Como Avito identifica aos estafadores e loita contra a fraude

Ola, Habr. Son Igor, o líder dun equipo que loita contra os estafadores en Avito. Hoxe falaremos da eterna batalla cos canallas que tentan e mesmo ás veces enganan aos compradores en liña mediante a entrega de mercadorías.

Levamos moito tempo loitando contra a fraude. Os estafadores actuais enganan á xente imitando as interfaces e funcións das plataformas de negociación en liña. Por exemplo, veñen con esquemas para a entrega de mensaxería nos mercados.

En xaneiro de 2020, apareceron en Internet instrucións preparadas para estafadores e todas as ferramentas necesarias. Entón o autoillamento engade leña ao lume: os que previamente enganaron e roubaran nas rúas e nos pisos víronse obrigados a conectarse. É posible que ultimamente tamén esteas recibindo moitas chamadas, mensaxes, mensaxes de texto e cartas deses mesmos "estafadores". Preséntanse como empregados de bancos e axencias policiais, parentes afastados ou notarios. Escribe nos comentarios que tipo de fraude atopaches a última vez.

Esquemas estándar de fraude

O esquema máis común para enganar a un comprador coa entrega de mercadorías é o seguinte:

1. O estafador publica un anuncio cun produto popular na categoría de prezo medio. Por exemplo, coa venda de scooters eléctricos - son populares no verán.
2. De calquera xeito, convence ao comprador potencial para que entregue. As preposicións poden ser diferentes: deixei a cidade durante a pandemia ou estou demasiado ocupado e non podo vir á reunión.
3. Despois de recibir o consentimento, o estafador envía unha ligazón de pago falsa. A páxina ligada é semellante ao formulario estándar de Avito.
4. A vítima paga as compras e despídese do diñeiro.
5. O estafador está tentando gañar máis diñeiro ofrecendo devolver o pago. Envía ao comprador un novo formulario para o reembolso, pero en realidade cóbralles de novo. A páxina de devolución é a mesma páxina de pago, pero o texto do botón cambiou de "pagar" a "devolver".

A continuación móstrase un exemplo de páxina falsa que un estafador pode enviar. O dominio imita a Avito e o sitio en si é semellante á páxina de pago dunha tenda en liña. As páxinas falsas adoitan estar no protocolo https, e é imposible distinguilos en función desta función. Despois de cubrir os datos, o usuario pasa á páxina de pago do pedido, onde se lle solicita que introduza a información da súa tarxeta bancaria.

Páxinas de pago e reembolso de produtos falsos

Bloqueamos vendedores sospeitosos. Polo tanto, para levar a cabo tales operacións, os estafadores deben crear constantemente novas contas en Avito. Rexístraos eles mesmos mediante SMS a un número virtual temporal ou compran contas roubadas. Unha tarxeta SIM virtual custa a partir de 60 copeques, a conta doutra persoa no mercado na sombra custa a partir de 10 rublos. Os custos de ambos son incomparablemente inferiores aos ingresos únicos derivados de enganar aos usuarios.

Era Avito Scam 1.0, pero xa apareceron as versións 2.0, 3.0 e ata 4.0. Estas non son as nosas designacións, son usadas polos propios estafadores.

Enganan non só aos compradores, senón tamén aos vendedores. O segundo diagrama ten o seguinte aspecto:

1. O comprador supostamente enviou o diñeiro a través dunha transacción segura.
2. Envíalle ao vendedor unha ligazón falsa onde pode recibir o pago.
3. O vendedor é levado a unha páxina que lle pide os datos da súa tarxeta e, como resultado, o importe é cargado na súa conta.

O esquema Scam 3.0 funciona así:

1. O vendedor publica anuncios coa entrega activada a través de Avito.
2. Cando o comprador paga a mercadoría, o estafador envíalle unha captura de pantalla na que supostamente Avito pide un código de confirmación.
3. Usando o código, o vendedor inicia sesión na conta do usuario. No perfil do comprador, o estafador marca a caixa coma se recibise a mercadoría. O comprador queda sen diñeiro nin compra.

E o circuíto 4.0 está disposto do seguinte xeito:

1. O comprador finxe que pagou a mercadoría e envía un recibo falso. Os recibos envíanse a calquera lugar: por correo electrónico ou a través dun mensaxeiro de terceiros. Depende do contacto que lle deu o vendedor ao estafador.
2. O vendedor recibe unha SMS que imita unha transferencia do banco.
3. Uns minutos despois, o comprador escribe que un produto doutro vendedor sería máis axeitado para el e pide un reembolso. O argumento "devólveo, non es un defraudador" úsase a miúdo. O vendedor envía a cantidade ao comprador, pero do seu propio peto, porque non houbo pagamento.

Para que preme os estafadores?

Os cinco contextos máis populares nos que a xente cae nas gadoupas dos estafadores:

1. Proposta de venda única. O prezo ou produto compara favorablemente con outras ofertas.
2. Emoción. O vendedor ten varias persoas dispostas a mercar o produto, polo que obriga a pagar un anticipo.
3. Urxencia. O comprador ofrécese a mercar con urxencia a mercadoría por calquera diñeiro e pídelle toda a información da tarxeta bancaria para transferir diñeiro.
4. Bo de corazón. O estafador pide axuda para mercar un produto: por exemplo, o comprador ten problemas de saúde ou non pode recoller persoalmente o produto. O defraudador pide os datos da tarxeta para transferir diñeiro e, supostamente, a mercancía será recollida por un correo.
5. Varias localidades e cidades. Neste caso, o prepago é unha condición obrigatoria da transacción, e isto abre un enorme campo de actividade para os defraudadores.

Esquema de “traballo” dos estafadores

Tres grupos de persoas están implicados no esquema fraudulento: traballadores, apoio, TS.

Os traballadores, da palabra traballadora, son o grupo de persoas máis numeroso, principalmente escolares e estudantes. Crean de forma independente contas en Avito e buscan vítimas, que se chaman mamuts. Despois, usando habilidades de enxeñería social, convencen ás vítimas de que paguen por algo e envíanlles unha ligazón falsa. Se a vítima paga os "bens", entón a tarefa dos traballadores, coa axuda do apoio, é transferir á vítima a un reembolso, alegando algún tipo de erro técnico.

Os apoios son persoas que, por unha renda fixa, axudan aos traballadores novatos a enganar aos usuarios. Dan consellos, recomendan produtos "rendibles" e moitas veces para unha determinada porcentaxe da transacción fraudulenta están preparados para ofrecer outros servizos, por exemplo, preparar un pasaporte en Photoshop, chamar á vítima, escribirlle en nome do soporte técnico.

TS, de Topic Starter nos foros na sombra onde os traballadores foron contratados inicialmente, son esencialmente organizadores. Descargan ou compran software, que consta de dúas partes:

1. Telegram bot, que é a principal ferramenta dos estafadores. Nela podes obter unha ligazón falsa a un produto, recibir notificacións sobre clics ou pagos.
2. Versión web, que se encarga de mostrar a páxina de pago/devolución/recibo. Tamén está conectado a el un sistema de pago para aceptar pagos.

Os organizadores gañan diñeiro cunha porcentaxe da transferencia de cada vítima, o que se chama beneficio. Por iso, tratan de dar a coñecer o seu proxecto e pagar axudas para formar aos recén chegados. Tamén soportan todos os custos asociados á compra de novos dominios e tarxetas, que reciben diñeiro.

Despois de mirar os códigos fonte de moitas variantes de scripts fraudulentos, chegamos á conclusión de que a maioría deles estaban escritos en PHP, pero a un nivel moi pobre. Case todos os scripts recollen información sobre os seus usuarios, incluídos os traballadores. Un dos supostos polos que fan isto é que cando as forzas da orde se poñan en contacto co organizador, este colaborará coa investigación e tratará de reducir o máximo posible a pena revelando aos traballadores.

Ademais dos guións, os estafadores usan bombardeiros. Estes son bots que ofrecen a oportunidade de enviar correo lixo ao teu teléfono con SMS e chamadas. Os bombardeiros funcionan así: van a diferentes sitios e solicitan o rexistro ou a recuperación do contrasinal mediante un número de teléfono. Normalmente, os estafadores conéctanos coas vítimas durante 2-72 horas. E esta é unha razón importante para non mostrar o teu número de teléfono en Internet.

Algúns TS tamén contratan desenvolvedores que fan melloras para o bot ou o sitio web. Por exemplo, melloran as valoracións dos traballadores ou protexen os scripts das vulnerabilidades que se atopan nas versións gratuítas. Non obstante, na procura de beneficios rápidos, o vehículo pode levar todos os ingresos por si mesmo, enganando aos seus propios traballadores. Ao mesmo tempo, hai un grupo de mozos que gañan cartos cos propios estafadores, enganándoos para que utilicen varios servizos.

O ingreso medio diario dun defraudador-executor é de 20 rublos, e un defraudador-organizador é de 000 rublos. O principal que hai que lembrar: a pesar da aparente impunidade e os beneficios dos "negocios", toda esta actividade cae dentro segundo o artigo 159 do Código Penal da Federación Rusa. Os defraudadores son detidos e sentenzas reais mesmo nos casos en que o dano do engano ascende a 5-7 mil rublos.

Transferimos toda a información que temos sobre fraude ás axencias policiais. Estamos convencidos de que, a pesar da aparente rendibilidade e facilidade do esquema, os nosos lectores entenden que só as persoas de mente estreita que non se dan conta de todos os riscos participan en fraude.

Unha batalla épica entre antifraude e estafadores

Dirémosche que medidas tomamos nos primeiros meses de 2020 para protexer aos nosos usuarios e como responderon os estafadores.

A principal métrica que utilizamos para avaliar a eficacia do noso traballo é o número de chamadas de apoio coa entrega pagada ao estafador. Bloqueamos a maioría dos anuncios fraudulentos antes de que cheguen ao sitio. Pero cando case todo o comercio se moveu en liña, rexistramos un aumento das solicitudes. Esta información tamén a confirman os bancos: en abril e maio lanzaron avisos masivos sobre o aumento da fraude nas compras en liña.

Para obter comentarios rápidos sobre novas ferramentas, unha persoa do noso equipo infiltrouse en decenas de grupos de estafa pechados. Nun deles, pasou unha entrevista para converterse en programador e recibiu acceso ás fontes de bots de estafa, e tamén entrou no grupo de organizadores. Grazas a isto, sempre tivemos información fresca e de primeira man.

Entendendo os riscos derivados do inicio do autoillamento, comezamos a traballar antes do aumento activo das solicitudes. Unha das primeiras medidas técnicas foi a implantación dun anti-hackeo para arrebatar contas de usuarios das gadoupas dos atacantes. Para iso, se o inicio de sesión e o contrasinal foron introducidos correctamente, pero a xeolocalización era sospeitosa, solicitamos un código dunha SMS que se enviou ao propietario da conta. Como resposta, os estafadores comezaron a rexistrar máis contas autoaloxadas. Isto funciona para a nosa vantaxe: as contas de vendedores novas inspiran menos confianza en todos.

A continuación, comezamos a advertir aos usuarios sobre que fagan clic en ligazóns sospeitosas no messenger. Así que reducimos un terzo o número de clics, pero isto case non tivo ningún efecto na nosa métrica principal: os que foron enganados por estafadores non foron detidos por ningún aviso.

A continuación presentamos unha lista branca de ligazóns. Deixamos de destacar ligazóns descoñecidas no messenger de Avito; xa non podes facer clic nelas cun só clic. Cando se copiaba unha ligazón sospeitosa, tamén se mostraba un aviso. Esta decisión tivo un impacto positivo nas nosas métricas por primeira vez.

Comezamos a castigar activamente por transmitir ligazóns sospeitosas no messenger de Avito: bloquear ou rexeitar os anuncios do vendedor. Como resposta, os estafadores comezaron a desviar os usuarios do noso chat a mensaxería instantánea de terceiros. Entón publicamos un aviso para non cambiar a outro messenger se o ves mencionado nun chat. Esta función comezou cunha busca de expresións regulares, despois substituímola por un modelo ML.

Entón os estafadores comezaron a enganar aos usuarios ao correo electrónico. Para iso, necesitaban o que todos necesitabamos: a confianza. Comezaron a enviar ás posibles vítimas imaxes onde supostamente Avito solicitaba o correo electrónico do comprador. Esta é unha estafa: non necesitamos os correos electrónicos dos clientes.

Aquí o noso servizo de asistencia supostamente responde que o correo electrónico do comprador é necesario para a entrega

E aquí na nosa interface parece que hai un novo campo para introducir correo electrónico

Se alguén puidese distinguir unha ligazón falsa, entón a carta pódese falsificar facilmente e é máis fiable. Comezamos a borrar a mensaxe co correo electrónico e mostrarlle ao usuario un aviso sobre os perigos de tal acción. Se despois do aviso o usuario volve enviar o correo electrónico, xa non o eliminamos.

Os estafadores comezaron a pedir aos clientes que envíen o seu enderezo de correo electrónico en varias mensaxes ou substituíndo o símbolo @ por outra cousa. Entón comezamos a mostrar un aviso mesmo cando solicitamos correo. O conxunto destas medidas permitiu evitar case por completo que os usuarios abandonasen o messenger de Avito.

A nosa mecánica actual é bastante eficaz, pero non é fácil de usar. A mensaxe co correo electrónico elimínase por completo e moitas veces contén outro texto. Pero foi a solución máis rápida e barata de desenvolver. Estamos pensando en como refacelo e melloralo.

Unha das nosas últimas iniciativas é o acceso telefónico. Normalmente, os números que usan os estafadores para rexistrar as contas non duran moito. Chamamos ao número do vendedor despois de enviar un anuncio en Avito. Se non podes comunicarte por teléfono, a moderación rexeitará o anuncio. Os estafadores comezaron a cambiar o número de teléfono inmediatamente antes da publicación para poder chamar mentres aínda estaba dispoñible.

E aquí están os comentarios do estafador

En casos sospeitosos, reducimos a prioridade do anuncio nos resultados da busca e eliminamos das recomendacións. Ao mesmo tempo, establecemos un atraso na emisión de ata 48 horas para garantir que temos tempo para comprobar todo con coidado e causar un pouco máis de molestias aos estafadores.

Esta é só a punta do iceberg, hai moitos máis tipos de fraude.

Desafortunadamente, é imposible describir todos os tipos de fraude nun artigo. Cando soubemos sobre a introdución do réxime de autoillamento, inmediatamente quedou claro que os estafadores que gañaban cartos fóra de liña funcionarían en liña. Non quererán cambiar os seus patróns de comportamento durante uns meses e converterse en bos cidadáns. Isto provocou un auténtico auxe da fraude en todas as plataformas en liña e por teléfono.

Entre os tipos de fraude, hai outros raros e mesmo divertidos. Por exemplo, aquí un estafador pretende ser un robot para reducir os custos de comunicación:

A pesar de que cada día hai menos estafadores en Avito, e por todo o país están a realizarse redadas onde os axentes da orde os atopan, a pesar de que os proxies e as VPN, os detéñenos e levan a penas reais de ata 2 anos de prisión por enganando 2500 -5000 rublos, é imposible desfacerse completamente da fraude.

Non falaremos publicamente doutras ideas e innovacións, para non facilitar o traballo aos estafadores. Entendemos que esta batalla continuará. A nosa tarefa é facerlles a vida o máis difícil posible aos estafadores, facer que este tipo de actividade no noso recurso sexa simplemente pouco rendible e demasiado perigosa, ao tempo que se minimiza o dano aos bos usuarios.

Resultados do traballo

Aquí tes un calendario de chamadas de soporte sobre fraude de entrega. Nas últimas semanas mantívose nun nivel baixo estable:

Como evitar ser vítima dun estafador

Os estafadores son a mosca na pomada no barril de ofertas rendibles. Para estar sempre seguro, só tes que seguir estas regras:

1. Non comparta datos confidenciais. Ningún: nome completo, número de teléfono, enderezo, correo electrónico, data e lugar de nacemento, información sobre a familia e ingresos, datos da tarxeta, contactos noutros mensaxeiros. Nunca digas códigos de SMS e notificacións push.
2. Realiza todas as comunicacións só dentro do noso mensaxeiro, entón poderemos avisarte en caso de perigo.
3. Comproba a valoración do vendedor e a idade do perfil. As sospeitas aumentan polos prezos baixos, a data recente de rexistro no sitio e as críticas negativas.
4. Se o botón "Comprar con entrega" está inactivo, non hai entrega de mercadorías a través de socios de Avito verificados. Outros métodos de envío sempre son un risco.
5. Non faga clic en ningunha ligazón. Debe enviarse unha ligazón ao pagamento ou á recepción de diñeiro ao mensaxeiro integrado de Avito mediante unha mensaxe do sistema. Unha ligazón real sempre comeza co dominio www.avito.ru. Calquera outra combinación de palabras e símbolos é unha estafa.
6. Tómate o teu tempo e fai todas as compras sobrias. Estar atento a cada pequeno detalle. Os defraudadores adoitan presionar aos potenciais compradores e ameazan con vender o produto a outra persoa. Os vendedores honestos son leais e preparados para preguntas adicionais.
7. Non pagues por adiantado ningún servizo a non ser que confíes no vendedor.
8. Non instale ningunha extensión ou programa de terceiros.
9. Se ves un perfil ou anuncio sospeitoso, escribe sobre el no noso apoio. Comprobaremos o vendedor. En Internet é mellor non confiar en ninguén e facer comprobacións adicionais.

Fonte: www.habr.com