Hoe Avito oplichters identificeert en fraude bestrijdt

Hallo, Habr. Ik ben Igor, de leider van een team dat oplichters op Avito bestrijdt. Vandaag zullen we het hebben over de eeuwige strijd met schurken die online shoppers proberen en soms zelfs misleiden door de levering van goederen.

Wij bestrijden fraude al geruime tijd. De huidige oplichters misleiden mensen door de interfaces en functies van online handelsplatforms te imiteren. Ze bedenken bijvoorbeeld regelingen voor koeriersbezorging op marktplaatsen.

In januari 2020 verschenen kant-en-klare instructies voor oplichters en alle benodigde tools op internet. Toen voegde zelfisolatie olie toe aan het vuur: degenen die eerder op straat en in appartementen hadden vals gespeeld en gestolen, werden gedwongen online te gaan. Misschien hebben deze zelfde “oplichters” u de laatste tijd veel gebeld en geschreven in instant messengers, sms en brieven. Ze stellen zichzelf voor als werknemers van banken en wetshandhavingsinstanties, verre familieleden of notarissen. Schrijf in de opmerkingen welk type fraude u de vorige keer bent tegengekomen.

Standaardfraudeschema's

Het meest voorkomende schema om een ​​koper te misleiden bij de levering van goederen ziet er als volgt uit:

1. De oplichter plaatst een advertentie met een populair product in de middenprijscategorie. Bijvoorbeeld met de verkoop van elektrische scooters: ze zijn populair in de zomer.
2. Op alle mogelijke manieren overtuigt hij een potentiële koper voor levering. De voorwendsels kunnen verschillend zijn: ik heb de stad verlaten tijdens de pandemie of ik heb het gewoon te druk en kan niet naar de bijeenkomst komen.
3. Na ontvangst van toestemming stuurt de oplichter een valse betaallink. De gekoppelde pagina is vergelijkbaar met het standaard Avito-formulier.
4. Het slachtoffer betaalt de aankopen en neemt afscheid van het geld.
5. De oplichter probeert meer geld te verdienen door aan te bieden de betaling terug te sturen. Hij stuurt de koper een nieuw formulier voor terugbetaling, maar in werkelijkheid brengt hij opnieuw kosten in rekening. De retourpagina is dezelfde betaalpagina, maar de tekst op de knop is gewijzigd van ‘betalen’ naar ‘retourneren’.

Hieronder ziet u een voorbeeld van een neppagina die een oplichter zou kunnen verzenden. Het domein bootst Avito na en de site zelf lijkt op de afrekenpagina in een online winkel. Valse pagina's maken vaak gebruik van het https-protocol en het is onmogelijk om ze door deze functie te onderscheiden. Na het invullen van de gegevens wordt de gebruiker naar de betaalpagina van de bestelling geleid, waar hem wordt gevraagd zijn bankkaartgegevens in te voeren.

Valse productbetalings- en terugbetalingspagina's

Wij blokkeren verdachte verkopers. Om dergelijke operaties uit te voeren, moeten oplichters daarom voortdurend nieuwe accounts op Avito aanmaken. Ze registreren ze zelf via sms op een tijdelijk virtueel nummer, of kopen gestolen accounts. Een virtuele simkaart kost vanaf 60 kopeken, de rekening van iemand anders op de schaduwmarkt kost vanaf 10 roebel. De kosten van beide zijn onvergelijkbaar lager dan zelfs de eenmalige inkomsten uit het misleiden van gebruikers.

Het was Avito Scam 1.0, maar versies 2.0, 3.0 en zelfs 4.0 zijn al verschenen. Dit zijn niet onze benamingen - ze worden door de oplichters zelf gebruikt.

Ze misleiden niet alleen kopers, maar ook verkopers. Het tweede diagram ziet er als volgt uit:

1. De koper zou het geld via een beveiligde transactie hebben verzonden.
2. Hij stuurt de verkoper een valse link waar hij de betaling kan ontvangen.
3. De verkoper wordt naar een pagina geleid waar om zijn kaartgegevens wordt gevraagd en als resultaat wordt het bedrag van zijn rekening afgeschreven.

Het Scam 3.0-schema werkt als volgt:

1. De verkoper publiceert advertenties met geactiveerde bezorging via Avito.
2. Wanneer de koper de goederen betaalt, stuurt de oplichter hem een ​​screenshot waarin Avito om een ​​bevestigingscode zou vragen.
3. Met behulp van de code logt de verkoper in op het account van de gebruiker. In het profiel van de koper vinkt de oplichter een vakje aan dat aangeeft dat hij de goederen heeft ontvangen. De koper blijft zonder geld en aankoop achter.

En het 4.0-schema is als volgt ingedeeld:

1. De koper doet alsof hij voor de goederen heeft betaald en stuurt een valse bon. Ontvangsten worden overal verzonden: per e-mail of via een externe messenger. Hangt af van welk contact de verkoper met de oplichter heeft gegeven.
2. De verkoper ontvangt een sms die een overboeking van de bank nabootst.
3. Een paar minuten later schrijft de koper dat een product van een andere verkoper beter bij hem past en vraagt ​​om terugbetaling. Het argument ‘geef het terug, je bent geen fraudeur’ wordt vaak gebruikt. De verkoper stuurt het bedrag naar de koper, maar wel uit eigen zak, omdat er geen betaling heeft plaatsgevonden.

Waar dringen oplichters op aan?

De vijf populairste contexten waarin mensen in de klauwen van oplichters vallen:

1. Een unieke verkoop voorstel. De prijs of het product steekt gunstig af bij andere aanbiedingen.
2. Spanning. De verkoper heeft meerdere mensen bereid het product te kopen en dwingt daarom een ​​vooruitbetaling af.
3. Urgentie. De koper biedt aan om de goederen met spoed voor elk geld te kopen en vraagt ​​om alle bankkaartgegevens om geld over te maken.
4. Goedhartigheid. De oplichter vraagt ​​hulp bij de aankoop van een product: de koper heeft bijvoorbeeld gezondheidsklachten of kan het product niet persoonlijk ophalen. De fraudeur vraagt ​​om kaartgegevens om geld over te maken, en de goederen zullen vermoedelijk door een koerier worden opgehaald.
5. Diverse plaatsen en steden. In dit geval is vooruitbetaling een verplichte voorwaarde voor de transactie, en dit opent een enorm werkterrein voor fraudeurs.

Regeling van het “werk” van oplichters

Bij het frauduleuze plan zijn drie groepen mensen betrokken: werknemers, steun, TS.

Werknemers, afgeleid van het woord arbeider, vormen de grootste groep mensen, voornamelijk schoolkinderen en studenten. Ze maken onafhankelijk accounts aan op Avito en zoeken naar slachtoffers, die mammoeten worden genoemd. Vervolgens overtuigen ze de slachtoffers met behulp van social engineering-vaardigheden om ergens voor te betalen en sturen ze een neplink. Als het slachtoffer voor de ‘goederen’ betaalt, is het de taak van de arbeiders om, met behulp van ondersteuning, het slachtoffer over te dragen aan een terugbetaling, waarbij een technische fout wordt aangevoerd.

Ondersteuning zijn mensen die, voor een vast inkomen, beginnende werknemers helpen gebruikers te misleiden. Ze geven advies, bevelen ‘winstgevende’ producten aan en zijn vaak bereid om voor een bepaald percentage van de frauduleuze transactie andere diensten te verlenen, bijvoorbeeld het voorbereiden van een paspoort in Photoshop, het bellen van het slachtoffer, het schrijven van haar namens technische ondersteuning.

TS, van Topic Starter op schaduwforums, waar aanvankelijk werknemers werden aangenomen, zijn in wezen organisatoren. Ze downloaden of kopen software, die uit twee delen bestaat:

1. Telegram-bot, het belangrijkste hulpmiddel van oplichters. Daarin kunt u een neplink naar een product krijgen, meldingen ontvangen over klikken of betalingen.
2. Webversie, die verantwoordelijk is voor het weergeven van de betalings-/retour-/ontvangstpagina. Er is ook een betalingssysteem voor het accepteren van betalingen aan verbonden.

De organisatoren verdienen geld aan een percentage van de overdracht van elk slachtoffer, wat winst wordt genoemd. Daarom proberen ze reclame te maken voor hun project en steun te betalen om nieuwkomers op te leiden. Ook dragen zij alle kosten die gepaard gaan met de aanschaf van nieuwe domeinen en kaarten waar het geld voor komt.

Nadat we de broncodes van vele varianten van frauduleuze scripts hadden bekeken, kwamen we tot de conclusie dat de meeste ervan in PHP waren geschreven, maar op een zeer slecht niveau. Bijna alle scripts verzamelen informatie over hun gebruikers, inclusief werknemers. Een van de aannames waarom ze dit doen is dat wanneer wetshandhavingsinstanties contact opnemen met de organisator, hij zal meewerken aan het onderzoek en zal proberen de straf zoveel mogelijk te verminderen door de werknemers te onthullen.

Naast scripts gebruiken oplichters ook bommenwerpers. Dit zijn bots die de mogelijkheid bieden om je telefoon te spammen met sms en oproepen. Bommenwerpers werken als volgt: ze gaan naar verschillende sites en vragen registratie of wachtwoordherstel aan met behulp van een telefoonnummer. Meestal verbinden oplichters ze gedurende 2 tot 72 uur met slachtoffers. En dit is een belangrijke reden om uw telefoonnummer niet op internet te tonen.

Sommige TS huren ook ontwikkelaars in die verbeteringen aanbrengen voor de bot of website. Ze verbeteren bijvoorbeeld de beoordelingen van werknemers of beschermen scripts tegen kwetsbaarheden in gratis versies. Bij het nastreven van snelle winst kan het voertuig echter alle opbrengsten voor zichzelf nemen en zijn eigen werknemers misleiden. Tegelijkertijd is er een groep jongens die zelf geld verdienen aan de oplichters en hen naar verschillende diensten lokken.

Het gemiddelde dagelijkse inkomen van een fraudeur-uitvoerder is 20 roebel, en dat van een fraudeur-organisator 000 roebel. Het belangrijkste om te onthouden: ondanks de schijnbare straffeloosheid en voordelen van ‘zakendoen’ valt al deze activiteit hieronder op grond van artikel 159 van het Wetboek van Strafrecht van de Russische Federatie. Fraudeurs worden gearresteerd en krijgen echte straffen, zelfs in gevallen waarin de schade door bedrog 5 tot 7 duizend roebel bedraagt.

We geven alle informatie die we hebben over fraude door aan wetshandhavingsinstanties. Wij zijn ervan overtuigd dat onze lezers, ondanks de ogenschijnlijke winstgevendheid en het gemak van het plan, begrijpen dat alleen bekrompen mensen die zich niet van alle risico's bewust zijn, zich aan fraude schuldig maken.

Een epische strijd tussen fraudebestrijding en oplichters

We vertellen je welke stappen we in de eerste maanden van 2020 hebben genomen om onze gebruikers te beschermen en hoe de oplichters hebben gereageerd.

De belangrijkste maatstaf waarop we vertrouwden om de effectiviteit van ons werk te evalueren, was het aantal ondersteuningsoproepen waarvan de bezorging door de oplichter werd betaald. We blokkeren de meeste frauduleuze advertenties voordat ze zelfs maar de site bereiken. Maar toen bijna alle handel online ging, registreerden we een golf van verzoeken. Deze informatie wordt ook door de banken bevestigd: in april en mei hebben ze massaal gewaarschuwd over de toename van fraude bij online aankopen.

Om snel feedback te krijgen over nieuwe tools, infiltreerde een persoon uit ons team tientallen gesloten groepen oplichters. In een van hen slaagde hij voor een interview als ontwikkelaar en kreeg hij toegang tot de broncode van oplichtingsbots, en stapte ook in de groep organisatoren. Hierdoor beschikten we altijd over verse informatie uit de eerste hand.

Omdat we de risico’s als gevolg van het begin van zelfisolatie begrepen, zijn we begonnen met werken vóór de actieve toename van het aantal verzoeken. Een van de eerste technische maatregelen was de implementatie van een anti-hack om gebruikersaccounts uit de klauwen van aanvallers te rukken. Om dit te doen, hebben we, als de login en het wachtwoord correct waren ingevoerd, maar de geolocatie verdacht was, om een ​​code gevraagd via een sms die naar de accounteigenaar werd gestuurd. Als reactie daarop begonnen oplichters meer onafhankelijke accounts te registreren. Dit werkt in ons voordeel: nieuwe verkopersaccounts wekken bij iedereen minder vertrouwen.

Vervolgens zijn we gebruikers gaan waarschuwen voor het volgen van verdachte links in de messenger. Daarom hebben we het aantal klikken met een derde verminderd, maar dit had vrijwel geen effect op onze belangrijkste statistiek: degenen die door oplichters werden misleid, werden door geen enkele waarschuwing tegengehouden.

Vervolgens introduceerden we een witte lijst met links. We zijn gestopt met het markeren van onbekende links in de Avito-messenger; je kunt ze niet langer met één klik volgen. Bij het kopiëren van een verdachte link werd ook een waarschuwing getoond. Deze beslissing had voor het eerst een positieve impact op onze statistieken.

We begonnen actief te straffen voor de overdracht van verdachte links in de Avito-messenger: blokkeer of weiger de advertenties van de verkoper. Als reactie hierop begonnen oplichters gebruikers van onze chat om te leiden naar instant messengers van derden. Vervolgens hebben we een waarschuwing afgegeven om niet naar een andere messenger over te schakelen als je dit in de chat vermeld ziet staan. Deze functie begon met het zoeken naar reguliere expressies en daarna hebben we deze vervangen door een ML-model.

Toen begonnen oplichters gebruikers naar e-mail te lokken. Om dit te doen hadden ze hetzelfde nodig wat wij allemaal nodig hebben: vertrouwen. Ze begonnen potentiële slachtoffers afbeeldingen te sturen waarop Avito naar verluidt om het e-mailadres van de koper had gevraagd. Dit is oplichting. We hebben geen e-mailadressen van kopers nodig.

Hier antwoordt onze ondersteuning zogenaamd dat het e-mailadres van de koper nodig is voor bezorging

En hier in onze interface lijkt er een nieuw veld te zijn voor het invoeren van e-mail

Als iemand anders een valse link zou kunnen onderscheiden, kan de brief gemakkelijk worden vervalst en is deze betrouwbaarder. We zijn begonnen met het verwijderen van het e-mailbericht en het tonen van een waarschuwing aan de gebruiker over de gevaren van een dergelijke actie. Als de gebruiker na de waarschuwing de e-mail opnieuw verzendt, verwijderen we deze niet meer.

Oplichters zijn klanten begonnen te vragen hun e-mailadres in meerdere berichten op te geven of het @-symbool te vervangen door iets anders. Toen begonnen we een waarschuwing weer te geven, zelfs bij het aanvragen van post. Het complex van deze maatregelen maakte het mogelijk om vrijwel volledig te voorkomen dat gebruikers de Avito-messenger verlieten voor e-mail.

Onze huidige mechanismen zijn behoorlijk effectief, maar niet gebruiksvriendelijk. Het e-mailbericht wordt volledig verwijderd en bevat vaak andere tekst. Maar het was de snelste en goedkoopste oplossing om te ontwikkelen. We denken erover na hoe we het opnieuw kunnen maken en verbeteren.

Een van onze nieuwste initiatieven is het bellen van het nummer. Normaal gesproken duren de nummers die oplichters gebruiken om accounts te registreren niet lang. We bellen het nummer van de verkoper nadat we een advertentie op Avito hebben geplaatst. Als u telefonisch niet bereikbaar bent, zal moderatie de advertentie afwijzen. De oplichters begonnen vlak voor de publicatie het telefoonnummer te wijzigen, zodat we konden bellen zolang het nog beschikbaar was.

En hier is de feedback van de oplichter

In verdachte gevallen verlagen we de prioriteit van de advertentie in de zoekresultaten en verwijderen we deze uit de aanbevelingen. Tegelijkertijd hebben we een vertraging bij de uitgifte ingesteld van maximaal 48 uur om tijd te garanderen om alles zorgvuldig te controleren en wat meer ongemak voor oplichters te veroorzaken.

Dit is nog maar het topje van de ijsberg, er zijn nog veel meer vormen van fraude.

Helaas is het onmogelijk om alle vormen van fraude in één artikel te beschrijven. Toen we hoorden over de introductie van het zelfisolatieregime, werd het meteen duidelijk dat oplichters die offline geld verdienden, ook online zouden opereren. Ze zullen hun gedragspatronen een paar maanden niet willen veranderen en goede burgers willen worden. Dit heeft geleid tot een ware hausse aan fraude op alle online platforms en per telefoon.

Onder de soorten fraude zijn er zeldzame en zelfs grappige. Hier doet de oplichter zich bijvoorbeeld voor als een robot om de communicatiekosten te verlagen:

Ondanks het feit dat er elke dag steeds minder oplichters op Avito zijn en er in het hele land invallen plaatsvinden waar wetshandhavingsfunctionarissen hen, ondanks proxy's en VPN's, arresteren en leiden tot echte straffen van maximaal 2 jaar gevangenisstraf voor bedrog van 2500 -5000 roebel, het is onmogelijk om volledig van fraude af te komen.

We zullen niet publiekelijk over andere ideeën en innovaties praten, om het werk van oplichters niet gemakkelijker te maken. Wij begrijpen dat deze strijd zal voortduren. Het is onze taak om het leven van oplichters zo moeilijk mogelijk te maken, om dit soort activiteiten op onze bron simpelweg onrendabel en te gevaarlijk te maken, terwijl goede gebruikers minimaal worden geschaad.

Werk resultaten

Hier is de tijdlijn voor ondersteuningsoproepen bij bezorgingsfraude. De afgelopen weken bleef het op een consistent laag niveau:

Hoe u kunt voorkomen dat u slachtoffer wordt van een oplichter

Fraudeurs zijn de vlieg in de zalf van winstgevende aanbiedingen. Om altijd veilig te blijven, volgt u deze regels:

1. Deel geen gevoelige gegevens. Geen: volledige naam, telefoonnummer, adres, e-mailadres, geboortedatum en -plaats, informatie over familie en inkomen, kaartgegevens, contacten in andere messengers. Vertel nooit codes via sms en pushmeldingen.
2. Voer alle communicatie uitsluitend via onze messenger uit, dan kunnen wij u waarschuwen in geval van gevaar.
3. Controleer de beoordeling en profielleeftijd van de verkoper. De argwaan wordt gewekt door lage prijzen, recente registratiedatum op de site en negatieve recensies.
4. Als de knop ‘Kopen met bezorging’ inactief is, vindt er geen levering van goederen plaats via vertrouwde Avito-partners. Andere bezorgmethoden brengen altijd een risico met zich mee.
5. Klik niet op koppelingen. De link om geld te betalen of te ontvangen moet via een systeembericht naar de ingebouwde Avito-messenger worden verzonden. Een echte link begint altijd met het domein www.avito.ru. Elke andere combinatie van woorden en symbolen is fraude.
6. Neem de tijd en doe alle aankopen nuchter. Let op elk klein detail. Fraudeurs oefenen vaak druk uit op potentiële kopers en dreigen het product aan iemand anders te verkopen. Eerlijke verkopers zijn loyaal en staan ​​klaar voor aanvullende vragen.
7. Betaal geen vooruitbetaling voor diensten, tenzij u vertrouwen heeft in de verkoper.
8. Installeer geen extensies of programma's van derden.
9. Als u een verdacht profiel of advertentie ziet, schrijf er dan over in onze steun. Wij zullen de verkoper controleren. Op internet is het beter om niemand te vertrouwen en extra controles uit te voeren.

Bron: www.habr.com