Como a Avito identifica golpistas e combate fraudes

Olá, Habr. Sou Igor, líder de uma equipe que combate golpistas no Avito. Hoje falaremos sobre a eterna batalha contra os canalhas que tentam e às vezes até enganam os compradores online através da entrega de mercadorias.

Há muito tempo que lutamos contra a fraude. Os golpistas de hoje enganam as pessoas imitando as interfaces e funções das plataformas de negociação online. Por exemplo, eles criam esquemas para entrega de correio expresso em mercados.

Em janeiro de 2020, instruções prontas para golpistas e todas as ferramentas necessárias apareceram na Internet. Depois, o auto-isolamento colocou lenha na fogueira: aqueles que anteriormente haviam trapaceado e roubado nas ruas e em apartamentos foram forçados a ficar online. Talvez esses mesmos “golpistas” tenham ligado muito para você ultimamente, escrevendo em mensagens instantâneas, SMS e cartas. Eles se apresentam como funcionários de bancos e agências de aplicação da lei, parentes distantes ou notários. Escreva nos comentários que tipo de fraude você encontrou da última vez.

Esquemas de fraude padrão

O esquema mais comum para enganar um comprador na entrega de mercadorias é assim:

1. O golpista publica um anúncio com um produto popular na categoria de preço médio. Por exemplo, com a venda de scooters elétricos - eles são populares no verão.
2. De qualquer forma, ele convence um potencial comprador a fazer a entrega. Os pretextos podem ser diferentes: saí da cidade durante a pandemia ou estou muito ocupado e não posso comparecer à reunião.
3. Após receber o consentimento, o golpista envia um link de pagamento falso. A página vinculada é semelhante ao formulário Avito padrão.
4. A vítima paga as compras e se despede do dinheiro.
5. O golpista está tentando ganhar mais dinheiro oferecendo a devolução do pagamento. Ele envia ao comprador um novo formulário de reembolso, mas na realidade ele cobra novamente. A página de devolução é a mesma página de pagamento, mas o texto do botão foi alterado de “pagar” para “devolver”.

Abaixo está um exemplo de página falsa que um golpista pode enviar. O domínio imita o Avito e o site em si é semelhante à página de checkout de uma loja online. As páginas falsas geralmente usam o protocolo https e é impossível distingui-las por esse recurso. Após o preenchimento dos dados, o usuário é direcionado para a página de pagamento do pedido, onde é solicitado a inserir os dados do seu cartão bancário.

Páginas falsas de pagamento e reembolso de produtos

Bloqueamos vendedores suspeitos. Portanto, para realizar tais operações, os golpistas precisam criar constantemente novas contas no Avito. Eles próprios os registram usando SMS para um número virtual temporário ou compram contas roubadas. Um cartão SIM virtual custa 60 copeques, a conta de outra pessoa no mercado paralelo custa 10 rublos. Os custos de ambos são incomparavelmente menores do que a receita única proveniente de usuários enganadores.

Era o Avito Scam 1.0, mas já apareceram as versões 2.0, 3.0 e até 4.0. Estas não são nossas designações - elas são usadas pelos próprios golpistas.

Eles enganam não apenas os compradores, mas também os vendedores. O segundo diagrama é assim:

1. O comprador supostamente enviou o dinheiro por meio de uma transação segura.
2. Ele envia ao vendedor um link falso onde ele pode receber o pagamento.
3. O vendedor é levado a uma página que solicita os dados do seu cartão e, com isso, o valor é debitado de sua conta.

O esquema Scam 3.0 funciona assim:

1. O vendedor publica anúncios com entrega ativada via Avito.
2. Quando o comprador paga pela mercadoria, o golpista lhe envia uma captura de tela na qual Avito supostamente pede um código de confirmação.
3. Usando o código, o vendedor faz login na conta do usuário. No perfil do comprador, o golpista marca uma caixa indicando que recebeu a mercadoria. O comprador fica sem dinheiro e sem compra.

E o esquema 4.0 está organizado da seguinte forma:

1. O comprador finge ter pago pela mercadoria e envia um recibo falso. Os recibos são enviados para qualquer lugar: por e-mail ou por meio de mensageiro terceirizado. Depende do contato que o vendedor deu ao golpista.
2. O vendedor recebe um SMS que simula uma transferência bancária.
3. Poucos minutos depois, o comprador escreve que um produto de outro vendedor seria mais adequado para ele e pede o reembolso. O argumento “devolva, você não é um fraudador” é frequentemente usado. O vendedor envia o valor ao comprador, mas do próprio bolso, pois não houve pagamento.

O que os golpistas estão pressionando?

Os cinco contextos mais populares em que as pessoas caem nas garras dos golpistas:

1. Proposta única de venda. O preço ou produto compara-se favoravelmente com outras ofertas.
2. Excitação. O vendedor tem várias pessoas dispostas a comprar o produto, então ele força um adiantamento.
3. Urgência. O comprador se oferece para comprar a mercadoria com urgência por qualquer dinheiro e pede todos os dados do cartão bancário para transferir o dinheiro.
4. Bom coração. O golpista pede ajuda para adquirir um produto: por exemplo, o comprador tem problemas de saúde ou não consegue retirar pessoalmente o produto. O fraudador pede os dados do cartão para transferir o dinheiro, e a mercadoria será supostamente retirada por um mensageiro.
5. Várias localidades e cidades. Nesse caso, o pré-pagamento é condição obrigatória da transação, o que abre um enorme campo de atuação para os fraudadores.

Esquema de “trabalho” de golpistas

Três grupos de pessoas estão envolvidos no esquema fraudulento: trabalhadores, apoios, TS.

Os trabalhadores, da palavra trabalhador, são o maior grupo de pessoas, principalmente escolares e estudantes. Eles criam contas de forma independente no Avito e procuram vítimas, que são chamadas de mamutes. Depois, usando habilidades de engenharia social, convencem as vítimas a pagar por algo e enviam-lhes um link falso. Se a vítima paga pelos “bens”, então a tarefa dos trabalhadores, com a ajuda do apoio, é transferir a vítima para um reembolso, alegando algum tipo de erro técnico.

Apoiadores são pessoas que, por uma renda fixa, ajudam trabalhadores novatos a enganar os usuários. Eles dão conselhos, recomendam produtos “lucrativos” e muitas vezes estão dispostos a fornecer outros serviços para uma determinada percentagem da transação fraudulenta, por exemplo, preparando um passaporte no Photoshop, ligando para a vítima, escrevendo-lhe em nome do suporte técnico.

TS, do Topic Starter em fóruns paralelos, onde os trabalhadores foram inicialmente contratados, são essencialmente organizadores. Eles baixam ou compram software, que consiste em duas partes:

1. Bot do Telegram, que é a principal ferramenta dos golpistas. Nele você pode obter um link falso para um produto, receber notificações sobre cliques ou pagamentos.
2. Versão web, responsável por exibir a página de pagamento/devolução/recebimento. Um sistema de pagamento para aceitar pagamentos também está conectado a ele.

Os organizadores ganham dinheiro com uma porcentagem da transferência de cada vítima, que é chamada de lucro. Por isso, procuram divulgar seu projeto e pagar apoio para treinar os recém-chegados. Eles também suportam todos os custos associados à compra de novos domínios e cartões para os quais provém o dinheiro.

Depois de analisar os códigos-fonte de muitas variantes de scripts fraudulentos, chegamos à conclusão de que a maioria deles foi escrita em PHP, mas em um nível muito ruim. Quase todos os scripts coletam informações sobre seus usuários, incluindo trabalhadores. Uma das suposições pelas quais fazem isso é que, quando as autoridades policiais entrarem em contato com o organizador, ele cooperará com a investigação e tentará reduzir a punição tanto quanto possível, revelando os trabalhadores.

Além de scripts, os golpistas usam bombardeiros. São bots que oferecem a oportunidade de enviar spam para seu telefone com SMS e chamadas. Os bombardeiros funcionam assim: acessam diversos sites e solicitam cadastro ou recuperação de senha por meio de um número de telefone. Normalmente, os golpistas os conectam às vítimas por 2 a 72 horas. E este é um motivo importante para não mostrar o seu número de telefone na Internet.

Alguns TS também contratam desenvolvedores que fazem melhorias no bot ou site. Por exemplo, eles melhoram as classificações dos trabalhadores ou protegem os scripts contra vulnerabilidades encontradas nas versões gratuitas. Porém, na busca por lucros rápidos, o veículo pode ficar com todo o lucro para si, enganando seus próprios trabalhadores. Ao mesmo tempo, há um grupo de caras que ganham dinheiro com os próprios golpistas, enganando-os em vários serviços.

A renda média diária de um fraudador-executor é de 20 rublos, e a de um fraudador-organizador é de 000 rublos. A principal coisa a lembrar: apesar da aparente impunidade e dos benefícios dos “negócios”, toda esta actividade cai sob a alçada nos termos do artigo 159 do Código Penal da Federação Russa. Os fraudadores são detidos e recebem sentenças reais, mesmo nos casos em que o dano causado pelo engano chega a 5 a 7 mil rublos.

Transferimos todas as informações que temos sobre fraude para as agências de aplicação da lei. Estamos convencidos de que, apesar da aparente rentabilidade e facilidade do esquema, os nossos leitores compreendem que apenas pessoas de mente estreita que não compreendem todos os riscos se envolvem em fraudes.

Uma batalha épica entre antifraude e golpistas

Contaremos quais medidas tomamos nos primeiros meses de 2020 para proteger nossos usuários e como os golpistas responderam.

A principal métrica em que confiamos para avaliar a eficácia do nosso trabalho foi o número de chamadas de suporte com entrega paga pelo golpista. Bloqueamos a maioria dos anúncios fraudulentos antes mesmo de chegarem ao site. Mas quando quase todo o comércio passou a ser online, registámos um aumento nos pedidos. Esta informação também é confirmada pelos bancos: em abril e maio enviaram alertas massivos sobre o crescimento da fraude nas compras online.

Para receber feedback rápido sobre novas ferramentas, uma pessoa da nossa equipe se infiltrou em dezenas de grupos fechados de golpistas. Em um deles, ele passou em uma entrevista como desenvolvedor e teve acesso ao código-fonte dos bots fraudulentos, além de entrar no grupo de organizadores. Graças a isso, sempre tivemos informações atualizadas e em primeira mão.

Entendendo os riscos decorrentes do início do auto-isolamento, iniciamos os trabalhos antes do aumento ativo de solicitações. Uma das primeiras medidas técnicas foi a implementação de um anti-hack para roubar contas de usuários das garras dos invasores. Para isso, se o login e a senha foram digitados corretamente, mas a geolocalização era suspeita, solicitamos um código de um SMS que foi enviado ao titular da conta. Em resposta, os golpistas começaram a registrar mais contas independentes. Isso funciona a nosso favor - novas contas de vendedores inspiram menos confiança em todos.

Em seguida, começamos a alertar os usuários sobre links suspeitos no messenger. Então reduzimos em um terço o número de cliques, mas isso quase não teve efeito em nossa métrica principal: quem foi enganado por golpistas não foi parado por nenhum aviso.

Em seguida, introduzimos uma lista branca de links. Paramos de destacar links desconhecidos no Avito messenger, você não pode mais segui-los com um clique. Ao copiar um link suspeito, um aviso também era mostrado. Esta decisão teve um impacto positivo nas nossas métricas pela primeira vez.

Passamos a punir ativamente pela transmissão de links suspeitos no Avito messenger: bloquear ou rejeitar os anúncios do vendedor. Em resposta, os golpistas começaram a desviar os usuários do nosso bate-papo para mensageiros instantâneos de terceiros. Em seguida, emitimos um aviso para não mudar para outro mensageiro caso ele seja mencionado no chat. Esta função começou com uma pesquisa de expressão regular e depois a substituímos por um modelo de ML.

Então, os golpistas começaram a enganar os usuários por e-mail. Para fazer isso, eles precisavam da mesma coisa que todos nós precisamos: confiança. Eles começaram a enviar imagens às vítimas em potencial onde Avito supostamente solicitava o e-mail do comprador. Isso é uma farsa – não precisamos dos e-mails dos compradores.

Aqui nosso suporte supostamente responde que o e-mail do comprador é necessário para a entrega

E aqui em nossa interface parece haver um novo campo para inserir email

Se outra pessoa conseguir distinguir um link falso, a carta poderá ser facilmente falsificada e será mais confiável. Começamos a excluir a mensagem de e-mail e a mostrar ao usuário um aviso sobre os perigos de tal ação. Se após o aviso o usuário enviar o e-mail novamente, não o excluímos mais.

Os golpistas começaram a pedir aos clientes que enviassem seus endereços de e-mail em várias mensagens ou com o símbolo @ substituído por outro. Aí começamos a exibir um aviso mesmo na solicitação de correspondência. O complexo destas medidas permitiu evitar quase completamente que os utilizadores saíssem do Avito messenger para ir ao correio.

Nossa mecânica atual é bastante eficaz, mas não é fácil de usar. A mensagem de email é excluída completamente e geralmente contém outro texto. Mas foi a solução mais rápida e barata de desenvolver. Estamos pensando em como refazê-lo e melhorá-lo.

Uma de nossas iniciativas mais recentes é discar o número. Normalmente, os números que os golpistas usam para registrar contas não duram muito. Ligamos para o número do vendedor após enviar um anúncio no Avito. Se você não conseguir falar por telefone, a moderação rejeitará o anúncio. Os golpistas começaram a alterar o número de telefone imediatamente antes da publicação para que pudéssemos ligar enquanto ainda estava disponível.

E aqui está o feedback do golpista

Em casos suspeitos, reduzimos a prioridade do anúncio nos resultados da pesquisa e o removemos das recomendações. Ao mesmo tempo, estabelecemos um atraso na emissão em até 48 horas para garantir tempo de verificar tudo com atenção e causar um pouco mais de transtorno aos golpistas.

Esta é apenas a ponta do iceberg, existem muitos outros tipos de fraude.

Infelizmente, é impossível descrever todos os tipos de fraude num só artigo. Quando soubemos da introdução do regime de auto-isolamento, ficou imediatamente claro que os golpistas que ganhavam dinheiro offline iriam operar online. Eles não vão querer mudar seus padrões de comportamento por alguns meses e se tornarem bons cidadãos. Isto levou a um verdadeiro boom de fraudes em todas as plataformas online e por telefone.

Entre os tipos de fraude, existem algumas raras e até engraçadas. Por exemplo, aqui o golpista finge ser um robô para reduzir custos de comunicação:

Apesar do fato de que há cada vez menos golpistas no Avito todos os dias, e as batidas ocorrem em todo o país onde os policiais os encontram, apesar dos proxies e VPNs, os detêm e levam a sentenças reais de até 2 anos de prisão por enganos de 2500 a 5000 rublos, é impossível se livrar completamente da fraude.

Não falaremos publicamente sobre outras ideias e inovações, para não facilitar o trabalho dos golpistas. Entendemos que esta batalha continuará. Nossa tarefa é tornar a vida dos golpistas o mais difícil possível, tornar esse tipo de atividade em nosso recurso simplesmente não lucrativa e muito perigosa, ao mesmo tempo que prejudica minimamente os bons usuários.

os resultados

Aqui está o cronograma para chamadas de suporte a fraudes na entrega. Nas últimas semanas, manteve-se num nível consistentemente baixo:

Como evitar ser vítima de um golpista

Os fraudadores são a mosca na sopa de ofertas lucrativas. Para ficar sempre seguro, basta seguir estas regras:

1. Não compartilhe dados confidenciais. Nenhum: nome completo, telefone, endereço, e-mail, data e local de nascimento, informações sobre família e renda, dados do cartão, contatos em outros mensageiros. Nunca informe códigos de SMS e notificações push.
2. Realize todas as comunicações apenas dentro do nosso messenger, assim poderemos avisá-lo em caso de perigo.
3. Verifique a classificação do vendedor e a idade do perfil. A suspeita é levantada por preços baixos, data recente de cadastro no site e avaliações negativas.
4. Se o botão “Comprar com entrega” estiver inativo, não haverá entrega de mercadorias por meio de parceiros Avito confiáveis. Outros métodos de entrega são sempre um risco.
5. Não clique em links. O link para pagar ou receber dinheiro deve ser enviado ao mensageiro Avito integrado por meio de uma mensagem do sistema. Um link real sempre começa com o domínio www.avito.ru. Qualquer outra combinação de palavras e símbolos é fraude.
6. Não tenha pressa e faça todas as compras sóbrias. Esteja atento a cada pequeno detalhe. Os fraudadores muitas vezes pressionam os potenciais compradores e ameaçam vender o produto para outra pessoa. Os vendedores honestos são leais e estão prontos para perguntas adicionais.
7. Não faça um pagamento adiantado por nenhum serviço, a menos que tenha confiança no vendedor.
8. Não instale extensões ou programas de terceiros.
9. Se você vir um perfil ou anúncio suspeito, escreva sobre isso em nosso apoio. Iremos verificar o vendedor. Na Internet é melhor não confiar em ninguém e fazer verificações adicionais.

Fonte: habr.com