Kiel Avito identigas skamulojn kaj batalas fraŭdon

Saluton, Habr. Mi estas Igor, la gvidanto de teamo, kiu batalas kontraŭ skamantoj sur Avito. Hodiaŭ ni parolos pri la eterna batalo kun kanajloj, kiuj provas kaj eĉ foje trompas interretajn aĉetantojn per liverado de varoj.

Ni luktas kontraŭ fraŭdo delonge. La hodiaŭaj skamantoj trompas homojn imitante la interfacojn kaj funkciojn de interretaj komercaj platformoj. Ekzemple, ili elpensas kabalojn por kurierliverado sur vendoplacoj.

En januaro 2020 aperis en la Interreto pretaj instrukcioj por skamantoj kaj ĉiuj necesaj iloj. Tiam mem-izolado aldonis brulaĵon al la fajro: tiuj, kiuj antaŭe trompis kaj ŝtelis surstrate kaj en apartamentoj, estis devigitaj enretiĝi. Eble ĉi tiuj samaj "skamistoj" multe vokas vin lastatempe, skribante per tujmesaĝiloj, SMS kaj leteroj. Ili prezentas sin kiel dungitojn de bankoj kaj policaj agentejoj, malproksimaj parencoj aŭ notarioj. Skribu en la komentoj, kian fraŭdon vi renkontis la lastan fojon.

Normaj fraŭdaj skemoj

La plej ofta skemo por trompi aĉetanton per livero de varoj aspektas jene:

1. La skamisto publikigas reklamon kun populara produkto en la mezpreza kategorio. Ekzemple, kun la vendo de elektraj skoteroj - ili estas popularaj somere.
2. Iu ajn, li persvadas eblan aĉetanton por livero. La pretekstoj povas esti malsamaj: mi forlasis la urbon dum la pandemio aŭ mi estas tro okupata kaj ne povas veni al la kunveno.
3. Post ricevi konsenton, la skamisto sendas falsan pagan ligon. La ligita paĝo estas simila al la norma Avito-formularo.
4. La viktimo pagas por aĉetoj kaj adiaŭas la monon.
5. La skamisto provas gajni pli da mono proponante resendi la pagon. Li sendas al la aĉetanto novan formon por repago, sed fakte li denove ŝargas ilin. La revenpaĝo estas la sama pagopaĝo, sed la teksto sur la butono estis ŝanĝita de "pagi" al "reveno".

Malsupre estas ekzemplo de falsa paĝo, kiun skamisto povus sendi. La domajno imitas Avito, kaj la retejo mem similas al la pagpaĝo en reta butiko. Falsaj paĝoj ofte estas sur la https protokolo, kaj estas neeble distingi ilin per ĉi tiu funkcio. Post plenigi la datumojn, la uzanto estas kondukata al la menda pagopaĝo, kie li estas petita enigi siajn bankkartajn informojn.

Falsaj produktaj pago- kaj repago-paĝoj

Ni blokas suspektindajn vendistojn. Tial, por efektivigi tiajn operaciojn, skamantoj devas konstante krei novajn kontojn sur Avito. Ili aŭ mem registras ilin per SMS al provizora virtuala numero, aŭ aĉetas ŝtelitajn kontojn. Virtuala SIM-karto kostas de 60 kopekoj, la konto de iu alia sur la ombromerkato kostas de 10 rubloj. La kostoj de ambaŭ estas nekompareble malpli ol eĉ unufoja enspezo de trompado de uzantoj.

Estis Avito Scam 1.0, sed jam aperis versioj 2.0, 3.0 kaj eĉ 4.0. Ĉi tiuj ne estas niaj nomoj - ili estas uzataj de la skamantoj mem.

Ili trompas ne nur aĉetantojn, sed ankaŭ vendistojn. La dua diagramo aspektas jene:

1. La aĉetanto supozeble sendis la monon per sekura transakcio.
2. Li sendas al la vendisto falsan ligilon, kie li povas ricevi pagon.
3. La vendisto estas kondukita al paĝo, kiu petas siajn kartajn detalojn, kaj kiel rezulto, la kvanto estas ŝuldita de lia konto.

La skemo Scam 3.0 funkcias jene:

1. La vendisto publikigas reklamojn kun aktivigita livero per Avito.
2. Kiam la aĉetanto pagas por la varoj, la skamisto sendas al li ekrankopion, en kiu Avito supozeble petas konfirmkodon.
3. Uzante la kodon, la vendisto ensalutas en la konton de la uzanto. En la profilo de la aĉetanto, la skamisto kontrolas skatolon indikante, ke li ricevis la varojn. La aĉetanto restas sen mono kaj aĉeto.

Kaj la 4.0-skemo estas aranĝita jene:

1. La aĉetanto ŝajnigas esti paginta por la varoj kaj sendas falsan kvitancon. Kvitancoj estas senditaj ie ajn: retpoŝte aŭ per triaparta mesaĝisto. Dependas de kia kontakto donis la vendisto al la skamisto.
2. La vendisto ricevas SMS, kiu imitas translokigon de la banko.
3. Kelkajn minutojn poste, la aĉetanto skribas, ke produkto de alia vendisto pli taŭgas por li kaj petas repagon. La argumento "resendu ĝin, vi ne estas fraŭdulo" estas ofte uzata. La vendisto sendas la sumon al la aĉetanto, sed el sia propra poŝo, ĉar ne estis pago.

Por kio premas skamantoj?

La kvin plej popularaj kuntekstoj en kiuj homoj falas en la clugetojn de skamantoj:

1. Unika venda propono. La prezo aŭ produkto komparas favore kun aliaj ofertoj.
2. Ekscitiĝo. La vendisto havas plurajn homojn pretajn aĉeti la produkton, do li devigas antaŭpagon.
3. Urĝo. La aĉetanto proponas urĝe aĉeti la varojn kontraŭ iu ajn mono kaj petas ĉiujn informojn pri bankkarto por transdoni monon.
4. Bonkoreco. La skamisto petas helpon por aĉeti produkton: ekzemple, la aĉetanto havas sanproblemojn aŭ ne kapablas persone repreni la produkton. La fraŭdisto petas kartdetalojn por transdoni monon, kaj la varoj supozeble estos prenitaj de kuriero.
5. Diversaj lokoj kaj urboj. En ĉi tiu kazo, antaŭpago estas deviga kondiĉo de la transakcio, kaj ĉi tio malfermas grandegan agadkampon por fraŭdantoj.

Skemo de "laboro" de skamantoj

Tri grupoj de homoj estas implikitaj en la fraŭda skemo: laboristoj, subteno, TS.

Laboristoj, el la vorto laboristo, estas la plej granda grupo de homoj, ĉefe lernejanoj kaj studentoj. Ili sendepende kreas kontojn pri Avito kaj serĉas viktimojn, kiuj estas nomitaj mamutoj. Tiam, uzante sociajn inĝenierajn kapablojn, ili konvinkas viktimojn pagi por io kaj sendi al ili falsan ligon. Se la viktimo pagas por la "varoj", tiam la tasko de la laboristoj, helpe de subteno, estas transdoni la viktimon al repago, citante ian teknikan eraron.

Subteno estas homoj, kiuj, por fiksa enspezo, helpas al novulaj laboristoj trompi uzantojn. Ili donas konsilojn, rekomendas "profitajn" produktojn, kaj ofte pretas provizi aliajn servojn por certa procento de la fraŭda transakcio, ekzemple, prepari pasporton en Photoshop, voki la viktimon, skribi al ŝi nome de teknika subteno.

TS, de Topic Starter sur ombraj forumoj, kie laboristoj estis komence dungitaj, esence estas organizantoj. Ili elŝutas aŭ aĉetas programaron, kiu konsistas el du partoj:

1. Telegram-bot, kiu estas la ĉefa ilo de skamantoj. En ĝi vi povas ricevi falsan ligon al produkto, ricevi sciigojn pri klakoj aŭ pagoj.
2. Reta versio, kiu respondecas pri montrado de la paĝo de pago/reveno/kvitanco. Pagsistemo por akcepti pagojn ankaŭ estas ligita al ĝi.

La organizantoj gajnas monon el procento de la transdono de ĉiu viktimo, kiu nomiĝas profito. Tial ili provas reklami sian projekton kaj pagi subtenon por trejni novulojn. Ili ankaŭ portas ĉiujn kostojn asociitajn kun la aĉeto de novaj domajnoj kaj kartoj, por kiuj venas la mono.

Post rigardi la fontkodojn de multaj variantoj de fraŭdaj skriptoj, ni alvenis al la konkludo, ke la plej multaj el ili estis skribitaj en PHP, sed je tre malbona nivelo. Preskaŭ ĉiuj skriptoj kolektas informojn pri siaj uzantoj, inkluzive de laboristoj. Unu el la supozoj, kial ili faras tion, estas ke kiam policaj agentejoj kontaktos la organizanton, li kunlaboros kun la enketo kaj provos redukti la punon kiel eble plej multe malkaŝante la laboristojn.

Krom skriptoj, skamantoj uzas bombistojn. Ĉi tiuj estas robotoj, kiuj donas la ŝancon spami vian telefonon per SMS kaj vokoj. Bombistoj funkcias tiel: ili iras al malsamaj retejoj kaj petas registriĝon aŭ pasvortan reakiron uzante telefonnumeron. Kutime skamistoj ligas ilin al viktimoj dum 2-72 horoj. Kaj ĉi tio estas grava kialo por ne montri vian telefonnumeron en la interreto.

Iuj TS ankaŭ dungas programistojn, kiuj faras plibonigojn por la bot aŭ retejo. Ekzemple, ili plibonigas laboristajn taksojn aŭ protektas skriptojn de vundeblecoj trovitaj en senpagaj versioj. Tamen, serĉante rapidajn profitojn, la veturilo povas preni ĉiujn enspezojn por si, trompante siajn proprajn laboristojn. Samtempe, estas grupo da uloj, kiuj gajnas monon de la skamantoj mem, trompante ilin en diversajn servojn.

La meza ĉiutaga enspezo de trompisto-ekzekutanto estas 20 000 rubloj, kaj tiu de fraŭd-organizanto estas 200 000 rubloj. La ĉefa afero por memori: malgraŭ la ŝajna senpuneco kaj avantaĝoj de "komerco", ĉio ĉi tiu aktiveco falas sub sub Artikolo 159 de la Kriminala Kodo de la Rusa Federacio. Fraŭduloj estas detenitaj kaj donitaj realaj frazoj eĉ en kazoj kie la damaĝo de trompo sumiĝas al 5-7 mil rubloj.

Ni transdonas ĉiujn informojn, kiujn ni havas pri fraŭdo, al policaj agentejoj. Ni estas konvinkitaj, ke malgraŭ la ŝajna profiteco kaj facileco de la skemo, niaj legantoj komprenas, ke nur malvastmensaj homoj, kiuj ne rimarkas ĉiujn riskojn, okupiĝas pri fraŭdo.

Epopea batalo inter kontraŭfraŭdo kaj skamantoj

Ni rakontos al vi kiajn paŝojn ni faris en la unuaj monatoj de 2020 por protekti niajn uzantojn, kaj kiel la skamantoj respondis.

La ĉefa metriko, sur kiu ni fidis por taksi la efikecon de nia laboro, estis la nombro da subtenaj vokoj kun livero pagita de la skamisto. Ni blokas la plej multajn fraŭdajn reklamojn antaŭ ol ili eĉ atingas la retejon. Sed kiam preskaŭ ĉiuj komercoj moviĝis interrete, ni registris kreskon de petoj. Ĉi tiuj informoj ankaŭ estas konfirmitaj de bankoj: en aprilo kaj majo ili sendis amasajn avertojn pri la kresko de fraŭdo en interretaj aĉetoj.

Por ricevi rapidajn komentojn pri novaj iloj, persono de nia teamo enfiltris dekojn da fermitaj grupoj de skamantoj. En unu el ili, li pasis intervjuon kiel programisto kaj akiris aliron al la fontkodo de fraŭdaj robotoj, kaj ankaŭ eniris la grupon de organizantoj. Dank' al tio, ni ĉiam havis freŝajn, unuamanajn informojn.

Komprenante la riskojn pro la komenco de mem-izolado, ni komencis labori antaŭ la aktiva pliiĝo de petoj. Unu el la unuaj teknikaj mezuroj estis la efektivigo de kontraŭ-hako por elpreni uzantkontojn el la cluĉes de atakantoj. Por fari tion, se la salutnomo kaj pasvorto estis ĝuste enmetitaj, sed la geolokigo estis suspektinda, ni petis kodon de SMS, kiu estis sendita al la posedanto de la konto. En respondo, skamantoj komencis registri pli sendependajn kontojn. Ĉi tio funkcias al nia avantaĝo - freŝaj vendistaj kontoj inspiras malpli da konfido al ĉiuj.

Poste, ni komencis averti uzantojn pri sekvado de suspektindaj ligiloj en la mesaĝisto. Do ni reduktis la nombron da klakoj je triono, sed ĉi tio preskaŭ ne efikis sur nia ĉefa metriko: tiuj, kiuj estis trompitaj de skamantoj, ne estis haltigitaj de iuj avertoj.

Poste ni enkondukis blankan liston de ligiloj. Ni ĉesis reliefigi nekonatajn ligilojn en la Avito-mesaĝo; vi ne plu povas sekvi ilin per unu klako. Kiam oni kopiis suspektindan ligilon, ankaŭ montriĝis averto. Ĉi tiu decido havis pozitivan efikon al niaj metrikoj unuafoje.

Ni komencis aktive puni por transdono de suspektindaj ligiloj en la mesaĝisto Avito: bloki aŭ malakcepti la reklamojn de la vendisto. Responde, skamistoj komencis deturni uzantojn de nia babilejo al triaj tujmesaĝiloj. Tiam ni eligis averton ne ŝanĝi al alia mesaĝisto se vi vidas ĝin menciita en la babilejo. Ĉi tiu funkcio komenciĝis per regula esprimo serĉo, tiam ni anstataŭigis ĝin per ML-modelo.

Tiam skamantoj komencis trompi uzantojn en retpoŝton. Por fari tion, ili bezonis la samon, kiun ni ĉiuj bezonas: fidon. Ili komencis sendi bildojn al eblaj viktimoj, kie Avito supozeble petis la retpoŝton de la aĉetanto. Ĉi tio estas fraŭdo - ni ne bezonas retpoŝtojn de aĉetantoj.

Ĉi tie nia subteno supozeble respondas, ke la retpoŝto de la aĉetanto estas necesa por livero

Kaj ĉi tie en nia interfaco ŝajnas esti nova kampo por enigi retpoŝton

Se iu alia povus distingi falsan ligilon, tiam la letero povas esti facile falsita kaj estas pli fidinda. Ni komencis forigi la retmesaĝon kaj montri al la uzanto averton pri la danĝeroj de tia ago. Se post la averto la uzanto denove sendas la retmesaĝon, ni ne plu forigas ĝin.

Fraŭdistoj komencis peti klientojn sendi sian retadreson en pluraj mesaĝoj aŭ kun la simbolo @ anstataŭigita per io alia. Tiam ni komencis montri averton eĉ dum petado de poŝto. La komplekso de ĉi tiuj mezuroj ebligis preskaŭ tute malhelpi uzantojn forlasi la Avito-mesaĝon por poŝto.

Niaj nunaj mekanikoj estas sufiĉe efikaj, sed ne uzeblaj. La retpoŝta mesaĝo estas tute forigita, kaj ofte enhavas alian tekston. Sed ĝi estis la plej rapida kaj plej malmultekosta solvo por disvolvi. Ni pensas pri kiel refari kaj plibonigi ĝin.

Unu el niaj plej novaj iniciatoj estas marki la numeron. Tipe, la nombroj kiujn skamantoj uzas por registri kontojn ne daŭras longe. Ni vokas la numeron de la vendisto post sendado de reklamo pri Avito. Se vi ne povas trairi telefone, moderigo malakceptos la reklamon. La skamantoj komencis ŝanĝi la telefonnumeron tuj antaŭ la publikigo, por ke ni povu telefoni dum ĝi ankoraŭ estis disponebla.

Kaj jen la komentoj de la skamisto

En suspektindaj kazoj, ni malaltigas la prioritaton de la anonco en la serĉrezultoj kaj forigas ĝin de rekomendoj. Samtempe ni fiksas prokraston en elsendo ĝis 48 horoj por garantii tempon por zorge kontroli ĉion kaj kaŭzi iom pli da ĝeno al skamantoj.

Ĉi tio estas nur la pinto de la glacimonto, ekzistas multaj pli da specoj de fraŭdo.

Bedaŭrinde, estas neeble priskribi ĉiujn specojn de fraŭdo en unu artikolo. Kiam ni eksciis pri la enkonduko de la mem-izolita reĝimo, tuj evidentiĝis, ke skamantoj, kiuj gajnis monon eksterrete, kuros interrete. Ili ne volos ŝanĝi siajn kondutpadronojn dum kelkaj monatoj kaj fariĝi bonaj civitanoj. Ĉi tio kondukis al vera eksplodo de fraŭdo en ĉiuj interretaj platformoj kaj telefone.

Inter la specoj de fraŭdo, estas maloftaj kaj eĉ amuzaj. Ekzemple, ĉi tie la skamisto ŝajnigas esti roboto por redukti komunikajn kostojn:

Malgraŭ tio, ke ĉiutage estas pli kaj malpli da skamantoj sur Avito, kaj atakoj okazas tra la tuta lando, kie policanoj trovas ilin, malgraŭ prokuriloj kaj VPN-oj, detenas ilin kaj kondukas al realaj punoj de ĝis 2 jaroj da malliberejo pro trompoj de 2500 -5000 rubloj, estas neeble tute forigi fraŭdon.

Ni ne publike parolos pri aliaj ideoj kaj novigoj, por ne faciligi la laboron de skamantoj. Ni komprenas, ke ĉi tiu batalo daŭros. Nia tasko estas fari la vivon kiel eble plej malfacila por skamantoj, fari ĉi tiun tipon de agado sur nia rimedo simple neprofita kaj tro danĝera, dum minimume vundante bonajn uzantojn.

Rezultoj de laboro

Jen la templinio por liveraj fraŭdaj subtenovokoj. En la lastaj semajnoj ĝi restis sur konstante malalta nivelo:

Kiel eviti fariĝi viktimo de skamisto

Fraŭduloj estas la muŝo en la ŝmiraĵo de profitaj ofertoj. Por ĉiam resti sekura, simple sekvu ĉi tiujn regulojn:

1. Ne dividu sentemajn datumojn. Neniu: plena nomo, telefonnumero, adreso, retpoŝto, dato kaj loko de naskiĝo, informoj pri familio kaj enspezo, kartodetaloj, kontaktoj en aliaj mesaĝistoj. Neniam diru kodojn de SMS kaj puŝaj sciigoj.
2. Konduku ĉian komunikadon nur ene de nia mesaĝisto, tiam ni povos averti vin en kazo de danĝero.
3. Kontrolu la taksadon de la vendisto kaj profilaĝon. Suspekto estas levita de malaltaj prezoj, lastatempa dato de registrado en la retejo kaj negativaj recenzoj.
4. Se la butono "Aĉetu per livero" estas neaktiva, ne estas livero de varoj per fidindaj Avito-partneroj. Aliaj liveraj metodoj ĉiam estas risko.
5. Ne alklaku ligilojn. La ligilo por pagi aŭ ricevi monon devus esti sendita al la enkonstruita Avito-mesaĝo per sistema mesaĝo. Vera ligilo ĉiam komenciĝas per la domajno www.avito.ru. Ajna alia kombinaĵo de vortoj kaj simboloj estas fraŭdo.
6. Prenu vian tempon kaj faru ĉiujn aĉetojn sobraj. Estu atenta pri ĉiu eta detalo. Fraŭdantoj ofte premas eblajn aĉetantojn kaj minacas vendi la produkton al iu alia. Honestaj vendistoj estas lojalaj kaj pretaj por pliaj demandoj.
7. Ne faru antaŭpagon por iuj servoj krom se vi estas certa pri la vendisto.
8. Ne instalu iujn ajn triajn etendaĵojn aŭ programojn.
9. Se vi vidas suspektindan profilon aŭ reklamon, skribu pri ĝi en nia subteno. Ni kontrolos la vendiston. En Interreto estas pli bone ne fidi iun ajn kaj fari pliajn kontrolojn.

fonto: www.habr.com