Hur Avito identifierar bedragare och bekämpar bedrägerier

Hej, Habr. Jag är Igor, ledaren för ett team som bekämpar bedragare på Avito. Idag kommer vi att prata om den eviga kampen med skurkar som försöker och ibland lura onlineshoppare genom leverans av varor.

Vi har bekämpat bedrägerier under lång tid. Dagens bedragare lurar människor genom att imitera gränssnitten och funktionerna på onlinehandelsplattformar. Till exempel kommer de med system för budleverans på marknadsplatser.

I januari 2020 dök färdiga instruktioner för bedragare och alla nödvändiga verktyg upp på Internet. Sedan satte självisolering bränsle på elden: de som tidigare fuskat och stulit på gatan och i lägenheter tvingades gå online. Kanske har samma "bedragare" ringt dig mycket på sistone och skrivit i snabbmeddelanden, SMS och brev. De presenterar sig som anställda på banker och brottsbekämpande myndigheter, avlägsna släktingar eller notarier. Skriv i kommentarerna vilken typ av bedrägeri du råkade ut för senast.

Vanliga bedrägerisystem

Det vanligaste systemet för att lura en köpare med leverans av varor ser ut så här:

1. Bedragaren publicerar en annons med en populär produkt i mellanpriskategorin. Till exempel med försäljning av elektriska skotrar - de är populära på sommaren.
2. På något sätt övertalar han en potentiell köpare för leverans. Förevändningarna kan vara olika: jag lämnade staden under pandemin eller så är jag bara för upptagen och kan inte komma till mötet.
3. Efter att ha fått samtycke skickar bedragaren en falsk betalningslänk. Den länkade sidan liknar standardformuläret Avito.
4. Offret betalar för inköp och säger adjö till pengarna.
5. Bedragaren försöker tjäna mer pengar genom att erbjuda sig att återbetala betalningen. Han skickar köparen en ny blankett för återbetalning, men i verkligheten debiterar han dem igen. Retursidan är samma betalningssida, men texten på knappen har ändrats från "betala" till "retur".

Nedan är ett exempel på en falsk sida som en bedragare kan skicka. Domänen efterliknar Avito, och själva sajten liknar kassasidan i en webbutik. Falska sidor finns ofta på https-protokollet, och det är omöjligt att särskilja dem med den här funktionen. Efter att ha fyllt i uppgifterna tas användaren till orderbetalningssidan, där han ombeds ange sina bankkortsuppgifter.

Sidor för falsk produktbetalning och återbetalning

Vi blockerar misstänkta säljare. Därför, för att utföra sådana operationer, måste bedragare ständigt skapa nya konton på Avito. De registrerar dem antingen själva med SMS till ett tillfälligt virtuellt nummer, eller köper stulna konton. Ett virtuellt SIM-kort kostar från 60 kopek, någon annans konto på skuggmarknaden kostar från 10 rubel. Kostnaderna för båda är ojämförligt mindre än till och med engångsinkomster från att lura användare.

Det var Avito Scam 1.0, men versionerna 2.0, 3.0 och till och med 4.0 har redan dykt upp. Det här är inte våra beteckningar – de används av bedragarna själva.

De lurar inte bara köpare utan även säljare. Det andra diagrammet ser ut så här:

1. Köparen ska ha skickat pengarna genom en säker transaktion.
2. Han skickar en falsk länk till säljaren där han kan ta emot betalning.
3. Säljaren tas till en sida som frågar efter hans kortuppgifter, och som ett resultat debiteras beloppet från hans konto.

Scam 3.0-schemat fungerar så här:

1. Säljaren publicerar annonser med aktiverad leverans via Avito.
2. När köparen betalar för varorna skickar bedragaren honom en skärmdump där Avito påstås fråga efter en bekräftelsekod.
3. Med hjälp av koden loggar säljaren in på användarens konto. I köparens profil markerar bedragaren en ruta som anger att han tagit emot varorna. Köparen står utan pengar och köp.

Och 4.0-schemat är arrangerat enligt följande:

1. Köparen utger sig för att ha betalat för varan och skickar ett falskt kvitto. Kvitton skickas var som helst: via e-post eller via en tredje parts messenger. Beror på vilken kontakt säljaren gav till bedragaren.
2. Säljaren får ett sms som efterliknar en överföring från banken.
3. Några minuter senare skriver köparen att en produkt från en annan säljare skulle passa bättre för honom och ber om återbetalning. Argumentet "lämna tillbaka det, du är inte en bedragare" används ofta. Säljaren skickar beloppet till köparen, men ur egen ficka, eftersom det inte skett någon betalning.

Vad trycker bedragare på?

De fem mest populära sammanhangen där människor hamnar i klorna på bedragare:

1. Unikt säljerbjudande. Priset eller produkten kan jämföras med andra erbjudanden.
2. Spänning. Säljaren har flera personer som är villiga att köpa produkten, så han tvingar fram en förskottsbetalning.
3. Brådskande karaktär. Köparen erbjuder sig att skyndsamt köpa varorna för vilka pengar som helst och ber om all bankkortsinformation för att kunna överföra pengar.
4. Godhjärtad. Bedragaren ber om hjälp med att köpa en produkt: köparen har till exempel hälsoproblem eller kan inte själv hämta produkten. Bedragaren ber om kortuppgifter för att överföra pengar, och varorna ska förmodligen hämtas av en kurir.
5. Olika orter och städer. I det här fallet är förskottsbetalning ett obligatoriskt villkor för transaktionen, och detta öppnar ett enormt verksamhetsområde för bedragare.

System för "arbete" av bedragare

Tre grupper av människor är inblandade i det bedrägliga systemet: arbetare, stöd, TS.

Arbetare, från ordet arbetare, är den största gruppen människor, främst skolbarn och studenter. De skapar självständigt konton på Avito och letar efter offer, som kallas mammutar. Sedan, med hjälp av social ingenjörskonst, övertygar de offren att betala för något och skickar dem en falsk länk. Om offret betalar för "varorna" är arbetarnas uppgift, med hjälp av stöd, att överföra offret till en återbetalning, med hänvisning till något slags tekniskt fel.

Support är personer som för en fast inkomst hjälper nybörjare att lura användare. De ger råd, rekommenderar "lönsamma" produkter och är ofta villiga att tillhandahålla andra tjänster för en viss procent av den bedrägliga transaktionen, till exempel att förbereda ett pass i Photoshop, ringa offret, skriva till henne för teknisk support.

TS, från Topic Starter på skuggforum, där arbetare från början anställdes, är i huvudsak arrangörer. De laddar ner eller köper programvara, som består av två delar:

1. Telegram bot, som är det huvudsakliga verktyget för bedragare. I den kan du få en falsk länk till en produkt, få aviseringar om klick eller betalningar.
2. Webbversion, som ansvarar för att visa sidan för betalning/retur/kvitto. Ett betalningssystem för att ta emot betalningar är också kopplat till den.

Arrangörerna tjänar pengar på en procentandel av varje offers överföring, vilket kallas vinst. Därför försöker de annonsera ut sitt projekt och betalar ut stöd för att utbilda nyanlända. De står också för alla kostnader i samband med köp av nya domäner och kort som pengarna kommer för.

Efter att ha tittat på källkoderna för många varianter av bedrägliga skript kom vi fram till att de flesta av dem var skrivna i PHP, men på en mycket dålig nivå. Nästan alla skript samlar in information om sina användare, inklusive arbetare. Ett av antagandena varför de gör detta är att när brottsbekämpande myndigheter kontaktar arrangören kommer han att samarbeta med utredningen och försöka minska straffet så mycket som möjligt genom att avslöja arbetarna.

Förutom manus använder bedragare bombplan. Det här är bots som ger möjlighet att spamma din telefon med SMS och samtal. Bombplan fungerar så här: de går till olika platser och begär registrering eller lösenordsåterställning med hjälp av ett telefonnummer. Vanligtvis kopplar bedragare dem till offer i 2-72 timmar. Och detta är en viktig anledning till att inte visa ditt telefonnummer på Internet.

Vissa TS anställer också utvecklare som gör förbättringar för boten eller webbplatsen. Till exempel förbättrar de arbetarbetyg eller skyddar skript från sårbarheter som finns i gratisversioner. Men i jakten på snabba vinster kan fordonet ta hela intäkterna för sig själv och lura sina egna arbetare. Samtidigt finns det en grupp killar som tjänar pengar på själva bedragarna och lurar dem till olika tjänster.

Den genomsnittliga dagliga inkomsten för en bedragare-exekutor är 20 000 rubel, och den för en bedragare-arrangör är 200 000 rubel. Det viktigaste att komma ihåg: trots den uppenbara straffriheten och fördelarna med "affärer", faller all denna verksamhet under enligt artikel 159 i den ryska federationens strafflag. Bedragare hålls fängslade och får riktiga straff även i fall där skadan från bedrägeri uppgår till 5-7 tusen rubel.

Vi överför all information vi har om bedrägerier till brottsbekämpande myndigheter. Vi är övertygade om att trots den uppenbara lönsamheten och lättheten i systemet förstår våra läsare att endast trångsynta människor som inte inser alla risker ägnar sig åt bedrägeri.

En episk kamp mellan bedrägeribekämpning och bedragare

Vi kommer att berätta vilka steg vi tog under de första månaderna av 2020 för att skydda våra användare och hur bedragarna reagerade.

Det viktigaste mått som vi förlitade oss på för att utvärdera effektiviteten i vårt arbete var antalet supportsamtal med leverans betald av bedragaren. Vi blockerar de flesta bedrägliga annonser innan de ens når webbplatsen. Men när nästan all handel flyttade online noterade vi en ökning av förfrågningar. Denna information bekräftas också av banker: i april och maj skickade de ut massiva varningar om tillväxten av bedrägerier vid onlineköp.

För att få snabb feedback om nya verktyg infiltrerade en person från vårt team dussintals slutna grupper av bedragare. I en av dem klarade han en intervju som utvecklare och fick tillgång till källkoden för bluffrobotar, och kom även in i gruppen av arrangörer. Tack vare detta hade vi alltid färsk, förstahandsinformation.

För att förstå riskerna med början av självisolering började vi arbetet innan den aktiva ökningen av förfrågningar. En av de första tekniska åtgärderna var implementeringen av ett anti-hack för att rycka användarkonton från angriparnas klor. För att göra detta, om inloggning och lösenord angavs korrekt, men geolokaliseringen var misstänkt, begärde vi en kod från ett SMS som skickades till kontoägaren. Som svar började bedragare registrera fler oberoende konton. Detta fungerar till vår fördel – nya säljarkonton inspirerar alla till mindre förtroende.

Därefter började vi varna användare för att följa misstänkta länkar i messengern. Så vi minskade antalet klick med en tredjedel, men detta hade nästan ingen effekt på vårt huvudmått: de som blev lurade av bedragare stoppades inte av några varningar.

Därefter introducerade vi en vit lista med länkar. Vi har slutat markera okända länkar i Avito-messengern; du kan inte längre följa dem med ett klick. Vid kopiering av en misstänkt länk visades också en varning. Detta beslut hade en positiv inverkan på våra mätvärden för första gången.

Vi började aktivt straffa för överföring av misstänkta länkar i Avito-messengern: blockera eller avvisa säljarens annonser. Som svar började bedragare avleda användare från vår chatt till tredje parts snabbmeddelanden. Sedan utfärdade vi en varning att inte byta till en annan messenger om du ser det nämnt i chatten. Den här funktionen började med en sökning i reguljära uttryck, sedan ersatte vi den med en ML-modell.

Sedan började bedragare lura användare till e-post. För att göra detta behövde de samma sak som vi alla behöver: tillit. De började skicka bilder till potentiella offer där Avito påstås ha begärt köparens e-post. Detta är en bluff - vi behöver inte köparens e-postmeddelanden.

Här ska vår support svara att köparens e-postmeddelande behövs för leverans

Och här i vårt gränssnitt verkar det finnas ett nytt fält för att ange e-post

Om någon annan kunde urskilja en falsk länk, kan brevet lätt förfalskas och är mer pålitligt. Vi började radera e-postmeddelandet och visa användaren en varning om farorna med en sådan åtgärd. Om användaren efter varningen skickar e-postmeddelandet igen, tar vi inte längre bort det.

Bedragare har börjat be kunderna att skicka sin e-postadress i flera meddelanden eller med @-symbolen ersatt med något annat. Sedan började vi visa en varning även när vi begärde post. Komplexet av dessa åtgärder gjorde det möjligt att nästan helt förhindra användare från att lämna Avito-budbäraren för e-post.

Vår nuvarande mekanik är ganska effektiv, men inte användarvänlig. E-postmeddelandet raderas helt och innehåller ofta annan text. Men det var den snabbaste och billigaste lösningen att utveckla. Vi funderar på hur vi ska göra om och förbättra den.

Ett av våra senaste initiativ är att slå numret. Vanligtvis varar siffrorna som bedragare använder för att registrera konton inte länge. Vi ringer säljarens nummer efter att ha skickat in en annons på Avito. Om du inte kan komma igenom via telefon kommer moderering att avvisa annonsen. Bedragarna började ändra telefonnumret omedelbart före publiceringen så att vi kunde ringa medan det fortfarande var tillgängligt.

Och här är feedbacken från bedragaren

I misstänkta fall sänker vi annonsens prioritet i sökresultaten och tar bort den från rekommendationerna. Samtidigt sätter vi en fördröjning i utfärdandet upp till 48 timmar för att garantera tid att kontrollera allt noggrant och orsaka lite mer besvär för bedragare.

Det här är bara toppen av ett isberg, det finns många fler typer av bedrägerier.

Tyvärr är det omöjligt att beskriva alla typer av bedrägerier i en artikel. När vi fick veta om införandet av självisoleringsregimen blev det omedelbart klart att bedragare som tjänade pengar offline skulle köra online. De kommer inte att vilja ändra sina beteendemönster på några månader och bli goda medborgare. Detta har lett till en rejäl boom av bedrägerier på alla onlineplattformar och per telefon.

Bland typerna av bedrägerier finns det sällsynta och till och med roliga. Här låtsas bedragaren till exempel vara en robot för att minska kommunikationskostnaderna:

Trots att det blir färre och färre bedragare på Avito varje dag, och räder äger rum i hela landet där poliser hittar dem, trots ombud och VPN:er, kvarhåller dem och leder till riktiga straff på upp till 2 års fängelse för bedrägerier på 2500 -5000 rubel, det är omöjligt att helt bli av med bedrägerier.

Vi kommer inte offentligt att prata om andra idéer och innovationer, för att inte göra bedragares arbete lättare. Vi förstår att denna kamp kommer att fortsätta. Vår uppgift är att göra livet så svårt som möjligt för bedragare, att göra den här typen av aktivitet på vår resurs helt enkelt olönsam och för farlig, samtidigt som den skadar bra användare minimalt.

Arbetsresultat

Här är tidslinjen för supportsamtal för leveransbedrägerier. De senaste veckorna har den legat på en konsekvent låg nivå:

Hur man undviker att bli offer för en bedragare

Bedragare är flugan i salvan av lönsamma erbjudanden. För att alltid vara säker, följ bara dessa regler:

1. Dela inte känsliga uppgifter. Inga: fullständigt namn, telefonnummer, adress, e-post, födelsedatum och födelseort, information om familj och inkomst, kortuppgifter, kontakter i andra meddelanden. Tala aldrig om koder från SMS och push-meddelanden.
2. Genomför all kommunikation endast inom vår budbärare, så kommer vi att kunna varna dig i händelse av fara.
3. Kontrollera säljarens betyg och profilålder. Misstanke väckers av låga priser, senaste datum för registrering på sajten och negativa recensioner.
4. Om knappen "Köp med leverans" är inaktiv, sker ingen leverans av varor via betrodda Avito-partners. Andra leveranssätt är alltid en risk.
5. Klicka inte på länkar. Länken för att betala eller ta emot pengar ska skickas till den inbyggda Avito-messengern via ett systemmeddelande. En riktig länk börjar alltid med domänen www.avito.ru. Alla andra kombinationer av ord och symboler är bedrägeri.
6. Ta dig tid och gör alla köp nykter. Var uppmärksam på varje liten detalj. Bedragare sätter ofta press på potentiella köpare och hotar att sälja produkten till någon annan. Ärliga säljare är lojala och redo för ytterligare frågor.
7. Gör inte en förskottsbetalning för några tjänster om du inte är säker på säljaren.
8. Installera inga tillägg eller program från tredje part.
9. Om du ser en misstänkt profil eller annons, skriv om det i vårt stöd. Vi kommer att kontrollera säljaren. På Internet är det bättre att inte lita på någon och göra ytterligare kontroller.

Källa: will.com