Jak Avito identifikuje podvodníky a bojuje proti podvodům

Dobrý den, Habr. Jsem Igor, vedoucí týmu, který bojuje s podvodníky na Avitu. Dnes budeme hovořit o věčném boji s darebáky, kteří se snaží a někdy dokonce oklamou online nakupující prostřednictvím doručení zboží.

S podvody bojujeme již dlouho. Dnešní podvodníci klamou lidi napodobováním rozhraní a funkcí online obchodních platforem. Vymýšlejí například schémata doručování kurýrem na tržištích.

V lednu 2020 se na internetu objevily hotové návody pro podvodníky a všechny potřebné nástroje. Olej do ohně pak přilila sebeizolace: ti, kteří předtím podváděli a kradli na ulicích a v bytech, byli nuceni přejít na internet. Možná ti stejní „podvodníci“ v poslední době často volají, píší do instant messengerů, SMS a dopisů. Představují se jako zaměstnanci bank a orgánů činných v trestním řízení, vzdálení příbuzní nebo notáři. Napište do komentářů, s jakým typem podvodu jste se naposledy setkali.

Standardní podvodná schémata

Nejběžnější schéma klamání kupujícího s dodáním zboží vypadá takto:

1. Podvodník zveřejní inzerát s oblíbeným produktem ve střední cenové kategorii. Například s prodejem elektrokoloběžek – ty jsou v létě oblíbené.
2. Jakýmikoli prostředky přemlouvá potenciálního kupce k dodání. Záminky mohou být různé: opustil jsem město během pandemie nebo jsem prostě příliš zaneprázdněn a nemohu přijít na schůzku.
3. Po obdržení souhlasu podvodník odešle falešný platební odkaz. Odkazovaná stránka je podobná standardnímu formuláři Avito.
4. Oběť platí za nákupy a loučí se s penězi.
5. Podvodník se snaží vydělat více peněz tím, že nabízí vrácení platby. Odešle kupujícímu nový formulář pro vrácení peněz, ale ve skutečnosti je znovu naúčtuje. Zpětná stránka je stejná platební stránka, ale text na tlačítku byl změněn z „zaplatit“ na „vrátit“.

Níže je uveden příklad falešné stránky, kterou může odeslat podvodník. Doména napodobuje Avito a samotný web je podobný stránce pokladny v internetovém obchodě. Falešné stránky jsou často na protokolu https a pomocí této funkce je nelze rozlišit. Po vyplnění údajů je uživatel přesměrován na stránku pro platbu objednávky, kde je vyzván k zadání údajů o své bankovní kartě.

Falešné stránky o platbách za produkty a vrácení peněz

Blokujeme podezřelé prodejce. Proto, aby mohli provádět takové operace, musí podvodníci neustále vytvářet nové účty na Avito. Buď si je sami zaregistrují pomocí SMS na dočasné virtuální číslo, nebo si koupí kradené účty. Virtuální SIM karta stojí od 60 kopecků, účet někoho jiného na stínovém trhu stojí od 10 rublů. Náklady obou jsou nesrovnatelně menší než i jednorázové příjmy z klamání uživatelů.

Jednalo se o Avito Scam 1.0, ale již se objevily verze 2.0, 3.0 a dokonce 4.0. To nejsou naše označení – používají je samotní podvodníci.

Klamají nejen kupující, ale i prodávající. Druhý diagram vypadá takto:

1. Kupující prý peníze odeslal prostřednictvím zabezpečené transakce.
2. Pošle prodejci falešný odkaz, kde může přijmout platbu.
3. Prodejce je přesměrován na stránku, která požaduje údaje o jeho kartě, a v důsledku toho je částka stržena z jeho účtu.

Schéma Scam 3.0 funguje takto:

1. Prodejce zveřejňuje inzeráty s aktivovaným doručením přes Avito.
2. Když kupující za zboží zaplatí, podvodník mu pošle screenshot, na kterém Avito údajně žádá o potvrzovací kód.
3. Pomocí kódu se prodejce přihlásí do uživatelského účtu. V profilu kupujícího podvodník zaškrtne políčko, že zboží obdržel. Kupující zůstává bez peněz a nákupu.

A schéma 4.0 je uspořádáno takto:

1. Kupující předstírá, že za zboží zaplatil, a zašle falešnou účtenku. Účtenky se zasílají kamkoli: e-mailem nebo prostřednictvím messengeru třetí strany. Záleží na tom, jaký kontakt dal prodejce podvodníkovi.
2. Prodejci obdrží SMS, která napodobuje převod z banky.
3. O pár minut později kupující píše, že by pro něj byl vhodnější produkt jiného prodejce a žádá o vrácení peněz. Často se používá argument „vrať to, nejsi podvodník“. Prodejce posílá částku kupujícímu, ale z vlastní kapsy, protože k platbě nedošlo.

Na co podvodníci tlačí?

Pět nejoblíbenějších kontextů, ve kterých se lidé dostávají do spárů podvodníků:

1. Jedinečná prodejní nabídka. Cena nebo produkt je srovnatelný s jinými nabídkami.
2. Vzrušení. Prodejce má několik lidí ochotných produkt koupit, a tak si vynucuje platbu předem.
3. Naléhavost. Kupující nabízí urgentní nákup zboží za jakékoli peníze a žádá o všechny informace o bankovní kartě za účelem převodu peněz.
4. Dobrosrdečnost. Podvodník žádá o pomoc při nákupu produktu: kupující má například zdravotní problémy nebo si nemůže produkt osobně vyzvednout. Podvodník požaduje údaje o kartě pro převod peněz a zboží si prý vyzvedne kurýr.
5. Různé lokality a města. V tomto případě je platba předem povinnou podmínkou transakce a podvodníkům se tak otevírá obrovské pole působnosti.

Schéma „práce“ podvodníků

Do podvodného schématu jsou zapojeny tři skupiny lidí: pracovníci, podpora, TS.

Dělníci, od slova dělník, jsou nejpočetnější skupinou lidí, hlavně školáci a studenti. Nezávisle zakládají účty na Avitu a hledají oběti, kterým se říká mamuti. Poté pomocí dovedností sociálního inženýrství přesvědčí oběti, aby za něco zaplatily, a pošlou jim falešný odkaz. Pokud oběť zaplatí za „zboží“, pak úkolem pracovníků s pomocí podpory je převést oběť na vrácení peněz s uvedením nějaké technické chyby.

Podpora jsou lidé, kteří za pevný příjem pomáhají začínajícím pracovníkům oklamat uživatele. Poradí, doporučí „ziskové“ produkty a často jsou ochotni za určité procento podvodné transakce poskytnout další služby, například připravit pas ve Photoshopu, zavolat oběti, napsat jí jménem technické podpory.

TS z Topic Starter na stínových fórech, kde byli původně najímáni pracovníci, jsou v podstatě organizátoři. Stahují nebo kupují software, který se skládá ze dvou částí:

1. Telegram bot, který je hlavním nástrojem podvodníků. V něm můžete získat falešný odkaz na produkt, dostávat upozornění na kliknutí nebo platby.
2. Webová verze, která zodpovídá za zobrazení stránky platby/vrácení/příjmu. K němu je připojen i platební systém pro přijímání plateb.

Organizátoři vydělávají peníze z procenta z převodu každé oběti, kterému se říká zisk. Snaží se proto propagovat svůj projekt a vyplácet podporu na školení nováčků. Nesou také veškeré náklady spojené s nákupem nových domén a karet, na které peníze přicházejí.

Po nahlédnutí do zdrojových kódů mnoha variant podvodných skriptů jsme došli k závěru, že většina z nich byla napsána v PHP, ale na velmi špatné úrovni. Téměř všechny skripty shromažďují informace o svých uživatelích, včetně pracovníků. Jedním z předpokladů, proč to dělají, je, že když orgány činné v trestním řízení kontaktují organizátora, bude spolupracovat s vyšetřováním a pokusí se trest co nejvíce snížit odhalením pracovníků.

Kromě skriptů používají podvodníci bombardéry. Jedná se o roboty, které poskytují možnost spamovat váš telefon pomocí SMS a hovorů. Bombardéry fungují takto: jdou na různé stránky a požadují registraci nebo obnovení hesla pomocí telefonního čísla. Obvykle je podvodníci spojují s oběťmi na 2–72 hodin. A to je důležitý důvod, proč neukazovat své telefonní číslo na internetu.

Některé TS také najímají vývojáře, kteří provádějí vylepšení pro robota nebo web. Například zlepšují hodnocení pracovníků nebo chrání skripty před zranitelnostmi, které se vyskytují v bezplatných verzích. V honbě za rychlými zisky si však vozidlo může vzít všechny výnosy pro sebe a oklamat své vlastní pracovníky. Zároveň existuje skupina chlápků, kteří vydělávají peníze na samotných podvodnících a lstí je do různých služeb.

Průměrný denní příjem podvodníka-exekutora je 20 000 rublů a příjem podvodníka-organizátora je 200 000 rublů. Hlavní věc, kterou je třeba si zapamatovat: navzdory zjevné beztrestnosti a výhodám „podnikání“ veškerá tato činnost spadá pod podle článku 159 trestního zákoníku Ruské federace. Podvodníci jsou zadrženi a jsou jim uděleny skutečné tresty i v případech, kdy škoda z podvodu dosahuje 5–7 tisíc rublů.

Všechny informace, které máme o podvodech, předáváme orgánům činným v trestním řízení. Jsme přesvědčeni, že i přes zdánlivou ziskovost a snadnost systému naši čtenáři chápou, že do podvodů se zapojují pouze úzkoprsí lidé, kteří si neuvědomují všechna rizika.

Epická bitva mezi podvodníky a podvodníky

Řekneme vám, jaké kroky jsme podnikli v prvních měsících roku 2020 na ochranu našich uživatelů a jak na to podvodníci reagovali.

Hlavní metrikou, na kterou jsme se spoléhali při hodnocení efektivity naší práce, byl počet telefonátů na podporu s doručením, které zaplatil podvodník. Většinu podvodných reklam zablokujeme ještě předtím, než se dostanou na web. Ale když se téměř veškerý obchod přesunul online, zaznamenali jsme prudký nárůst požadavků. Tuto informaci potvrzují i ​​banky: v dubnu a květnu rozeslaly masivní varování před nárůstem podvodů při online nákupech.

Aby člověk z našeho týmu získal rychlou zpětnou vazbu na nové nástroje, infiltroval se do desítek uzavřených skupin podvodníků. V jednom z nich prošel pohovorem jako vývojář a získal přístup ke zdrojovému kódu scam botů a dostal se také do skupiny organizátorů. Díky tomu jsme měli vždy čerstvé informace z první ruky.

S pochopením rizik vyplývajících ze začátku sebeizolace jsme začali pracovat ještě před aktivním nárůstem požadavků. Jedním z prvních technických opatření byla implementace anti-hacku, který měl vytrhnout uživatelské účty ze spárů útočníků. Za tímto účelem, pokud byly přihlašovací jméno a heslo zadané správně, ale geolokace byla podezřelá, požádali jsme o kód z SMS, která byla zaslána majiteli účtu. V reakci na to podvodníci začali registrovat více nezávislých účtů. To funguje v náš prospěch – nové účty prodejců vzbuzují u každého menší důvěru.

Dále jsme začali varovat uživatele před sledováním podezřelých odkazů v messengeru. Snížili jsme tedy počet kliknutí o třetinu, ale na naši hlavní metriku to nemělo téměř žádný vliv: ty, které podvodníci oklamali, nezastavilo žádné varování.

Dále jsme představili bílý seznam odkazů. Přestali jsme zvýrazňovat neznámé odkazy v Avito messengeru, již je nemůžete sledovat jedním kliknutím. Při kopírování podezřelého odkazu se také zobrazilo varování. Toto rozhodnutí mělo poprvé pozitivní dopad na naše metriky.

Začali jsme aktivně trestat za přenos podezřelých odkazů v Avito messengeru: blokovat nebo odmítat reklamy prodejce. V reakci na to podvodníci začali odklánět uživatele z našeho chatu na instant messengery třetích stran. Poté jsme vydali varování, abyste nepřepínali na jiný messenger, pokud jej uvidíte zmíněný v chatu. Tato funkce začala vyhledáváním regulárních výrazů, poté jsme ji nahradili modelem ML.

Poté podvodníci začali uživatele přimět k e-mailu. K tomu potřebovali totéž, co my všichni: důvěru. Začali posílat potenciálním obětem obrázky, kde si Avito údajně vyžádal e-mail kupujícího. Toto je podvod – nepotřebujeme e-maily kupujících.

Zde naše podpora údajně odpovídá, že pro doručení je potřeba e-mail kupujícího

A zde v našem rozhraní se zdá být nové pole pro zadání e-mailu

Pokud by někdo jiný dokázal rozlišit falešný odkaz, pak lze dopis snadno zfalšovat a je důvěryhodnější. Začali jsme e-mailovou zprávu mazat a uživateli zobrazovat varování o nebezpečí takového jednání. Pokud uživatel po upozornění odešle e-mail znovu, již jej nemažeme.

Podvodníci začali žádat zákazníky, aby poslali svou e-mailovou adresu ve více zprávách nebo se symbolem @ nahrazeným něčím jiným. Poté se nám začalo zobrazovat varování i při požadavku na poštu. Komplex těchto opatření umožnil téměř úplně zabránit uživatelům opustit Avito messenger pro poštu.

Naše současná mechanika je poměrně účinná, ale není uživatelsky přívětivá. E-mailová zpráva je zcela odstraněna a často obsahuje jiný text. Bylo to ale nejrychlejší a nejlevnější řešení na vývoj. Přemýšlíme, jak to předělat a vylepšit.

Jednou z našich nejnovějších iniciativ je vytočení čísla. Čísla, která podvodníci používají k registraci účtů, obvykle netrvají dlouho. Na číslo prodejce voláme po podání inzerátu na Avito. Pokud se nemůžete dovolat po telefonu, moderování reklamu odmítne. Podvodníci začali měnit telefonní číslo bezprostředně před zveřejněním, abychom mohli zavolat, dokud bude ještě dostupné.

A tady je zpětná vazba od podvodníka

V podezřelých případech snížíme prioritu reklamy ve výsledcích vyhledávání a odstraníme ji z doporučení. Zároveň jsme nastavili zpoždění vydání až na 48 hodin, abychom zaručili čas vše pečlivě zkontrolovat a způsobit podvodníkům trochu více nepříjemností.

To je jen špička ledovce, druhů podvodů je mnohem více.

Bohužel je nemožné popsat všechny druhy podvodů v jednom článku. Když jsme se dozvěděli o zavedení režimu sebeizolace, okamžitě bylo jasné, že podvodníci, kteří vydělávají peníze offline, budou běhat online. Nebudou chtít na pár měsíců změnit své vzorce chování a stát se dobrými občany. To vedlo ke skutečnému boomu podvodů na všech online platformách a po telefonu.

Mezi typy podvodů jsou vzácné a dokonce legrační. Například zde podvodník předstírá, že je robot, aby snížil náklady na komunikaci:

Navzdory tomu, že na Avitu je každým dnem méně a méně podvodníků a po celé zemi probíhají razie, kde je strážci zákona najdou, i přes proxy a VPN, zadrží a vedou k reálným trestům až 2 let vězení za podvody ve výši 2500 -5000 rublů, není možné se podvodu zcela zbavit.

O dalších nápadech a inovacích nebudeme veřejně mluvit, abychom podvodníkům neusnadňovali práci. Chápeme, že tato bitva bude pokračovat. Naším úkolem je co nejvíce zkomplikovat život podvodníkům, učinit tento typ činnosti na našem zdroji jednoduše nerentabilním a příliš nebezpečným a zároveň minimálně poškozovat dobré uživatele.

výsledky

Zde je časová osa pro volání na podporu podvodů s doručením. V posledních týdnech zůstala na trvale nízké úrovni:

Jak se nestát obětí podvodníka

Podvodníci jsou mouchou v masti ziskových nabídek. Abyste byli vždy v bezpečí, dodržujte tato pravidla:

1. Nesdílejte citlivá data. Žádné: celé jméno, telefonní číslo, adresa, email, datum a místo narození, informace o rodině a příjmu, údaje o kartě, kontakty v jiných messengerech. Nikdy nesdělujte kódy z SMS a push notifikací.
2. Veškerou komunikaci provádějte pouze v rámci našeho messengeru, pak vás budeme moci varovat v případě nebezpečí.
3. Zkontrolujte hodnocení prodejce a věk profilu. Podezření vzbuzují nízké ceny, nedávné datum registrace na webu a negativní recenze.
4. Pokud je tlačítko „Koupit s doručením“ neaktivní, nedochází k doručování zboží prostřednictvím důvěryhodných partnerů Avito. Jiné způsoby doručení jsou vždy rizikem.
5. Neklikejte na odkazy. Odkaz na platbu nebo příjem peněz by měl být odeslán do vestavěného programu Avito messenger prostřednictvím systémové zprávy. Skutečný odkaz vždy začíná doménou www.avito.ru. Jakákoli jiná kombinace slov a symbolů je podvod.
6. Nespěchejte a všechny nákupy provádějte střízlivě. Buďte pozorní ke každému detailu. Podvodníci často vyvíjejí tlak na potenciální kupce a vyhrožují, že produkt prodají někomu jinému. Poctiví prodejci jsou loajální a připraveni na další dotazy.
7. Neplaťte předem za žádné služby, pokud si nejste jistí prodejcem.
8. Neinstalujte žádná rozšíření nebo programy třetích stran.
9. Pokud uvidíte podezřelý profil nebo inzerát, napište o něm v naší podpoře. Prověříme prodejce. Na internetu je lepší nikomu nevěřit a provádět dodatečné kontroly.

Zdroj: www.habr.com