Hvordan Avito identificerer svindlere og bekæmper svindel

Hej, Habr. Jeg er Igor, lederen af ​​et hold, der bekæmper svindlere på Avito. I dag vil vi tale om den evige kamp med skurke, der forsøger og endda nogle gange bedrager online-shoppere gennem levering af varer.

Vi har bekæmpet svindel i lang tid. Nutidens svindlere bedrager folk ved at efterligne grænseflader og funktioner på online handelsplatforme. For eksempel kommer de med ordninger for kurerlevering på markedspladser.

I januar 2020 dukkede færdige instruktioner til svindlere og alle de nødvendige værktøjer op på internettet. Derefter tilføjede selvisolation brændstof til ilden: De, der tidligere havde snydt og stjålet på gaden og i lejligheder, blev tvunget til at gå på nettet. Måske har de samme "svindlere" ringet meget til dig på det seneste og skrevet i instant messengers, SMS og breve. De præsenterer sig selv som ansatte i banker og retshåndhævende myndigheder, fjerne slægtninge eller notarer. Skriv i kommentarerne, hvilken type svindel du stødte på sidste gang.

Standard svindelordninger

Den mest almindelige ordning for at bedrage en køber med levering af varer ser sådan ud:

1. Svindleren udgiver en annonce med et populært produkt i mellempriskategorien. For eksempel med salg af el-scootere – de er populære om sommeren.
2. På nogen måde overtaler han en potentiel køber til levering. Påskuddene kan være anderledes: Jeg forlod byen under pandemien, eller jeg har bare for travlt og kan ikke komme til mødet.
3. Efter at have modtaget samtykke, sender svindleren et falsk betalingslink. Den linkede side ligner standard Avito-formularen.
4. Offeret betaler for indkøb og siger farvel til pengene.
5. Svindleren forsøger at tjene flere penge ved at tilbyde at returnere betalingen. Han sender køberen en ny formular til tilbagebetaling, men i virkeligheden opkræver han dem igen. Retursiden er den samme betalingsside, men teksten på knappen er ændret fra "betal" til "retur".

Nedenfor er et eksempel på en falsk side, som en svindler kan sende. Domænet efterligner Avito, og selve webstedet ligner betalingssiden i en netbutik. Falske sider er ofte på https-protokollen, og det er umuligt at skelne dem med denne funktion. Efter at have udfyldt dataene, føres brugeren til ordrebetalingssiden, hvor han bliver bedt om at indtaste sine bankkortoplysninger.

Falske produktbetalings- og refusionssider

Vi blokerer mistænkelige sælgere. Derfor, for at udføre sådanne operationer, skal svindlere konstant oprette nye konti på Avito. De registrerer dem enten selv ved hjælp af SMS til et midlertidigt virtuelt nummer eller køber stjålne konti. Et virtuelt SIM-kort koster fra 60 kopek, en andens konto på skyggemarkedet koster fra 10 rubler. Omkostningerne for begge er usammenlignelige mindre end selv engangsindtægter fra at bedrage brugere.

Det var Avito Scam 1.0, men version 2.0, 3.0 og endda 4.0 er allerede dukket op. Det er ikke vores betegnelser – de bruges af svindlerne selv.

De bedrager ikke kun købere, men også sælgere. Det andet diagram ser således ud:

1. Køberen har angiveligt sendt pengene gennem en sikker transaktion.
2. Han sender sælgeren et falsk link, hvor han kan modtage betaling.
3. Sælger føres til en side, der beder om hans kortoplysninger, og som følge heraf trækkes beløbet fra hans konto.

Scam 3.0-ordningen fungerer således:

1. Sælger udgiver annoncer med aktiveret levering via Avito.
2. Når køberen betaler for varerne, sender svindleren ham et skærmbillede, hvor Avito angiveligt beder om en bekræftelseskode.
3. Ved hjælp af koden logger sælgeren ind på brugerens konto. I købers profil markerer svindleren en boks, der angiver, at han har modtaget varerne. Køber står uden penge og køb.

Og 4.0-ordningen er arrangeret som følger:

1. Køber udgiver sig for at have betalt for varen og sender en falsk kvittering. Kvitteringer sendes overalt: via e-mail eller via en tredjeparts messenger. Afhænger af hvilken kontakt sælgeren gav svindleren.
2. Sælger modtager en sms, der efterligner en overførsel fra banken.
3. Få minutter senere skriver køberen, at et produkt fra en anden sælger ville være bedre egnet til ham og beder om tilbagebetaling. Argumentet "giv det tilbage, du er ikke en svindler" bruges ofte. Sælger sender beløbet til køber, men fra egen lomme, fordi der ikke var nogen betaling.

Hvad presser svindlere på?

De fem mest populære sammenhænge, ​​hvor folk falder i kløerne på svindlere:

1. Unikt salgsforslag. Prisen eller produktet kan sammenlignes med andre tilbud.
2. Spænding. Sælgeren har flere, der er villige til at købe produktet, så han fremtvinger en forudbetaling.
3. Uopsættelighed. Køberen tilbyder hurtigst muligt at købe varerne for enhver penge og beder om alle bankkortoplysninger for at overføre penge.
4. Godhjertethed. Svindleren beder om hjælp til at købe et produkt: For eksempel har køberen helbredsproblemer eller er ude af stand til personligt at hente produktet. Svindleren beder om kortoplysninger for at overføre penge, og varerne vil angiveligt blive afhentet af en kurer.
5. Forskellige lokaliteter og byer. I dette tilfælde er forudbetaling en obligatorisk betingelse for transaktionen, og dette åbner et stort aktivitetsområde for svindlere.

Ordning for "arbejde" af svindlere

Tre grupper af mennesker er involveret i den svigagtige ordning: arbejdere, støtte, TS.

Arbejdere, fra ordet arbejder, er den største gruppe mennesker, hovedsageligt skolebørn og studerende. De opretter selvstændigt konti på Avito og leder efter ofre, som kaldes mammutter. Så ved hjælp af sociale ingeniørfærdigheder overbeviser de ofrene om at betale for noget og sender dem et falsk link. Hvis offeret betaler for "varerne", så er arbejdernes opgave ved hjælp af støtte at overføre offeret til en refusion, med henvisning til en form for teknisk fejl.

Support er mennesker, der for en fast indkomst hjælper nybegyndere med at bedrage brugere. De giver råd, anbefaler "rentable" produkter og er ofte villige til at yde andre tjenester for en vis procentdel af den svigagtige transaktion, for eksempel at forberede et pas i Photoshop, ringe til offeret, skrive til hende på vegne af teknisk support.

TS, fra Topic Starter på skyggefora, hvor arbejdere oprindeligt blev ansat, er i det væsentlige arrangører. De downloader eller køber software, som består af to dele:

1. Telegram-bot, som er svindleres hovedværktøj. I den kan du få et falsk link til et produkt, modtage notifikationer om klik eller betalinger.
2. Webversion, som er ansvarlig for at vise betalings-/retur-/kvitteringssiden. Der er også tilsluttet et betalingssystem til at modtage betalinger.

Arrangørerne tjener penge på en procentdel af hvert offers overførsel, som kaldes profit. Derfor forsøger de at annoncere for deres projekt og betale støtte til at uddanne nytilkomne. De afholder også alle omkostninger forbundet med køb af nye domæner og kort, som pengene kommer til.

Efter at have set på kildekoderne for mange varianter af svigagtige scripts, kom vi til den konklusion, at de fleste af dem var skrevet i PHP, men på et meget dårligt niveau. Næsten alle scripts indsamler oplysninger om deres brugere, inklusive arbejdere. En af antagelserne, hvorfor de gør dette, er, at når de retshåndhævende myndigheder kontakter arrangøren, vil han samarbejde med efterforskningen og forsøge at reducere straffen så meget som muligt ved at afsløre arbejderne.

Ud over scripts bruger svindlere bombefly. Det er bots, der giver mulighed for at spamme din telefon med SMS og opkald. Bombefly fungerer sådan: de går til forskellige websteder og anmoder om registrering eller gendannelse af adgangskode ved hjælp af et telefonnummer. Normalt forbinder svindlere dem med ofre i 2-72 timer. Og dette er en vigtig grund til ikke at vise dit telefonnummer på internettet.

Nogle TS ansætter også udviklere, der laver forbedringer til botten eller webstedet. For eksempel forbedrer de arbejdervurderinger eller beskytter scripts mod sårbarheder, der findes i gratis versioner. Men i jagten på hurtige overskud kan køretøjet tage hele udbyttet for sig selv og bedrage sine egne arbejdere. Samtidig er der en gruppe fyre, der tjener penge på svindlerne selv, og snyder dem til forskellige tjenester.

Den gennemsnitlige daglige indkomst for en bedrager-eksekutor er 20 rubler, og den for en bedrager-arrangør er 000 rubler. Det vigtigste at huske: på trods af den tilsyneladende straffrihed og fordele ved "forretning", falder al denne aktivitet ind under i henhold til artikel 159 i Den Russiske Føderations straffelov. Svindlere tilbageholdes og får rigtige domme, selv i tilfælde, hvor skaden fra bedrag beløber sig til 5-7 tusind rubler.

Vi overfører alle oplysninger, vi har om bedrageri, til retshåndhævende myndigheder. Vi er overbeviste om, at på trods af den tilsyneladende rentabilitet og lethed ved ordningen, forstår vores læsere, at kun snæversynede mennesker, der ikke er klar over alle risici, deltager i svindel.

En episk kamp mellem bedrageribekæmpelse og svindlere

Vi fortæller dig, hvilke skridt vi tog i de første måneder af 2020 for at beskytte vores brugere, og hvordan svindlerne reagerede.

Det vigtigste mål, vi stolede på for at evaluere effektiviteten af ​​vores arbejde, var antallet af supportopkald med levering betalt af svindleren. Vi blokerer de fleste svigagtige annoncer, før de overhovedet når frem til webstedet. Men da næsten al handel flyttede online, registrerede vi en stigning i anmodninger. Disse oplysninger bekræftes også af bankerne: i april og maj udsendte de massive advarsler om væksten i bedrageri i onlinekøb.

For at modtage hurtig feedback om nye værktøjer infiltrerede en person fra vores team snesevis af lukkede grupper af svindlere. I et af dem bestod han et interview som udvikler og fik adgang til kildekoden til svindelrobotter og kom også ind i gruppen af ​​arrangører. Takket være dette havde vi altid frisk, førstehåndsinformation.

For at forstå risiciene på grund af begyndelsen af ​​selvisolering begyndte vi arbejdet før den aktive stigning i anmodninger. En af de første tekniske foranstaltninger var implementeringen af ​​et anti-hack for at snuppe brugerkonti fra angribernes kløer. For at gøre dette, hvis login og adgangskode var indtastet korrekt, men geoplaceringen var mistænkelig, anmodede vi om en kode fra en SMS, der blev sendt til kontoejeren. Som svar begyndte svindlere at registrere flere uafhængige konti. Dette virker til vores fordel - friske sælgerkonti inspirerer til mindre tillid hos alle.

Dernæst begyndte vi at advare brugere om at følge mistænkelige links i messengeren. Så vi reducerede antallet af klik med en tredjedel, men dette havde næsten ingen effekt på vores vigtigste metrik: De, der blev bedraget af svindlere, blev ikke stoppet af nogen advarsler.

Dernæst introducerede vi en hvid liste over links. Vi er holdt op med at fremhæve ukendte links i Avito-messengeren; du kan ikke længere følge dem med et enkelt klik. Ved kopiering af et mistænkeligt link blev der også vist en advarsel. Denne beslutning havde en positiv indvirkning på vores målinger for første gang.

Vi begyndte aktivt at straffe for transmission af mistænkelige links i Avito-messengeren: bloker eller afvis sælgerens annoncer. Som svar begyndte svindlere at omdirigere brugere fra vores chat til tredjeparts instant messengers. Så udstedte vi en advarsel om ikke at skifte til en anden messenger, hvis du ser det nævnt i chatten. Denne funktion startede med en regulært udtrykssøgning, derefter erstattede vi den med en ML-model.

Så begyndte svindlere at narre brugere til e-mail. For at gøre dette havde de brug for det samme, som vi alle har brug for: tillid. De begyndte at sende potentielle ofre billeder, hvor Avito angiveligt anmodede om køberens e-mail. Dette er et fupnummer - vi har ikke brug for købers e-mails.

Her svarer vores support angiveligt, at køberens e-mail er nødvendig for levering

Og her i vores grænseflade ser der ud til at være et nyt felt til indtastning af e-mail

Hvis en anden kunne skelne mellem et falsk link, kan brevet let forfalskes og er mere troværdigt. Vi begyndte at slette e-mail-meddelelsen og vise brugeren en advarsel om farerne ved en sådan handling. Hvis brugeren efter advarslen sender e-mailen igen, sletter vi den ikke længere.

Svindlere er begyndt at bede kunder om at sende deres e-mail-adresse i flere meddelelser eller med @-symbolet erstattet med noget andet. Så begyndte vi at vise en advarsel, selv når vi anmodede om mail. Komplekset af disse foranstaltninger gjorde det muligt næsten fuldstændigt at forhindre brugere i at forlade Avito-messengeren til post.

Vores nuværende mekanik er ret effektiv, men ikke brugervenlig. E-mail-beskeden slettes fuldstændigt og indeholder ofte anden tekst. Men det var den hurtigste og billigste løsning at udvikle. Vi overvejer, hvordan vi kan lave og forbedre det.

Et af vores seneste tiltag er at ringe til nummeret. Typisk varer de numre, som svindlere bruger til at registrere konti, ikke længe. Vi ringer til sælgers nummer efter at have indsendt en annonce på Avito. Hvis du ikke kan komme igennem telefonisk, vil moderation afvise annoncen. Svindlerne begyndte at ændre telefonnummeret umiddelbart før offentliggørelsen, så vi kunne ringe, mens det stadig var tilgængeligt.

Og her er tilbagemeldingen fra svindleren

I mistænkelige tilfælde sænker vi prioriteten af ​​annoncen i søgeresultaterne og fjerner den fra anbefalingerne. Samtidig sætter vi en forsinkelse i udstedelsen på op til 48 timer for at garantere tid til at tjekke alt omhyggeligt og forårsage lidt mere besvær for svindlere.

Dette er kun toppen af ​​isbjerget, der er mange flere former for svindel.

Desværre er det umuligt at beskrive alle former for svindel i én artikel. Da vi lærte om indførelsen af ​​selvisoleringsregimet, blev det straks klart, at svindlere, der tjente penge offline, ville køre online. De vil ikke ændre deres adfærdsmønstre i et par måneder og blive gode borgere. Dette har ført til et reelt boom i svindel på alle online platforme og telefonisk.

Blandt svindeltyperne er der sjældne og endda sjove. For eksempel, her udgiver svindleren sig for at være en robot for at reducere kommunikationsomkostningerne:

På trods af at der er færre og færre svindlere på Avito hver dag, og der finder razziaer sted i hele landet, hvor retshåndhævere finder dem, trods fuldmagter og VPN'er, tilbageholder dem og fører til reelle straffe på op til 2 års fængsel for bedrag på 2500 -5000 rubler, er det umuligt helt at slippe af med svindel.

Vi vil ikke offentligt tale om andre ideer og innovationer for ikke at gøre svindlernes arbejde lettere. Vi forstår, at denne kamp vil fortsætte. Vores opgave er at gøre livet så svært som muligt for svindlere, at gøre denne type aktivitet på vores ressource simpelthen urentabel og for farlig, samtidig med at det skader gode brugere minimalt.

Arbejdsresultater

Her er tidslinjen for supportopkald til leveringssvig. I de seneste uger har det holdt sig på et konsekvent lavt niveau:

Sådan undgår du at blive offer for en svindler

Svindlere er fluen i salven af ​​profitable tilbud. For altid at være sikker skal du blot følge disse regler:

1. Del ikke følsomme data. Ingen: fulde navn, telefonnummer, adresse, e-mail, fødselsdato og -sted, oplysninger om familie og indkomst, kortoplysninger, kontakter i andre messengers. Fortæl aldrig koder fra SMS og push-beskeder.
2. Foretag kun al kommunikation inden for vores messenger, så vil vi være i stand til at advare dig i tilfælde af fare.
3. Tjek sælgerens bedømmelse og profilalder. Mistanke er rejst af lave priser, seneste dato for registrering på siden og negative anmeldelser.
4. Hvis knappen "Køb med levering" er inaktiv, er der ingen levering af varer gennem betroede Avito-partnere. Andre leveringsmetoder er altid en risiko.
5. Klik ikke på links. Linket til at betale eller modtage penge skal sendes til den indbyggede Avito messenger via en systemmeddelelse. Et rigtigt link starter altid med domænet www.avito.ru. Enhver anden kombination af ord og symboler er bedrageri.
6. Tag dig god tid og gør alle køb nøgternt. Vær opmærksom på hver eneste lille detalje. Svindlere lægger ofte pres på potentielle købere og truer med at sælge produktet til en anden. Ærlige sælgere er loyale og klar til yderligere spørgsmål.
7. Foretag ikke forudbetaling for nogen tjenester, medmindre du har tillid til sælgeren.
8. Installer ikke nogen tredjepartsudvidelser eller -programmer.
9. Hvis du ser en mistænkelig profil eller annonce, så skriv om det i vores støtte. Vi tjekker sælgeren. På internettet er det bedre ikke at stole på nogen og foretage yderligere kontrol.

Kilde: www.habr.com