Wie Avito Betrüger identifiziert und Betrug bekämpft

Hallo, Habr. Ich bin Igor, der Leiter eines Teams, das Betrüger auf Avito bekämpft. Heute sprechen wir über den ewigen Kampf mit Schurken, die versuchen, Online-Käufer manchmal sogar durch die Lieferung von Waren zu täuschen.

Wir bekämpfen Betrug schon seit langem. Heutige Betrüger täuschen Menschen, indem sie die Schnittstellen und Funktionen von Online-Handelsplattformen nachahmen. Sie entwickeln beispielsweise Programme für die Kurierzustellung auf Marktplätzen.

Im Januar 2020 erschienen im Internet fertige Anleitungen für Betrüger und alle notwendigen Tools. Dann goss die Selbstisolation Öl ins Feuer: Wer zuvor auf der Straße und in Wohnungen betrogen und gestohlen hatte, wurde gezwungen, online zu gehen. Vielleicht haben dieselben „Betrüger“ Sie in letzter Zeit häufig angerufen und Ihnen über Instant Messenger, SMS und Briefe geschrieben. Sie stellen sich als Mitarbeiter von Banken und Strafverfolgungsbehörden, entfernte Verwandte oder Notare vor. Schreiben Sie in die Kommentare, welche Art von Betrug Sie das letzte Mal erlebt haben.

Standardbetrugsschemata

Das häufigste Schema zur Täuschung eines Käufers bei der Lieferung von Waren sieht folgendermaßen aus:

1. Der Betrüger veröffentlicht eine Anzeige mit einem beliebten Produkt im mittleren Preissegment. Zum Beispiel beim Verkauf von Elektrorollern – sie erfreuen sich im Sommer großer Beliebtheit.
2. Auf jeden Fall überredet er einen potenziellen Käufer zur Lieferung. Die Vorwände können unterschiedlich sein: Ich habe die Stadt während der Pandemie verlassen oder ich bin einfach zu beschäftigt und kann nicht zum Treffen kommen.
3. Nach Erhalt der Einwilligung sendet der Betrüger einen gefälschten Zahlungslink. Die verlinkte Seite ähnelt dem Standard-Avito-Formular.
4. Das Opfer bezahlt Einkäufe und verabschiedet sich vom Geld.
5. Der Betrüger versucht, mehr Geld zu verdienen, indem er anbietet, die Zahlung zurückzuerstatten. Er schickt dem Käufer ein neues Formular für eine Rückerstattung, aber in Wirklichkeit belastet er ihn erneut. Die Rückgabeseite ist dieselbe Zahlungsseite, der Text auf der Schaltfläche wurde jedoch von „Bezahlen“ in „Zurückgeben“ geändert.

Unten sehen Sie ein Beispiel für eine gefälschte Seite, die ein Betrüger senden könnte. Die Domain ahmt Avito nach und die Website selbst ähnelt der Checkout-Seite in einem Online-Shop. Gefälschte Seiten basieren häufig auf dem https-Protokoll und können anhand dieser Funktion nicht unterschieden werden. Nach dem Ausfüllen der Daten wird der Benutzer zur Zahlungsseite der Bestellung weitergeleitet, wo er aufgefordert wird, seine Bankkarteninformationen einzugeben.

Gefälschte Produktzahlungs- und Rückerstattungsseiten

Wir blockieren verdächtige Verkäufer. Um solche Vorgänge durchführen zu können, müssen Betrüger daher ständig neue Konten bei Avito erstellen. Sie registrieren sie entweder selbst per SMS an eine temporäre virtuelle Nummer oder kaufen gestohlene Konten. Eine virtuelle SIM-Karte kostet ab 60 Kopeken, ein fremdes Konto auf dem Schattenmarkt ab 10 Rubel. Die Kosten für beides sind unvergleichlich geringer als selbst einmalige Einnahmen aus der Täuschung von Benutzern.

Es war Avito Scam 1.0, aber es sind bereits die Versionen 2.0, 3.0 und sogar 4.0 erschienen. Dies sind nicht unsere Bezeichnungen – sie werden von den Betrügern selbst verwendet.

Sie täuschen nicht nur Käufer, sondern auch Verkäufer. Das zweite Diagramm sieht so aus:

1. Der Käufer hat das Geld angeblich über eine sichere Transaktion gesendet.
2. Er schickt dem Verkäufer einen gefälschten Link, über den er die Zahlung erhalten kann.
3. Der Verkäufer wird auf eine Seite weitergeleitet, auf der er nach seinen Kartendaten gefragt wird und daraufhin der Betrag von seinem Konto abgebucht wird.

Das Scam 3.0-Schema funktioniert folgendermaßen:

1. Der Verkäufer veröffentlicht Anzeigen mit aktivierter Zustellung über Avito.
2. Wenn der Käufer die Ware bezahlt, schickt ihm der Betrüger einen Screenshot, in dem Avito angeblich nach einem Bestätigungscode fragt.
3. Mit dem Code loggt sich der Verkäufer in das Benutzerkonto ein. Im Profil des Käufers kreuzt der Betrüger ein Kästchen an, das anzeigt, dass er die Ware erhalten hat. Der Käufer bleibt ohne Geld und Kauf zurück.

Und das 4.0-Schema ist wie folgt aufgebaut:

1. Der Käufer gibt vor, die Ware bezahlt zu haben und schickt eine gefälschte Quittung. Quittungen werden überallhin gesendet: per E-Mail oder über einen Messenger eines Drittanbieters. Hängt davon ab, welchen Kontakt der Verkäufer dem Betrüger gegeben hat.
2. Der Verkäufer erhält eine SMS, die eine Überweisung der Bank nachahmt.
3. Wenige Minuten später schreibt der Käufer, dass ein Produkt eines anderen Verkäufers besser für ihn geeignet wäre und bittet um eine Rückerstattung. Das Argument „Geben Sie es zurück, Sie sind kein Betrüger“ wird häufig verwendet. Der Verkäufer überweist den Betrag an den Käufer, allerdings aus eigener Tasche, da keine Zahlung erfolgt ist.

Worauf drängen Betrüger?

Die fünf häufigsten Situationen, in denen Menschen in die Fänge von Betrügern geraten:

1. Alleinstellungsmerkmal. Der Preis oder das Produkt ist im Vergleich zu anderen Angeboten günstig.
2. Aufregung. Da der Verkäufer mehrere Kaufwillige hat, erzwingt er eine Vorauszahlung.
3. Dringlichkeit. Der Käufer bietet an, die Ware dringend für beliebiges Geld zu kaufen und bittet um die Angabe sämtlicher Bankkarteninformationen, um das Geld überweisen zu können.
4. Gutherzigkeit. Der Betrüger bittet um Hilfe beim Kauf eines Produkts: Beispielsweise hat der Käufer gesundheitliche Probleme oder ist nicht in der Lage, das Produkt persönlich abzuholen. Der Betrüger fragt nach Kartendaten, um Geld zu überweisen, und die Ware soll angeblich von einem Kurier abgeholt werden.
5. Verschiedene Orte und Städte. In diesem Fall ist die Vorauszahlung eine zwingende Voraussetzung für die Transaktion, was Betrügern ein riesiges Betätigungsfeld eröffnet.

Schema der „Arbeit“ von Betrügern

An dem betrügerischen Plan sind drei Personengruppen beteiligt: ​​Arbeitnehmer, Support, TS.

Arbeiter, vom Wort Arbeiter, sind die größte Personengruppe, hauptsächlich Schüler und Studenten. Sie erstellen selbstständig Konten auf Avito und suchen nach Opfern, die Mammuts genannt werden. Anschließend überreden sie Opfer mithilfe von Social-Engineering-Fähigkeiten, für etwas zu bezahlen, und senden ihnen einen gefälschten Link. Wenn das Opfer für die „Ware“ bezahlt, besteht die Aufgabe der Arbeiter darin, das Opfer mit Hilfe der Unterstützung unter Berufung auf einen technischen Fehler auf eine Rückerstattung zu überweisen.

Support sind Leute, die für ein festes Einkommen neuen Mitarbeitern helfen, Benutzer zu täuschen. Sie geben Ratschläge, empfehlen „gewinnbringende“ Produkte und sind häufig bereit, für einen bestimmten Prozentsatz der betrügerischen Transaktion andere Dienstleistungen zu erbringen, beispielsweise die Erstellung eines Reisepasses in Photoshop, einen Anruf beim Opfer oder ein Schreiben an sie im Namen des technischen Supports.

TS, von Topic Starter auf Schattenforen, wo ursprünglich Arbeiter eingestellt wurden, sind im Wesentlichen Organisatoren. Sie laden Software herunter oder kaufen sie, die aus zwei Teilen besteht:

1. Telegram-Bot, das Hauptwerkzeug von Betrügern. Darin können Sie einen gefälschten Link zu einem Produkt erhalten und Benachrichtigungen über Klicks oder Zahlungen erhalten.
2. Webversion, die für die Anzeige der Zahlungs-/Rückgabe-/Quittungsseite verantwortlich ist. Daran ist auch ein Zahlungssystem zur Annahme von Zahlungen angeschlossen.

Die Organisatoren verdienen Geld mit einem Prozentsatz der Überweisung jedes Opfers, der als Gewinn bezeichnet wird. Deshalb versuchen sie, für ihr Projekt zu werben und die Ausbildung von Neuankömmlingen zu unterstützen. Sie tragen auch alle Kosten, die mit dem Kauf neuer Domains und Karten verbunden sind, für die das Geld kommt.

Nachdem wir uns die Quellcodes vieler Varianten betrügerischer Skripte angesehen hatten, kamen wir zu dem Schluss, dass die meisten davon in PHP geschrieben waren, allerdings auf einem sehr schlechten Niveau. Fast alle Skripte sammeln Informationen über ihre Benutzer, einschließlich der Arbeiter. Eine der Annahmen, warum sie dies tun, ist, dass, wenn Strafverfolgungsbehörden den Organisator kontaktieren, dieser bei den Ermittlungen kooperieren und versuchen wird, die Strafe so weit wie möglich zu reduzieren, indem er die Arbeiter offenlegt.

Zusätzlich zu Skripten verwenden Betrüger auch Bomber. Hierbei handelt es sich um Bots, die die Möglichkeit bieten, Ihr Telefon mit SMS und Anrufen zu überfluten. Bomber funktionieren folgendermaßen: Sie gehen zu verschiedenen Websites und fordern mithilfe einer Telefonnummer eine Registrierung oder Wiederherstellung des Passworts an. Normalerweise bringen Betrüger sie für 2–72 Stunden mit den Opfern in Verbindung. Und das ist ein wichtiger Grund, Ihre Telefonnummer nicht im Internet preiszugeben.

Einige TS beauftragen auch Entwickler, die Verbesserungen am Bot oder an der Website vornehmen. Sie verbessern beispielsweise die Arbeiterbewertung oder schützen Skripte vor Schwachstellen in kostenlosen Versionen. Im Streben nach schnellem Gewinn kann das Fahrzeug jedoch den gesamten Erlös für sich behalten und so seine eigenen Arbeiter täuschen. Gleichzeitig gibt es eine Gruppe von Leuten, die mit den Betrügern selbst Geld verdienen, indem sie sie zu verschiedenen Diensten verleiten.

Das durchschnittliche Tageseinkommen eines Betrügers-Vollstreckers beträgt 20 Rubel und das eines Betrüger-Organisators 000 Rubel. Das Wichtigste, woran man sich erinnern sollte: Trotz der offensichtlichen Straflosigkeit und den Vorteilen des „Geschäfts“ fallen alle diese Aktivitäten darunter gemäß Artikel 159 des Strafgesetzbuches der Russischen Föderation. Betrüger werden festgenommen und zu echten Strafen verurteilt, selbst wenn der Schaden durch Täuschung 5 bis 7 Rubel beträgt.

Wir übermitteln alle uns vorliegenden Informationen über Betrug an Strafverfolgungsbehörden. Wir sind davon überzeugt, dass unsere Leser trotz der scheinbaren Rentabilität und Einfachheit des Systems verstehen, dass nur engstirnige Menschen, die sich nicht aller Risiken bewusst sind, Betrug begehen.

Ein epischer Kampf zwischen Betrugsbekämpfung und Betrügern

Wir verraten Ihnen, welche Maßnahmen wir in den ersten Monaten des Jahres 2020 zum Schutz unserer Nutzer ergriffen haben und wie die Betrüger reagiert haben.

Die wichtigste Messgröße, auf die wir uns bei der Bewertung der Effektivität unserer Arbeit stützten, war die Anzahl der Supportanrufe, deren Zustellung vom Betrüger bezahlt wurde. Wir blockieren die meisten betrügerischen Anzeigen, bevor sie überhaupt auf die Website gelangen. Doch als fast der gesamte Handel online verlagert wurde, verzeichneten wir einen Anstieg der Anfragen. Diese Information wird auch von Banken bestätigt: Im April und Mai haben sie massiv vor der Zunahme von Betrug bei Online-Käufen gewarnt.

Um schnelles Feedback zu neuen Tools zu erhalten, hat eine Person aus unserem Team Dutzende geschlossene Betrügergruppen infiltriert. In einem von ihnen bestand er ein Vorstellungsgespräch als Entwickler, verschaffte sich Zugang zum Quellcode von Scam-Bots und gelangte auch in die Gruppe der Organisatoren. Dadurch hatten wir stets aktuelle Informationen aus erster Hand.

Wir waren uns der mit der beginnenden Selbstisolation verbundenen Risiken bewusst und begannen mit der Arbeit, bevor die Anfragen aktiv zunahmen. Eine der ersten technischen Maßnahmen war die Implementierung eines Anti-Hacks, um Benutzerkonten den Fängen von Angreifern zu entreißen. Wenn Login und Passwort korrekt eingegeben wurden, die Geolokalisierung jedoch verdächtig war, forderten wir dazu einen Code per SMS an, die an den Kontoinhaber gesendet wurde. Als Reaktion darauf begannen Betrüger, mehr unabhängige Konten zu registrieren. Das kommt uns zugute – neue Verkäuferkonten wecken bei allen weniger Vertrauen.

Als Nächstes haben wir damit begonnen, Benutzer davor zu warnen, verdächtigen Links im Messenger zu folgen. Also haben wir die Anzahl der Klicks um ein Drittel reduziert, was jedoch fast keine Auswirkungen auf unsere Hauptmetrik hatte: Wer von Betrügern getäuscht wurde, wurde durch keine Warnungen aufgehalten.

Als nächstes haben wir eine weiße Liste mit Links eingeführt. Wir haben aufgehört, unbekannte Links im Avito-Messenger hervorzuheben; Sie können ihnen nicht mehr mit einem Klick folgen. Beim Kopieren eines verdächtigen Links wurde außerdem eine Warnung angezeigt. Diese Entscheidung hatte erstmals positive Auswirkungen auf unsere Kennzahlen.

Wir haben damit begonnen, die Übertragung verdächtiger Links im Avito-Messenger aktiv zu bestrafen: Anzeigen des Verkäufers blockieren oder ablehnen. Als Reaktion darauf begannen Betrüger, Benutzer von unserem Chat auf Instant Messenger von Drittanbietern umzuleiten. Dann haben wir eine Warnung herausgegeben, nicht zu einem anderen Messenger zu wechseln, wenn dieser im Chat erwähnt wird. Diese Funktion begann mit einer Suche nach regulären Ausdrücken und wurde dann durch ein ML-Modell ersetzt.

Dann begannen Betrüger, Benutzer zu E-Mails zu verleiten. Dazu brauchten sie dasselbe, was wir alle brauchen: Vertrauen. Sie begannen, Bilder potenzieller Opfer zu versenden, auf denen Avito angeblich die E-Mail-Adresse des Käufers angefordert hatte. Dies ist ein Betrug – wir benötigen keine E-Mails der Käufer.

Hier antwortet unser Support angeblich, dass für die Lieferung die E-Mail des Käufers benötigt wird

Und hier in unserer Benutzeroberfläche scheint es ein neues Feld zur Eingabe von E-Mails zu geben

Wenn jemand anderes einen gefälschten Link erkennen kann, kann der Brief leicht gefälscht werden und ist vertrauenswürdiger. Wir haben damit begonnen, die E-Mail-Nachricht zu löschen und dem Benutzer eine Warnung vor den Gefahren einer solchen Aktion anzuzeigen. Wenn der Benutzer die E-Mail nach der Warnung erneut sendet, löschen wir sie nicht mehr.

Betrüger haben begonnen, Kunden aufzufordern, ihre E-Mail-Adresse in mehreren Nachrichten zu senden oder das @-Symbol durch etwas anderes zu ersetzen. Dann begannen wir, eine Warnung anzuzeigen, selbst wenn wir E-Mails anforderten. Der Komplex dieser Maßnahmen ermöglichte es, Benutzer fast vollständig daran zu hindern, den Avito-Messenger für E-Mails zu verlassen.

Unsere aktuellen Mechaniken sind recht effektiv, aber nicht benutzerfreundlich. Die E-Mail-Nachricht wird vollständig gelöscht und enthält häufig anderen Text. Aber es war die am schnellsten und kostengünstigste Lösung zu entwickeln. Wir denken darüber nach, wie wir es neu gestalten und verbessern können.

Eine unserer neuesten Initiativen ist das Wählen der Nummer. Typischerweise sind die Nummern, die Betrüger zur Registrierung von Konten verwenden, nicht lange haltbar. Wir rufen die Nummer des Verkäufers an, nachdem wir eine Anzeige bei Avito aufgegeben haben. Sollten Sie telefonisch nicht erreichbar sein, lehnt die Moderation die Anzeige ab. Die Betrüger begannen unmittelbar vor der Veröffentlichung damit, die Telefonnummer zu ändern, sodass wir anrufen konnten, solange sie noch verfügbar war.

Und hier ist das Feedback des Betrügers

In Verdachtsfällen senken wir die Priorität der Anzeige in den Suchergebnissen und entfernen sie aus den Empfehlungen. Gleichzeitig haben wir eine Verzögerung bei der Ausstellung von bis zu 48 Stunden festgelegt, um Zeit zu haben, alles sorgfältig zu prüfen und Betrügern etwas mehr Unannehmlichkeiten zu bereiten.

Dies ist nur die Spitze des Eisbergs, es gibt noch viele weitere Arten von Betrug.

Leider ist es unmöglich, alle Arten von Betrug in einem Artikel zu beschreiben. Als wir von der Einführung der Selbstisolationsregelung erfuhren, wurde sofort klar, dass Betrüger, die offline Geld verdienten, auch online davonlaufen würden. Sie werden ihre Verhaltensmuster einige Monate lang nicht ändern und gute Bürger werden wollen. Dies hat zu einem regelrechten Betrugsboom auf allen Online-Plattformen und per Telefon geführt.

Unter den Betrugsarten gibt es seltene und sogar lustige. Hier gibt sich der Betrüger beispielsweise als Roboter aus, um die Kommunikationskosten zu senken:

Trotz der Tatsache, dass es auf Avito jeden Tag immer weniger Betrüger gibt und im ganzen Land Razzien stattfinden, bei denen Strafverfolgungsbeamte sie trotz Proxys und VPNs finden, sie festnehmen und zu echten Haftstrafen von bis zu zwei Jahren führen Bei Täuschungen von 2 bis 2500 Rubel ist es unmöglich, den Betrug vollständig loszuwerden.

Wir werden nicht öffentlich über andere Ideen und Innovationen sprechen, um Betrügern die Arbeit nicht zu erleichtern. Wir verstehen, dass dieser Kampf weitergehen wird. Unsere Aufgabe ist es, Betrügern das Leben so schwer wie möglich zu machen, diese Art von Aktivität auf unserer Ressource einfach unrentabel und zu gefährlich zu machen und gleichzeitig guten Benutzern möglichst wenig Schaden zuzufügen.

Die Ergebnisse

Hier ist der Zeitplan für Supportanrufe bei Lieferbetrug. In den letzten Wochen blieb es auf einem konstant niedrigen Niveau:

So vermeiden Sie, Opfer eines Betrügers zu werden

Betrüger sind das Problem gewinnbringender Angebote. Um immer auf der sicheren Seite zu sein, befolgen Sie einfach diese Regeln:

1. Geben Sie keine sensiblen Daten weiter. Keine: vollständiger Name, Telefonnummer, Adresse, E-Mail, Geburtsdatum und -ort, Informationen zu Familie und Einkommen, Kartendetails, Kontakte in anderen Messengern. Verraten Sie niemals Codes aus SMS- und Push-Benachrichtigungen.
2. Führen Sie die gesamte Kommunikation nur innerhalb unseres Messengers durch, dann können wir Sie im Gefahrenfall warnen.
3. Überprüfen Sie die Bewertung und das Profilalter des Verkäufers. Der Verdacht wird durch niedrige Preise, ein aktuelles Registrierungsdatum auf der Website und negative Bewertungen geweckt.
4. Wenn der Button „Mit Lieferung kaufen“ inaktiv ist, erfolgt keine Warenlieferung über vertrauenswürdige Avito-Partner. Andere Versandmethoden sind immer ein Risiko.
5. Klicken Sie nicht auf Links. Der Link zum Bezahlen oder Empfangen von Geld sollte über eine Systemnachricht an den integrierten Avito-Messenger gesendet werden. Ein echter Link beginnt immer mit der Domain www.avito.ru. Jede andere Kombination von Wörtern und Symbolen ist Betrug.
6. Nehmen Sie sich Zeit und tätigen Sie alle Einkäufe nüchtern. Achten Sie auf jedes kleine Detail. Betrüger üben häufig Druck auf potenzielle Käufer aus und drohen damit, das Produkt an jemand anderen zu verkaufen. Ehrliche Verkäufer sind loyal und bereit für weitere Fragen.
7. Leisten Sie keine Vorauszahlung für Dienstleistungen, es sei denn, Sie vertrauen dem Verkäufer.
8. Installieren Sie keine Erweiterungen oder Programme von Drittanbietern.
9. Wenn Sie ein verdächtiges Profil oder eine verdächtige Anzeige sehen, schreiben Sie darüber in unserer Unterstützung. Wir prüfen den Verkäufer. Im Internet ist es besser, niemandem zu vertrauen und zusätzliche Kontrollen durchzuführen.

Source: habr.com