не просто картинка, а структурированные данные, которые могут быть извлечены и использованы автоматически, в том числе и во вред.