Cómo Avito identifica a los estafadores y lucha contra el fraude

Hola Habr. Soy Igor, el líder del equipo que lucha contra los estafadores en Avito. Hoy hablaremos de la eterna batalla con los sinvergüenzas que intentan, e incluso a veces engañan, a los compradores online mediante la entrega de productos.

Llevamos mucho tiempo luchando contra el fraude. Los estafadores de hoy engañan a las personas imitando las interfaces y funciones de las plataformas comerciales en línea. Por ejemplo, en los mercados se les ocurren planes de entrega por mensajería.

En enero de 2020, aparecieron en Internet instrucciones preparadas para estafadores y todas las herramientas necesarias. Luego el autoaislamiento añadió más leña al fuego: aquellos que antes habían estafado y robado en las calles y en los apartamentos se vieron obligados a conectarse a Internet. Quizás estos mismos "estafadores" te hayan estado llamando mucho últimamente, escribiéndote por mensajería instantánea, SMS y cartas. Se presentan como empleados de bancos y fuerzas del orden, parientes lejanos o notarios. Escriba en los comentarios qué tipo de fraude encontró la última vez.

Esquemas de fraude estándar

El esquema más común para engañar a un comprador con la entrega de bienes es el siguiente:

1. El estafador publica un anuncio con un producto popular en la categoría de precio medio. Por ejemplo, con la venta de scooters eléctricos, son populares en verano.
2. Por cualquier medio convence a un comprador potencial para la entrega. Los pretextos pueden ser diferentes: salí de la ciudad durante la pandemia o simplemente estoy demasiado ocupado y no puedo venir a la reunión.
3. Tras recibir el consentimiento, el estafador envía un enlace de pago falso. La página vinculada es similar al formulario estándar de Avito.
4. La víctima paga las compras y se despide del dinero.
5. El estafador intenta ganar más dinero ofreciendo devolver el pago. Le envía al comprador un nuevo formulario para solicitar un reembolso, pero en realidad le vuelve a cobrar. La página de devolución es la misma página de pago, pero el texto del botón se ha cambiado de "pagar" a "devolver".

A continuación se muestra un ejemplo de una página falsa que podría enviar un estafador. El dominio imita a Avito y el sitio en sí es similar a la página de pago de una tienda en línea. Las páginas falsas suelen estar basadas en el protocolo https y es imposible distinguirlas por esta característica. Después de completar los datos, el usuario accede a la página de pago del pedido, donde se le solicita que ingrese los datos de su tarjeta bancaria.

Páginas falsas de pago y reembolso de productos

Bloqueamos vendedores sospechosos. Por lo tanto, para poder realizar este tipo de operaciones, los estafadores necesitan crear constantemente nuevas cuentas en Avito. Los registran ellos mismos mediante SMS a un número virtual temporal o compran cuentas robadas. Una tarjeta SIM virtual cuesta desde 60 kopeks, la cuenta de otra persona en el mercado paralelo cuesta desde 10 rublos. Los costos de ambos son incomparablemente menores que incluso los ingresos únicos provenientes de engañar a los usuarios.

Era Avito Scam 1.0, pero ya han aparecido las versiones 2.0, 3.0 e incluso 4.0. Estas no son nuestras designaciones, las utilizan los propios estafadores.

Engañan no sólo a los compradores, sino también a los vendedores. El segundo diagrama se ve así:

1. El comprador supuestamente envió el dinero mediante una transacción segura.
2. Le envía al vendedor un enlace falso donde puede recibir el pago.
3. El vendedor accede a una página que le solicita los datos de su tarjeta y, como resultado, el importe se debita de su cuenta.

El esquema Scam 3.0 funciona así:

1. El vendedor publica anuncios con entrega activada a través de Avito.
2. Cuando el comprador paga la mercancía, el estafador le envía una captura de pantalla en la que Avito supuestamente solicita un código de confirmación.
3. Usando el código, el vendedor inicia sesión en la cuenta del usuario. En el perfil del comprador, el estafador marca una casilla que indica que recibió la mercancía. El comprador se queda sin dinero ni compra.

Y el esquema 4.0 queda organizado de la siguiente manera:

1. El comprador finge haber pagado la mercancía y envía un recibo falso. Los recibos se envían a cualquier lugar: por correo electrónico o mediante un mensajero externo. Depende del contacto que el vendedor le haya dado al estafador.
2. El vendedor recibe un SMS que simula una transferencia del banco.
3. Unos minutos más tarde, el comprador escribe que un producto de otro vendedor le vendría mejor y solicita un reembolso. Se suele utilizar el argumento “devuélvelo, no eres un estafador”. El vendedor envía el importe al comprador, pero de su propio bolsillo, porque no hubo pago.

¿Para qué presionan los estafadores?

Los cinco contextos más populares en los que las personas caen en las garras de los estafadores:

1. Propuesta única de venta. El precio o producto se compara favorablemente con otras ofertas.
2. Excitación. El vendedor tiene varias personas dispuestas a comprar el producto, por lo que obliga a un pago por adelantado.
3. Urgencia. El comprador se ofrece a comprar la mercancía urgentemente por cualquier dinero y solicita todos los datos de la tarjeta bancaria para poder transferir el dinero.
4. Buen corazón. El estafador pide ayuda para comprar un producto: por ejemplo, el comprador tiene problemas de salud o no puede recoger personalmente el producto. El estafador solicita los datos de la tarjeta para transferir dinero y supuestamente un mensajero recogerá la mercancía.
5. Varias localidades y ciudades. En este caso, el pago anticipado es una condición obligatoria para la transacción, lo que abre un enorme campo de actividad para los estafadores.

Esquema de "trabajo" de los estafadores

En el esquema fraudulento están involucrados tres grupos de personas: trabajadores, apoyo, TS.

Los trabajadores, de la palabra trabajador, son el grupo más numeroso de personas, principalmente escolares y estudiantes. Crean cuentas en Avito de forma independiente y buscan víctimas, a las que llaman mamuts. Luego, utilizando habilidades de ingeniería social, convencen a las víctimas de que paguen por algo y les envían un enlace falso. Si la víctima paga por los "bienes", entonces la tarea de los trabajadores, con la ayuda de apoyo, es transferir a la víctima al reembolso, citando algún tipo de error técnico.

Los soporte son personas que, por un ingreso fijo, ayudan a los trabajadores novatos a engañar a los usuarios. Dan consejos, recomiendan productos "rentables" y, a menudo, están dispuestos a proporcionar otros servicios por un cierto porcentaje de la transacción fraudulenta, por ejemplo, preparar un pasaporte en Photoshop, llamar a la víctima o escribirle en nombre del soporte técnico.

TS, de Topic Starter en foros paralelos, donde inicialmente se contrataron trabajadores, son esencialmente organizadores. Descargan o compran software, que consta de dos partes:

1. Bot de Telegram, que es la principal herramienta de los estafadores. En él puede obtener un enlace falso a un producto, recibir notificaciones sobre clics o pagos.
2. Versión web, que se encarga de mostrar la página de pago/devolución/recibo. También está conectado a él un sistema de pago para aceptar pagos.

Los organizadores ganan dinero con un porcentaje de la transferencia de cada víctima, lo que se denomina beneficio. Por eso, intentan publicitar su proyecto y pagar apoyo para formar a los recién llegados. También corren con todos los costes asociados a la compra de nuevos dominios y tarjetas por las que procede el dinero.

Después de examinar los códigos fuente de muchas variantes de scripts fraudulentos, llegamos a la conclusión de que la mayoría de ellos estaban escritos en PHP, pero en un nivel muy pobre. Casi todos los scripts recopilan información sobre sus usuarios, incluidos los trabajadores. Una de las suposiciones por las que hacen esto es que cuando las fuerzas del orden contacten al organizador, este cooperará con la investigación e intentará reducir el castigo tanto como sea posible revelando a los trabajadores.

Además de los guiones, los estafadores utilizan bombarderos. Estos son robots que brindan la oportunidad de enviar spam a su teléfono con SMS y llamadas. Los bombarderos funcionan así: van a diferentes sitios y solicitan el registro o la recuperación de la contraseña mediante un número de teléfono. Por lo general, los estafadores los conectan con las víctimas durante 2 a 72 horas. Y esta es una razón importante para no mostrar su número de teléfono en Internet.

Algunos TS también contratan desarrolladores que realizan mejoras para el bot o el sitio web. Por ejemplo, mejoran las calificaciones de los trabajadores o protegen los scripts de las vulnerabilidades encontradas en las versiones gratuitas. Sin embargo, en busca de ganancias rápidas, el vehículo puede quedarse con todos los beneficios, engañando a sus propios trabajadores. Al mismo tiempo, hay un grupo de tipos que ganan dinero con los propios estafadores, engañándolos para que accedan a diversos servicios.

El ingreso diario promedio de un estafador-ejecutor es de 20 rublos, y el de un estafador-organizador es de 000 rublos. Lo principal que hay que recordar: a pesar de la aparente impunidad y los beneficios de los "negocios", toda esta actividad se incluye en virtud del artículo 159 del Código Penal de la Federación de Rusia. Los estafadores son detenidos y condenados a penas reales incluso en los casos en que el daño causado por el engaño asciende a entre 5 y 7 mil rublos.

Transferimos toda la información que tenemos sobre fraude a las fuerzas del orden. Estamos convencidos de que, a pesar de la aparente rentabilidad y facilidad del plan, nuestros lectores comprenden que sólo las personas de mente estrecha que no son conscientes de todos los riesgos cometen fraude.

Una batalla épica entre antifraude y estafadores

Le diremos qué medidas tomamos en los primeros meses de 2020 para proteger a nuestros usuarios y cómo respondieron los estafadores.

La principal métrica en la que nos basamos para evaluar la efectividad de nuestro trabajo fue la cantidad de llamadas de soporte con entrega pagada por el estafador. Bloqueamos la mayoría de los anuncios fraudulentos incluso antes de que lleguen al sitio. Pero cuando casi todo el comercio se realizó en línea, registramos un aumento en las solicitudes. Esta información también la confirman los bancos: en abril y mayo enviaron alertas masivas sobre el crecimiento del fraude en las compras online.

Para recibir comentarios rápidos sobre nuevas herramientas, una persona de nuestro equipo se infiltró en decenas de grupos cerrados de estafadores. En uno de ellos, pasó una entrevista como desarrollador y obtuvo acceso al código fuente de los estafadores, y también se unió al grupo de organizadores. Gracias a esto, siempre tuvimos información fresca y de primera mano.

Entendiendo los riesgos derivados del inicio del autoaislamiento, comenzamos a trabajar ante el aumento activo de las solicitudes. Una de las primeras medidas técnicas fue la implementación de un anti-hack para arrebatar cuentas de usuario de las garras de los atacantes. Para ello, si se introdujeron correctamente el login y la contraseña, pero la geolocalización era sospechosa, solicitamos un código a través de un SMS que se envió al titular de la cuenta. En respuesta, los estafadores comenzaron a registrar más cuentas independientes. Esto nos beneficia: las cuentas de vendedores nuevas inspiran menos confianza en todos.

A continuación, comenzamos a advertir a los usuarios sobre seguir enlaces sospechosos en Messenger. Así que redujimos el número de clics a un tercio, pero esto casi no tuvo ningún efecto en nuestra métrica principal: aquellos que fueron engañados por los estafadores no fueron detenidos por ninguna advertencia.

A continuación presentamos una lista blanca de enlaces. Hemos dejado de resaltar enlaces desconocidos en Avito Messenger, ya no puedes seguirlos con un solo clic. Al copiar un enlace sospechoso también se mostraba una advertencia. Esta decisión tuvo por primera vez un impacto positivo en nuestras métricas.

Comenzamos a castigar activamente por la transmisión de enlaces sospechosos en el Messenger Avito: bloquear o rechazar los anuncios del vendedor. En respuesta, los estafadores comenzaron a desviar a los usuarios de nuestro chat a mensajería instantánea de terceros. Luego emitimos una advertencia para que no cambie a otro mensajero si lo ve mencionado en el chat. Esta función comenzó con una búsqueda de expresión regular y luego la reemplazamos con un modelo ML.

Luego, los estafadores comenzaron a engañar a los usuarios para que enviaran correos electrónicos. Para ello, necesitaban lo mismo que todos necesitamos: confianza. Comenzaron a enviar imágenes de víctimas potenciales donde Avito supuestamente solicitaba el correo electrónico del comprador. Esto es una estafa: no necesitamos los correos electrónicos de los compradores.

Aquí nuestro soporte supuestamente responde que se necesita el correo electrónico del comprador para la entrega.

Y aquí en nuestra interfaz parece haber un nuevo campo para ingresar el correo electrónico.

Si alguien más pudiera distinguir un enlace falso, entonces la carta se puede falsificar fácilmente y es más confiable. Comenzamos eliminando el mensaje de correo electrónico y mostrándole al usuario una advertencia sobre los peligros de tal acción. Si después del aviso el usuario vuelve a enviar el correo electrónico, ya no lo eliminamos.

Los estafadores han comenzado a pedir a los clientes que envíen su dirección de correo electrónico en varios mensajes o reemplazando el símbolo @ por otra cosa. Luego comenzamos a mostrar una advertencia incluso al solicitar correo. El conjunto de estas medidas permitió evitar casi por completo que los usuarios abandonaran Avito Messenger para recibir correo.

Nuestras mecánicas actuales son bastante efectivas, pero no fáciles de usar. El mensaje de correo electrónico se elimina por completo y, a menudo, contiene otro texto. Pero fue la solución más rápida y barata de desarrollar. Estamos pensando en cómo rehacerlo y mejorarlo.

Una de nuestras últimas iniciativas es marcar el número. Normalmente, los números que utilizan los estafadores para registrar cuentas no duran mucho. Llamamos al número del vendedor después de enviar un anuncio en Avito. Si no puede comunicarse por teléfono, la moderación rechazará el anuncio. Los estafadores comenzaron a cambiar el número de teléfono inmediatamente antes de la publicación para que pudiéramos llamar mientras aún estaba disponible.

Y aquí están los comentarios del estafador.

En casos sospechosos, reducimos la prioridad del anuncio en los resultados de búsqueda y lo eliminamos de las recomendaciones. Al mismo tiempo, establecemos un retraso en la emisión de hasta 48 horas para garantizar tiempo para verificar todo cuidadosamente y causar un poco más de molestias a los estafadores.

Esto es sólo la punta del iceberg, existen muchos más tipos de fraude.

Desafortunadamente, es imposible describir todos los tipos de fraude en un solo artículo. Cuando nos enteramos de la introducción del régimen de autoaislamiento, inmediatamente quedó claro que los estafadores que ganaban dinero fuera de línea se ejecutarían en línea. No querrán cambiar sus patrones de comportamiento hasta dentro de unos meses y convertirse en buenos ciudadanos. Esto ha provocado un auténtico boom del fraude en todas las plataformas online y por teléfono.

Entre los tipos de fraude, los hay raros e incluso divertidos. Por ejemplo, aquí el estafador se hace pasar por un robot para reducir los costes de comunicación:

A pesar de que cada día hay menos estafadores en Avito y se están realizando redadas en todo el país, donde los agentes del orden los encuentran, a pesar de los proxy y las VPN, los detienen y les imponen sentencias reales de hasta 2 años de prisión por engaños de 2500 -5000 rublos, es imposible deshacerse por completo del fraude.

No hablaremos públicamente de otras ideas e innovaciones para no facilitar el trabajo de los estafadores. Entendemos que esta batalla continuará. Nuestra tarea es hacer la vida lo más difícil posible a los estafadores, hacer que este tipo de actividad en nuestro recurso simplemente no sea rentable y demasiado peligrosa, perjudicando mínimamente a los buenos usuarios.

los resultados

Este es el cronograma de llamadas de soporte por fraude en entregas. En las últimas semanas se ha mantenido en un nivel constantemente bajo:

Cómo evitar ser víctima de un estafador

Los estafadores son la mosca en el ungüento de las ofertas rentables. Para mantenerse siempre seguro, simplemente siga estas reglas:

1. No comparta datos confidenciales. Ninguno: nombre completo, número de teléfono, dirección, correo electrónico, fecha y lugar de nacimiento, información sobre familia e ingresos, datos de tarjetas, contactos en otros mensajeros. Nunca digas códigos de SMS y notificaciones push.
2. Realice todas las comunicaciones solo dentro de nuestro mensajero, entonces podremos advertirle en caso de peligro.
3. Verifique la calificación del vendedor y la edad del perfil. Las sospechas surgen de los bajos precios, la reciente fecha de registro en el sitio y las críticas negativas.
4. Si el botón "Comprar con entrega" está inactivo, no se realizan entregas de productos a través de socios confiables de Avito. Otros métodos de entrega siempre son un riesgo.
5. No hagas clic en enlaces. El enlace para pagar o recibir dinero debe enviarse al mensajero Avito integrado a través de un mensaje del sistema. Un enlace real siempre comienza con el dominio www.avito.ru. Cualquier otra combinación de palabras y símbolos es fraude.
6. Tómate tu tiempo y haz todas las compras sobrias. Esté atento a cada pequeño detalle. Los estafadores a menudo presionan a los compradores potenciales y amenazan con vender el producto a otra persona. Los vendedores honestos son leales y están listos para recibir preguntas adicionales.
7. No realice pagos por adelantado por ningún servicio a menos que tenga confianza en el vendedor.
8. No instale ninguna extensión o programa de terceros.
9. Si ves un perfil o anuncio sospechoso, escríbelo en nuestro apoyo. Comprobaremos al vendedor. En Internet es mejor no confiar en nadie y hacer comprobaciones adicionales.

Fuente: habr.com