Hvordan Avito identifiserer svindlere og bekjemper svindel

Hei, Habr. Jeg er Igor, lederen for et team som kjemper mot svindlere på Avito. I dag skal vi snakke om den evige kampen med skurker som prøver og til og med noen ganger lure nettshoppere gjennom levering av varer.

Vi har kjempet mot svindel i lang tid. Dagens svindlere bedrar folk ved å etterligne grensesnittene og funksjonene til online handelsplattformer. For eksempel kommer de med ordninger for budlevering på markedsplasser.

I januar 2020 dukket det opp ferdige instruksjoner for svindlere og alle nødvendige verktøy på Internett. Så satte selvisolering bensin på bålet: de som tidligere hadde jukset og stjålet på gata og i leiligheter ble tvunget til å gå på nett. Kanskje de samme "svindlerne" har ringt deg mye i det siste, og skrevet i direktemeldinger, SMS og brev. De presenterer seg som ansatte i banker og rettshåndhevelsesbyråer, fjerne slektninger eller notarius publicus. Skriv i kommentarfeltet hvilken type svindel du møtte sist gang.

Standard svindelordninger

Den vanligste ordningen for å lure en kjøper med levering av varer ser slik ut:

1. Svindleren publiserer en annonse med et populært produkt i mellompriskategorien. For eksempel med salg av elektriske scootere - de er populære om sommeren.
2. Han overtaler uansett en potensiell kjøper til levering. Påskuddene kan være forskjellige: Jeg forlot byen under pandemien, eller jeg er bare for opptatt og kan ikke komme til møtet.
3. Etter å ha mottatt samtykke, sender svindleren en falsk betalingslenke. Den koblede siden ligner på standard Avito-skjema.
4. Offeret betaler for innkjøp og sier farvel til pengene.
5. Svindleren prøver å tjene mer penger ved å tilby å returnere betalingen. Han sender kjøperen et nytt skjema for refusjon, men i realiteten belaster han dem på nytt. Retursiden er samme betalingsside, men teksten på knappen er endret fra «betal» til «retur».

Nedenfor er et eksempel på en falsk side som en svindler kan sende. Domenet etterligner Avito, og selve siden ligner på betalingssiden i en nettbutikk. Falske sider er ofte på https-protokollen, og det er umulig å skille dem fra denne funksjonen. Etter å ha fylt ut dataene, blir brukeren ført til ordrebetalingssiden, hvor han blir bedt om å oppgi bankkortinformasjonen sin.

Falske produktbetalings- og refusjonssider

Vi blokkerer mistenkelige selgere. Derfor, for å utføre slike operasjoner, må svindlere hele tiden opprette nye kontoer på Avito. De registrerer dem enten selv ved hjelp av SMS til et midlertidig virtuelt nummer, eller kjøper stjålne kontoer. Et virtuelt SIM-kort koster fra 60 kopek, en annens konto på skyggemarkedet koster fra 10 rubler. Kostnadene for begge er uforlignelig mindre enn til og med engangsinntekter fra å lure brukere.

Det var Avito Scam 1.0, men versjon 2.0, 3.0 og til og med 4.0 har allerede dukket opp. Dette er ikke våre betegnelser – de brukes av svindlerne selv.

De lurer ikke bare kjøpere, men også selgere. Det andre diagrammet ser slik ut:

1. Kjøperen skal ha sendt pengene gjennom en sikker transaksjon.
2. Han sender selgeren en falsk lenke hvor han kan motta betaling.
3. Selgeren blir ført til en side som ber om kortopplysningene hans, og som et resultat blir beløpet trukket fra kontoen hans.

Scam 3.0-ordningen fungerer slik:

1. Selger publiserer annonser med aktivert levering via Avito.
2. Når kjøperen betaler for varene, sender svindleren ham et skjermbilde der Avito angivelig ber om en bekreftelseskode.
3. Ved hjelp av koden logger selgeren inn på brukerens konto. I kjøperens profil merker svindleren av i en boks som indikerer at han mottok varene. Kjøperen står igjen uten penger og kjøp.

Og 4.0-ordningen er ordnet som følger:

1. Kjøper utgir seg for å ha betalt for varene og sender en falsk kvittering. Kvitteringer sendes hvor som helst: via e-post eller via en tredjeparts messenger. Avhenger av hvilken kontakt selgeren ga svindleren.
2. Selger mottar en SMS som etterligner en overføring fra banken.
3. Noen minutter senere skriver kjøperen at et produkt fra en annen selger ville være bedre egnet for ham og ber om refusjon. Argumentet "gi tilbake, du er ikke en svindler" brukes ofte. Selger sender beløpet til kjøper, men fra egen lomme, fordi det ikke var noen betaling.

Hva presser svindlere på?

De fem mest populære kontekstene der folk faller i klørne til svindlere:

1. Unikt salgsforslag. Prisen eller produktet kan sammenlignes med andre tilbud.
2. Begeistring. Selgeren har flere som er villige til å kjøpe produktet, så han tvinger fram en forskuddsbetaling.
3. Hastverk. Kjøperen tilbyr å raskt kjøpe varene for penger og ber om all bankkortinformasjon for å overføre penger.
4. Godhjertethet. Svindleren ber om hjelp til å kjøpe et produkt: kjøperen har for eksempel helseproblemer eller er ute av stand til å hente produktet personlig. Svindleren ber om kortdetaljer for å overføre penger, og varene skal visstnok hentes av en kurer.
5. Ulike lokaliteter og byer. I dette tilfellet er forskuddsbetaling en obligatorisk betingelse for transaksjonen, og dette åpner for et stort aktivitetsfelt for svindlere.

Ordning med "arbeid" av svindlere

Tre grupper mennesker er involvert i svindelordningen: arbeidere, støtte, TS.

Arbeidere, fra ordet arbeider, er den største gruppen mennesker, hovedsakelig skoleelever og studenter. De oppretter uavhengig kontoer på Avito og ser etter ofre, som kalles mammuter. Deretter overbeviser de ofrene om å betale for noe ved å bruke sosiale ingeniørferdigheter og sender dem en falsk lenke. Hvis offeret betaler for "varene", så er arbeidernes oppgave, ved hjelp av støtte, å overføre offeret til en refusjon, med henvisning til en slags teknisk feil.

Support er personer som for en fast inntekt hjelper nybegynnere med å lure brukere. De gir råd, anbefaler "lønnsomme" produkter og er ofte villige til å tilby andre tjenester for en viss prosentandel av den uredelige transaksjonen, for eksempel å lage et pass i Photoshop, ringe offeret, skrive til henne på vegne av teknisk støtte.

TS, fra Topic Starter på skyggefora, der arbeidere opprinnelig ble ansatt, er i hovedsak arrangører. De laster ned eller kjøper programvare, som består av to deler:

1. Telegram bot, som er hovedverktøyet for svindlere. I den kan du få en falsk lenke til et produkt, motta varsler om klikk eller betalinger.
2. Webversjon, som er ansvarlig for å vise betalings-/retur-/kvitteringssiden. Et betalingssystem for å akseptere betalinger er også koblet til den.

Arrangørene tjener penger på en prosentandel av hvert offers overføring, som kalles profitt. Derfor prøver de å annonsere prosjektet sitt og betale støtte for å lære opp nykommere. De bærer også alle kostnadene knyttet til kjøp av nye domener og kort som pengene kommer for.

Etter å ha sett på kildekodene til mange varianter av uredelige skript, kom vi til at de fleste av dem var skrevet i PHP, men på et svært dårlig nivå. Nesten alle skript samler inn informasjon om brukerne, inkludert arbeidere. En av forutsetningene for at de gjør dette er at når rettshåndhevende etater kontakter arrangøren, vil han samarbeide med etterforskningen og prøve å redusere straffen så mye som mulig ved å avsløre arbeiderne.

I tillegg til manus bruker svindlere bombefly. Dette er bots som gir muligheten til å spamme telefonen din med SMS og anrop. Bombefly fungerer slik: de går til forskjellige nettsteder og ber om registrering eller gjenoppretting av passord ved hjelp av et telefonnummer. Vanligvis kobler svindlere dem til ofre i 2-72 timer. Og dette er en viktig grunn til ikke å vise telefonnummeret ditt på Internett.

Noen TS ansetter også utviklere som gjør forbedringer for boten eller nettstedet. For eksempel forbedrer de arbeidervurderinger eller beskytter skript mot sårbarheter som finnes i gratisversjoner. Men i jakten på rask fortjeneste kan kjøretøyet ta alle inntektene for seg selv, og lure sine egne arbeidere. Samtidig er det en gruppe karer som tjener penger på svindlerne selv, og lurer dem til ulike tjenester.

Den gjennomsnittlige daglige inntekten til en svindler-eksekutor er 20 000 rubler, og for en svindler-arrangør er 200 000 rubler. Det viktigste å huske: til tross for den tilsynelatende straffriheten og fordelene ved "virksomhet", faller all denne aktiviteten inn under under artikkel 159 i den russiske føderasjonens straffelov. Svindlere blir arrestert og gitt reelle dommer selv i tilfeller der skaden fra bedrag beløper seg til 5-7 tusen rubler.

Vi overfører all informasjon vi har om svindel til rettshåndhevende instanser. Vi er overbevist om at til tross for den tilsynelatende lønnsomheten og lette ordningen, forstår våre lesere at bare trangsynte mennesker som ikke innser alle risikoene driver med svindel.

En episk kamp mellom antisvindel og svindlere

Vi vil fortelle deg hvilke skritt vi tok i de første månedene av 2020 for å beskytte brukerne våre, og hvordan svindlerne reagerte.

Den viktigste beregningen vi stolte på for å evaluere effektiviteten av arbeidet vårt, var antallet støtteanrop med levering betalt av svindleren. Vi blokkerer de fleste uredelige annonser før de i det hele tatt når nettstedet. Men da nesten all handel flyttet på nettet, registrerte vi en økning i forespørsler. Denne informasjonen er også bekreftet av bankene: i april og mai sendte de ut massive advarsler om veksten av svindel ved nettkjøp.

For å få rask tilbakemelding på nye verktøy, infiltrerte en person fra teamet vårt dusinvis av lukkede grupper av svindlere. I en av dem bestod han et intervju som utvikler og fikk tilgang til kildekoden til svindelroboter, og kom også inn i gruppen av arrangører. Takket være dette hadde vi alltid fersk førstehåndsinformasjon.

For å forstå risikoen på grunn av begynnelsen av selvisolering, begynte vi arbeidet før den aktive økningen i forespørsler. En av de første tekniske tiltakene var implementeringen av en anti-hack for å rive brukerkontoer fra angripernes klør. For å gjøre dette, hvis pålogging og passord ble angitt riktig, men geolokaliseringen var mistenkelig, ba vi om en kode fra en SMS som ble sendt til kontoeieren. Som svar begynte svindlere å registrere flere uavhengige kontoer. Dette fungerer til vår fordel - ferske selgerkontoer inspirerer til mindre tillit hos alle.

Deretter begynte vi å advare brukere om å følge mistenkelige lenker i messengeren. Så vi reduserte antall klikk med en tredjedel, men dette hadde nesten ingen effekt på hovedmålet vårt: de som ble lurt av svindlere ble ikke stoppet av noen advarsler.

Deretter introduserte vi en hvit liste over lenker. Vi har sluttet å markere ukjente lenker i Avito-messengeren; du kan ikke lenger følge dem med ett klikk. Ved kopiering av en mistenkelig lenke ble det også vist en advarsel. Denne avgjørelsen hadde en positiv innvirkning på beregningene våre for første gang.

Vi begynte å straffe aktivt for overføring av mistenkelige lenker i Avito-messengeren: blokker eller avvis selgerens annonser. Som svar begynte svindlere å avlede brukere fra chatten vår til tredjeparts direktemeldinger. Så ga vi en advarsel om ikke å bytte til en annen messenger hvis du ser det nevnt i chatten. Denne funksjonen startet med et regulært uttrykkssøk, deretter erstattet vi den med en ML-modell.

Så begynte svindlere å lure brukere til e-post. For å gjøre dette trengte de det samme vi alle trenger: tillit. De begynte å sende bilder til potensielle ofre der Avito angivelig ba om kjøperens e-post. Dette er en svindel - vi trenger ikke kjøpers e-post.

Her svarer vår support visstnok at kjøperens e-post er nødvendig for levering

Og her i grensesnittet vårt ser det ut til å være et nytt felt for å skrive inn e-post

Hvis noen andre kunne skille mellom en falsk lenke, kan brevet lett forfalskes og er mer pålitelig. Vi begynte å slette e-postmeldingen og vise brukeren en advarsel om farene ved en slik handling. Hvis brukeren etter advarselen sender e-posten igjen, sletter vi den ikke lenger.

Svindlere har begynt å be kunder om å sende e-postadressen sin i flere meldinger eller med @-symbolet erstattet med noe annet. Så begynte vi å vise en advarsel selv når vi ba om post. Komplekset av disse tiltakene gjorde det mulig å nesten fullstendig forhindre brukere fra å forlate Avito-messengeren for e-post.

Vår nåværende mekanikk er ganske effektiv, men ikke brukervennlig. E-postmeldingen slettes fullstendig, og inneholder ofte annen tekst. Men det var den raskeste og billigste løsningen å utvikle. Vi tenker på hvordan vi skal lage og forbedre den.

Et av våre siste initiativ er å slå nummeret. Vanligvis varer ikke tallene svindlere for å registrere kontoer lenge. Vi ringer selgerens nummer etter å ha sendt inn en annonse på Avito. Hvis du ikke kommer gjennom via telefon, vil moderering avvise annonsen. Svindlerne begynte å endre telefonnummeret rett før publisering slik at vi kunne ringe mens det fortsatt var tilgjengelig.

Og her er tilbakemeldingen fra svindleren

I mistenkelige tilfeller senker vi prioriteten til annonsen i søkeresultatene og fjerner den fra anbefalingene. Samtidig setter vi en forsinkelse i utstedelsen på opptil 48 timer for å garantere tid til å sjekke alt nøye og forårsake litt mer ulempe for svindlere.

Dette er bare toppen av isfjellet, det finnes mange flere typer svindel.

Dessverre er det umulig å beskrive alle typer svindel i én artikkel. Da vi fikk vite om innføringen av selvisolasjonsregimet, ble det umiddelbart klart at svindlere som tjente penger offline, ville kjøre online. De vil ikke endre atferdsmønstrene sine på noen måneder og bli gode samfunnsborgere. Dette har ført til en real boom i svindel på alle nettplattformer og via telefon.

Blant svindeltypene er det sjeldne og til og med morsomme. For eksempel, her utgir svindleren seg for å være en robot for å redusere kommunikasjonskostnadene:

Til tross for at det er færre og færre svindlere på Avito hver dag, og det foregår razziaer over hele landet der politifolk finner dem, til tross for fullmakter og VPN-er, arresterer dem og fører til reelle dommer på opptil 2 års fengsel for bedrag på 2500 -5000 rubler, det er umulig å fullstendig kvitte seg med svindel.

Vi vil ikke offentlig snakke om andre ideer og innovasjoner, for ikke å gjøre arbeidet til svindlere enklere. Vi forstår at denne kampen vil fortsette. Vår oppgave er å gjøre livet så vanskelig som mulig for svindlere, å gjøre denne typen aktivitet på ressursen vår rett og slett ulønnsom og for farlig, samtidig som den skader gode brukere minimalt.

Resultater av arbeidet

Her er tidslinjen for supportanrop for leveringssvindel. De siste ukene har det holdt seg på et gjennomgående lavt nivå:

Hvordan unngå å bli et offer for en svindler

Svindlere er fluen i salven av lønnsomme tilbud. For alltid å være trygg, følg disse reglene:

1. Ikke del sensitive data. Ingen: fullt navn, telefonnummer, adresse, e-post, fødselsdato og -sted, informasjon om familie og inntekt, kortdetaljer, kontakter i andre budbringere. Fortell aldri koder fra SMS og push-varsler.
2. Gjennomfør all kommunikasjon kun innenfor vår messenger, så vil vi kunne advare deg i tilfelle fare.
3. Sjekk selgerens rangering og profilalder. Mistanke er reist av lave priser, nylig dato for registrering på nettstedet og negative anmeldelser.
4. Hvis "Kjøp med levering"-knappen er inaktiv, er det ingen levering av varer gjennom pålitelige Avito-partnere. Andre leveringsmetoder er alltid en risiko.
5. Ikke klikk på lenker. Lenken for å betale eller motta penger skal sendes til den innebygde Avito-messengeren via en systemmelding. En ekte lenke starter alltid med domenet www.avito.ru. Enhver annen kombinasjon av ord og symboler er svindel.
6. Ta deg god tid og gjør alle kjøp nøkterne. Vær oppmerksom på hver minste detalj. Svindlere legger ofte press på potensielle kjøpere og truer med å selge produktet til noen andre. Ærlige selgere er lojale og klare for flere spørsmål.
7. Ikke forskuddsbetaling for noen tjenester med mindre du er trygg på selgeren.
8. Ikke installer noen tredjeparts utvidelser eller programmer.
9. Hvis du ser en mistenkelig profil eller annonse, skriv om det i vår støtte. Vi sjekker selgeren. På Internett er det bedre å ikke stole på noen og gjøre ytterligere kontroller.

Kilde: www.habr.com