Hogyan azonosítja az Avito a csalókat és küzd a csalás ellen

Szia Habr. Igor vagyok, egy csapat vezetője, amely az Aviton csalók ellen küzd. Ma a gazemberekkel vívott örök harcról fogunk beszélni, akik megpróbálják, sőt néha megtévesztik az online vásárlókat áruszállítással.

Régóta küzdünk a csalás ellen. A mai csalók az online kereskedési platformok felületeit és funkcióit utánozva megtévesztik az embereket. Például a piactereken futáros kézbesítési rendszereket dolgoznak ki.

2020 januárjában kész utasítások a csalóknak és az összes szükséges eszköz megjelentek az interneten. Aztán az önelszigetelődés olajat önt a tűzre: akik korábban csaltak és loptak az utcákon és lakásokban, kénytelenek voltak internetezni. Talán ugyanezek a „csalók” sokat hívnak mostanában, azonnali üzenetküldőben, SMS-ben és levelekben. Bankok és rendvédelmi szervek alkalmazottaiként, távoli rokonként vagy közjegyzőként mutatkoznak be. Írd meg kommentben, hogy milyen típusú csalással találkoztál legutóbb.

Szabványos csalási sémák

A vevő áruszállítással történő megtévesztésének leggyakoribb sémája így néz ki:

1. A csaló hirdetést tesz közzé egy népszerű termékkel a közepes árkategóriában. Például az elektromos robogók eladásával - nyáron népszerűek.
2. Mindenképpen rávesz egy potenciális vevőt a szállításra. Az ürügyek különbözőek lehetnek: a járvány idején elhagytam a várost, vagy egyszerűen túl elfoglalt vagyok, és nem tudok eljönni a találkozóra.
3. A beleegyezés kézhezvétele után a csaló hamis fizetési linket küld. A linkelt oldal hasonló a szabványos Avito űrlaphoz.
4. Az áldozat kifizeti a vásárlást, és elbúcsúzik a pénztől.
5. A csaló megpróbál több pénzt keresni azzal, hogy felajánlja a fizetés visszafizetését. Új nyomtatványt küld a vevőnek a visszatérítéshez, de a valóságban újra megterheli. A visszaküldési oldal ugyanaz a fizetési oldal, de a gomb szövege „fizetés”-ről „visszaküldésre” módosult.

Az alábbiakban látható egy példa egy hamis oldalra, amelyet egy csaló küldhet. A domain az Avitót utánozza, maga az oldal pedig egy online áruház fizetési oldalához hasonlít. A hamis oldalak gyakran a https protokollon vannak, és ez a funkció lehetetlen megkülönböztetni őket. Az adatok kitöltése után a felhasználó a megrendelés fizetési oldalára kerül, ahol meg kell adnia bankkártya adatait.

Hamis termékfizetési és visszatérítési oldalak

Letiltjuk a gyanús eladókat. Ezért az ilyen műveletek végrehajtásához a csalóknak folyamatosan új fiókokat kell létrehozniuk az Avito-n. Vagy maguk regisztrálják őket SMS-ben egy ideiglenes virtuális számra, vagy vásárolnak ellopott fiókokat. A virtuális SIM-kártya ára 60 kopijkától kezdődik, valaki más számlája az árnyékpiacon 10 rubeltől. Mindkettő költsége összehasonlíthatatlanul kevesebb, mint akár a felhasználók megtévesztéséből származó egyszeri bevétel.

Az Avito Scam 1.0 volt, de már megjelentek a 2.0-s, 3.0-s, sőt 4.0-s verziók is. Ezek nem a mi jelöléseink – maguk a csalók használják.

Nemcsak a vásárlókat, hanem az eladókat is megtévesztik. A második diagram így néz ki:

1. A vevő állítólag biztonságos tranzakción keresztül küldte a pénzt.
2. Hamis linket küld az eladónak, ahol megkaphatja a fizetést.
3. Az eladó egy oldalra kerül, ahol bekérik a kártyaadatait, és ennek eredményeként az összeg levonásra kerül a számlájáról.

A Scam 3.0 séma így működik:

1. Az eladó hirdetéseket tesz közzé az Aviton keresztül aktivált szállítással.
2. Amikor a vevő kifizeti az árut, a csaló küld neki egy képernyőképet, amelyen az Avito állítólag megerősítő kódot kér.
3. A kód segítségével az eladó bejelentkezik a felhasználói fiókba. A vevő profiljában a csaló bejelöl egy négyzetet, jelezve, hogy átvette az árut. A vevő pénz és vásárlás nélkül marad.

És a 4.0 séma a következőképpen van elrendezve:

1. A vevő úgy tesz, mintha kifizette volna az árut, és hamis nyugtát küld. A nyugtákat bárhová elküldjük: e-mailben vagy harmadik féltől származó messengeren keresztül. Attól függ, milyen kapcsolatot adott az eladó a csalóval.
2. Az eladó kap egy SMS-t, amely a bank átutalását utánozza.
3. Néhány perccel később a vevő azt írja, hogy egy másik eladó terméke jobban megfelelne neki, és visszatérítést kér. Gyakran használják a „vissza, nem vagy csaló” érvet. Az eladó elküldi az összeget a vevőnek, de saját zsebből, mert nem volt fizetés.

Mit sürgetnek a csalók?

Az öt legnépszerűbb kontextus, amelyben az emberek csalók karmai közé kerülnek:

1. Egyedi értékesítési javaslat. Az ár vagy a termék kedvezően viszonyul más ajánlatokhoz.
2. Izgalom. Az eladónak többen is hajlandóak megvenni a terméket, ezért előleget kényszerít ki.
3. Sürgősség. A vevő felajánlja, hogy bármilyen pénzért sürgősen megvásárolja az árut, és a pénz átutalása érdekében bekéri a bankkártya összes adatát.
4. Jószívűség. A csaló segítséget kér egy termék vásárlásához: például a vásárló egészségügyi problémái vannak, vagy nem tudja személyesen átvenni a terméket. A csaló kártyaadatokat kér a pénz átutalásához, az árut állítólag futár veszi át.
5. Különféle helységek és városok. Ebben az esetben a tranzakció kötelező feltétele az előtörlesztés, és ez hatalmas tevékenységi terepet nyit a csalók előtt.

A csalók „munkájának” sémája

Három embercsoport vesz részt a csalási rendszerben: munkavállalók, támogatás, TS.

A munkások a munkás szóból eredően az emberek legnagyobb csoportja, főként iskolások és diákok. Önállóan hoznak létre fiókokat az Aviton, és keresik az áldozatokat, akiket mamutoknak neveznek. Ezután szociális mérnöki készségekkel meggyőzik az áldozatokat, hogy fizessenek valamiért, és küldjenek nekik egy hamis linket. Ha a sértett fizet az „áruért”, akkor a munkások feladata, hogy valamilyen technikai hibára hivatkozva, támogatás segítségével visszautalják az áldozatot.

A támogatók azok, akik fix jövedelemért segítenek a kezdő dolgozóknak megtéveszteni a felhasználókat. Tanácsot adnak, „nyereséges” termékeket ajánlanak, és gyakran hajlandók más szolgáltatásokat nyújtani a csaló tranzakció bizonyos százalékához, például útlevelet készítenek Photoshopban, felhívják az áldozatot, írnak neki a technikai támogatás nevében.

A TS, az árnyékfórumokon található Topic Startertől, ahol kezdetben alkalmazottakat vettek fel, alapvetően szervezők. Szoftvert töltenek le vagy vásárolnak, amely két részből áll:

1. Telegram bot, amely a csalók fő eszköze. Ebben hamis linket kaphat egy termékre, értesítéseket kaphat a kattintásokról vagy fizetésekről.
2. Webes verzió, amely a fizetés/visszaküldés/nyugta oldal megjelenítéséért felelős. Befizetéseket fogadó fizetési rendszer is kapcsolódik hozzá.

A szervezők minden áldozat átutalásának egy százalékából keresnek pénzt, amit profitnak neveznek. Ezért igyekeznek meghirdetni projektjüket és támogatást fizetni az újoncok képzéséhez. Ők viselik az új domainek és kártyák vásárlásával kapcsolatos összes költséget is, amelyekre a pénz jön.

Miután megvizsgáltuk a csaló szkriptek számos változatának forráskódját, arra a következtetésre jutottunk, hogy ezek többsége PHP-ben készült, de nagyon gyenge szinten. Szinte minden szkript információkat gyűjt a felhasználóiról, beleértve a dolgozókat is. Az egyik feltételezés, amiért ezt teszik, az, hogy amikor a rendfenntartó szervek megkeresik a szervezőt, az együttműködik a nyomozással, és a dolgozók felfedésével próbálja a büntetés mértékét a lehető legjobban mérsékelni.

A forgatókönyvek mellett a csalók bombázókat is használnak. Ezek olyan botok, amelyek lehetőséget adnak arra, hogy SMS-ekkel és hívásokkal spameket küldjenek a telefonnak. A bombázók a következőképpen működnek: különböző oldalakra mennek, és regisztrációt vagy jelszó-visszaállítást kérnek egy telefonszám segítségével. Általában a csalók 2-72 órán keresztül kapcsolják össze őket az áldozatokkal. És ez egy fontos oka annak, hogy ne jelenítse meg telefonszámát az interneten.

Egyes TS-ek fejlesztőket is felvesznek, akik javítják a botot vagy a webhelyet. Például javítják a dolgozók értékelését, vagy megvédik a szkripteket az ingyenes verziókban található sebezhetőségektől. A gyors haszonra törekedve azonban a jármű az összes bevételt magára veheti, megtévesztve saját dolgozóit. Ugyanakkor van egy csapat srác, akik maguktól keresnek pénzt a csalókból, különféle szolgáltatásokba csalva őket.

Egy csaló-végrehajtó átlagos napi jövedelme 20 000 rubel, a csaló-szervezőé 200 000 rubel. A legfontosabb dolog, amit meg kell jegyeznünk: az „üzletág” látszólagos büntetlensége és előnyei ellenére mindez a tevékenység alá tartozik az Orosz Föderáció Büntető Törvénykönyvének 159. cikke alapján. A csalókat őrizetbe veszik és valós ítéletet szabnak ki olyan esetekben is, amikor a megtévesztésből eredő kár 5-7 ezer rubel.

A csalással kapcsolatos összes rendelkezésünkre álló információt továbbítunk a bűnüldöző szerveknek. Meggyőződésünk, hogy a rendszer látszólagos jövedelmezősége és egyszerűsége ellenére olvasóink megértik, hogy csak szűklátókörűek, akik nem ismerik fel az összes kockázatot, csalnak.

Epikus harc a csalás elleni küzdelem és a csalók között

Elmondjuk, milyen lépéseket tettünk 2020 első hónapjaiban felhasználóink ​​védelme érdekében, és hogyan reagáltak a csalók.

A fő mérőszám, amelyre a munkánk hatékonyságának értékelésénél támaszkodtunk, a csaló által fizetett kézbesítéssel járó támogatási hívások száma volt. A legtöbb csaló hirdetést blokkoljuk, mielőtt azok eljutnának a webhelyre. Ám amikor szinte az összes kereskedés az internetre költözött, megugrott a kérések száma. Ezt az értesülést a bankok is megerősítik: áprilisban és májusban tömegesen figyelmeztettek az internetes vásárlásoknál tapasztalható csalások növekedésére.

Ahhoz, hogy gyors visszajelzést kapjunk az új eszközökről, csapatunk egyik tagja csalók több tucatnyi zárt csoportjába beszivárgott. Az egyikben fejlesztőként adott át egy interjút, és hozzájutott az átverő robotok forráskódjához, illetve bekerült a szervezők körébe is. Ennek köszönhetően mindig friss, első kézből értesültünk.

Felismerve az önelzáródás kezdetéből adódó kockázatokat, az igények aktív növekedése előtt megkezdtük a munkát. Az egyik első technikai intézkedés egy feltörés elleni védelem volt, amellyel kiragadták a felhasználói fiókokat a támadók karmai közül. Ennek érdekében, ha a bejelentkezési név és a jelszó helyesen lett megadva, de gyanús volt a földrajzi helymeghatározás, kértünk egy kódot egy SMS-ből, amelyet elküldtünk a fiók tulajdonosának. Válaszul a csalók több független fiókot kezdtek regisztrálni. Ez előnyünkre válik – a friss eladói fiókok kevésbé bíznak meg mindenkiben.

Ezután elkezdtük figyelmeztetni a felhasználókat a gyanús hivatkozások követésére a messengerben. Harmadára csökkentettük tehát a kattintások számát, de ez szinte semmilyen hatással nem volt a fő mérőszámunkra: akit megtévesztettek a csalók, azt semmilyen figyelmeztetés nem állította meg.

Ezután bemutattuk a linkek fehér listáját. Leállítottuk az ismeretlen hivatkozások kiemelését az Avito messengerben, többé nem követheti őket egyetlen kattintással. Gyanús hivatkozás másolásakor figyelmeztetés is megjelent. Ez a döntés először volt pozitív hatással mutatóinkra.

Aktívan büntetni kezdtük a gyanús linkek továbbítását az Avito messengerben: blokkoljuk vagy utasítsuk el az eladó hirdetéseit. Válaszul a csalók elkezdték a csevegésünkről a felhasználókat harmadik fél azonnali üzenetküldőire terelni. Ezután figyelmeztetést adtunk ki, hogy ne váltson másik messengerre, ha a chaten látja ezt. Ez a függvény egy reguláris kifejezés kereséssel indult, majd egy ML modellre cseréltük.

Aztán a csalók elkezdték e-mailekre csalni a felhasználókat. Ehhez ugyanarra volt szükségük, amire mindannyiunknak: a bizalomra. Elkezdtek képeket küldeni a potenciális áldozatoknak, ahol az Avito állítólag a vevő e-mail-címét kérte. Ez egy átverés – nincs szükségünk a vásárlók e-mailjeire.

Itt az ügyfélszolgálatunk állítólag azt válaszolja, hogy a vevő e-mail-címe szükséges a kézbesítéshez

És itt a felületünkön úgy tűnik, hogy egy új mező található az e-mailek megadásához

Ha valaki más meg tud különböztetni egy hamis hivatkozást, akkor a levél könnyen hamisítható, és megbízhatóbb. Elkezdtük törölni az e-mail üzenetet, és figyelmeztetni a felhasználót az ilyen műveletek veszélyeire. Ha a figyelmeztetés után a felhasználó újra elküldi az e-mailt, azt már nem töröljük.

A csalók elkezdték arra kérni az ügyfeleket, hogy küldjék el e-mail címüket több üzenetben, vagy a @ szimbólum helyett valami mást. Aztán elkezdtünk figyelmeztetést megjeleníteni, még akkor is, ha postai küldeményt kérünk. Ezeknek az intézkedéseknek a komplexuma lehetővé tette, hogy a felhasználók szinte teljesen megakadályozzák, hogy elhagyják az Avito messengert postai úton.

Jelenlegi mechanikánk meglehetősen hatékony, de nem felhasználóbarát. Az e-mail üzenet teljesen törlődik, és gyakran más szöveget is tartalmaz. De ez volt a leggyorsabb és legolcsóbb megoldás. Azon gondolkodunk, hogyan lehetne újrakészíteni és javítani.

Egyik legújabb kezdeményezésünk a szám tárcsázása. A csalók fiókok regisztrálásához használt számok általában nem tartanak sokáig. Az Avito hirdetés feladása után hívjuk az eladó számát. Ha telefonon nem tudja elérni, a moderálás elutasítja a hirdetést. A csalók közvetlenül a közzététel előtt elkezdték megváltoztatni a telefonszámot, hogy addig hívhassuk, amíg elérhető volt.

És itt van a visszajelzés a csalótól

Gyanús esetekben csökkentjük a hirdetés prioritását a keresési eredmények között, és eltávolítjuk az ajánlások közül. Ezzel egyidejűleg akár 48 órás késleltetést is beállítunk a kiadásban, hogy időt biztosítsunk minden gondos ellenőrzésre, és még egy kis kellemetlenséget okozzunk a csalóknak.

Ez csak a jéghegy csúcsa, a csalásnak sokkal több fajtája van.

Sajnos lehetetlen egy cikkben leírni a csalás összes típusát. Amikor értesültünk az önelszigetelő rezsim bevezetéséről, azonnal világossá vált, hogy azok a csalók, akik offline pénzt keresnek, online futnak majd. Néhány hónapig nem akarnak majd változtatni viselkedési mintáikon, és jó állampolgárokká válni. Ez a csalások valódi fellendüléséhez vezetett minden online platformon és telefonon.

A csalástípusok között vannak ritkák, sőt viccesek is. Például itt a csaló robotnak adja ki magát, hogy csökkentse a kommunikációs költségeket:

Annak ellenére, hogy az Avitón napról napra kevesebb a csaló, és országszerte razziák zajlanak, ahol a rendfenntartók a meghatalmazott és a VPN ellenére megtalálják őket, őrizetbe veszik őket, és valós, akár 2 évig terjedő börtönbüntetést is kiszabhatnak rájuk. 2500-5000 rubel megtévesztése esetén lehetetlen teljesen megszabadulni a csalástól.

Nem fogunk nyilvánosan beszélni más ötletekről és újításokról, hogy ne könnyítsük meg a csalók munkáját. Megértjük, hogy ez a harc folytatódni fog. A mi feladatunk az, hogy a lehető legnehezebbé tegyük a csalók életét, hogy az erőforrásunkon végzett ilyen jellegű tevékenységeket egyszerűen veszteségessé és túl veszélyessé tegyük, miközben a jó felhasználókat minimálisan károsítjuk.

A munka eredményei

Itt van a kézbesítési csalással kapcsolatos támogatási hívások ütemezése. Az elmúlt hetekben folyamatosan alacsony szinten maradt:

Hogyan kerüljük el, hogy csaló áldozatává váljunk

A csalók a nyereséges ajánlatok legyezője. A biztonság megőrzése érdekében egyszerűen kövesse az alábbi szabályokat:

1. Ne osszon meg érzékeny adatokat. Nincs: teljes név, telefonszám, cím, e-mail, születési idő és hely, családi és jövedelmi adatok, kártyaadatok, elérhetőségek más hírnökökben. Soha ne mondjon kódokat SMS-ből és push értesítésekből.
2. Minden kommunikációt csak a messengerünkön belül bonyolítson le, akkor veszély esetén figyelmeztetni tudjuk.
3. Ellenőrizze az eladó értékelését és profiléletkorát. A gyanút az alacsony árak, az oldal legutóbbi regisztrációja és a negatív vélemények keltik fel.
4. Ha a „Vásárlás szállítással” gomb inaktív, akkor nem történik áruk kiszállítása megbízható Avito partnereken keresztül. Más szállítási módok mindig kockázatot jelentenek.
5. Ne kattintson a linkekre. A pénz fizetésére vagy fogadására szolgáló linket rendszerüzenetben kell elküldeni a beépített Avito messengernek. Egy igazi link mindig a www.avito.ru domainnel kezdődik. A szavak és szimbólumok bármely más kombinációja csalás.
6. Szánjon rá időt, és tegyen józan vásárlást. Legyen figyelmes minden apró részletre. A csalók gyakran nyomást gyakorolnak a potenciális vásárlókra, és azzal fenyegetőznek, hogy valaki másnak adják el a terméket. A becsületes eladók hűségesek és készek további kérdésekre.
7. Ne fizessen előleget semmilyen szolgáltatásért, hacsak nem bízik az eladóban.
8. Ne telepítsen harmadik féltől származó bővítményeket vagy programokat.
9. Ha gyanús profilt vagy hirdetést lát, írjon róla támogatásunkban. Ellenőrizzük az eladót. Az interneten jobb, ha nem bízik senkiben, és további ellenőrzéseket végez.

Forrás: will.com