Як Авіто виявляє шахраїв і бореться із фродом

Привіт Хабр. Я Ігор, керівник команди, яка бореться із шахраями на Авіто. Сьогодні поговоримо про вічну битву з негідниками, які намагаються і навіть іноді дурять інтернет-покупців за допомогою доставки товарів.

Ми давно боремося із шахрайством. Сьогоднішні шахраї обманюють людей, імітуючи інтерфейси та функції майданчиків онлайн-торгівлі. Наприклад, вигадують схеми з кур'єрською доставкою на маркетплейсах.

У січні 2020 року в інтернеті взагалі з'явилися готові інструкції для шахраїв і всі необхідні інструменти. Слідом самоізоляція підлила олії у вогонь: ті, хто раніше обманював і крав на вулицях і квартирах, були змушені перейти в онлайн. Можливо і вам останнім часом посилено дзвонять, пишуть у месенджерах, смс та листах ті самі «шахраї». Вони представляються співробітниками банків та правоохоронних органів, далекими родичами чи нотаріусами. Напишіть у коментарі, з яким видом шахрайства ви зіткнулися востаннє.

Стандартні схеми шахрайства

Найбільш поширена схема обману покупця з доставкою товару має такий вигляд:

1. Шахрай публікує оголошення із популярним товаром середньої цінової категорії. Наприклад, із продажем електросамокату — влітку вони популярні.
2. Будь-якими способами умовляє потенційного покупця на доставку. Прийменники можуть бути різні: я поїхав із міста на час пандемії або просто надто зайнятий і не можу прийти на зустріч.
3. Отримавши згоду, шахрай надсилає підроблене посилання на оплату. Сторінка за посиланням нагадує стандартну форму Авіто.
4. Жертва оплачує покупки та прощається з грошима.
5. Шахрай намагається заробити більше грошей, пропонуючи повернути платіж. Він надсилає покупцю нову форму повернення грошей, але насправді списує їх ще раз. Сторінка повернення - це та сама сторінка оплати, але текст на кнопці змінений з "сплатити" на "повернути".

Нижче приклад підробленої сторінки, яку може надіслати шахрай. Домен мімікрує під Авіто, а сам сайт схожий на сторінку оформлення замовлення в інтернет-магазині. Фальшиві сторінки часто бувають на протоколі https і за цією ознакою їх відрізнити неможливо. Після заповнення даних користувач потрапляє на сторінку оплати замовлення, де пропонують ввести дані банківської картки.

Підроблені сторінки оплати товару та повернення грошей

Ми блокуємо підозрілих продавців. Тому, щоб провертати подібні операції, шахраям необхідно постійно створювати нові облікові записи на Авіто. Вони або реєструють їх самостійно за допомогою смс на тимчасовий віртуальний номер, або купують вкрадені облікові записи. Віртуальна сім-карта коштує від 60 копійок, чужий аккаунт на тіньовому ринку - від 10 рублів. Витрати на те й інше незрівнянно менші навіть разового доходу від обману користувачів.

Це був Авіт Scam 1.0, але вже з'явилися версії 2.0, 3.0 і навіть 4.0. Це не наші позначення – їх використовують самі шахраї.

Обманюють не лише покупців, а й продавців. Друга схема виглядає так:

1. Покупець нібито відправив гроші через безпечну угоду.
2. Він надсилає продавцю підроблене посилання, де може отримати оплату.
3. Продавець потрапляє на сторінку, яка вимагає реквізити його картки, і в результаті сума списується з його рахунку.

Схема Scam 3.0 працює так:

1. Продавець публікує оголошення з активованою доставкою через Авіто.
2. Коли покупець оплачує товар, шахрай надсилає йому скріншот, на якому Авіто нібито просить код підтвердження.
3. За допомогою коду продавець заходить до облікового запису користувача. У профілі покупця шахрай відзначає галочку, ніби той одержав товар. Покупець залишається без грошей та покупки.

І схема 4.0 влаштована так:

1. Покупець вдає, що оплатив товар, і надсилає підроблений чек. Чеки надсилають будь-куди: на електронну пошту або в сторонній месенджер. Залежить від того, який контакт продавець дав шахраю.
2. Продавцю приходить смс, яка мімікрує під зарахування з банку.
3. За кілька хвилин покупець пише, що йому краще підійде товар іншого продавця і просить повернути гроші. Часто в хід йде аргумент "поверніть, ви ж не шахрай". Продавець відправляє покупцю суму, але зі своєї кишені, адже жодного платежу не було.

На що тиснуть шахраї

П'ять найпопулярніших контекстів, у яких люди трапляються у лапи шахраїв:

1. Унікальна торгова пропозиція. Ціна чи товар вигідно відрізняються від інших пропозицій.
2. Ажіотаж. Продавець має кілька бажаючих купити товар, тому він змушує внести передоплату.
3. Терміновість. Покупець пропонує терміново купити товар за будь-які гроші та просить усі дані банківської картки, щоб переказати гроші.
4. Добросердечність. Шахрай просить допомоги у купівлі товару: наприклад, у покупця проблеми зі здоров'ям чи він може особисто забрати товар. Шахрай просить дані картки, щоб переказати гроші, а товар нібито забере кур'єр.
5. Різні населені пункти та міста. І тут передоплата є обов'язковою умовою угоди, і це відкриває величезне сфери діяльності для шахраїв.

Схема «роботи» шахраїв

У шахрайській схемі бере участь три групи осіб: воркери, сапорт, ТС.

Воркери, від слова worker, — це найчисленніша група осіб, переважно школярі та студенти. Вони самостійно створюють облікові записи на Авіто і шукають жертв, яких називають мамонтами. Далі за допомогою навичок соціальної інженерії переконують жертв щось сплатити та надсилають підроблене посилання. Якщо жертва оплачує «товар», то завдання воркерів за допомогою сапорта перевести жертву на повернення, посилаючись на якусь технічну помилку.

Саппорт це люди, які за фіксований дохід допомагають воркерам-новачкам обманювати користувачів. Вони дають поради, рекомендують «прибуткові» товари, найчастіше за певний відсоток від шахрайської угоди готові надати й інші послуги, наприклад, підготувати у фотошопі паспорт, подзвонити жертві, написати їй від технічної підтримки.

ТС, від Topic Starter на тіньових форумах, де спочатку був найм воркерів, є організаторами. Вони скачують або купують софт, який складається із двох частин:

1. Телеграм-бота, який є основним інструментом шахраїв. У ньому можна отримати підроблене посилання на товар, отримати повідомлення про переходи чи оплату.
2. Веб-версії, яка відповідає за відображення сторінки оплати/повернення/прийому грошей. До неї ж підключено платіжну систему для прийому платежів.

Заробляють організатори на відсоток кожного перекладу жертви, який називають профітом. Тому вони намагаються рекламувати свій проект та оплачують саппорт, щоб він навчав новачків. На них лягають всі витрати, пов'язані з купівлею нових доменів і карт, на які приходять гроші.

Подивившись вихідники багатьох варіантів шахрайських скриптів, ми дійшли висновку, що здебільшого вони написані на PHP, але дуже поганому рівні. Майже всі скрипти збирають інформацію про своїх користувачів, у тому числі і про воркерів. Одне із припущень, навіщо вони це роблять, полягає в тому, що коли на організатора вийдуть правоохоронні органи, він піде назустріч слідству та намагатиметься максимально скостити покарання за рахунок розкриття воркерів.

Окрім скриптів шахраї використовують бомбери. Це боти, які дають можливість спамати телефон смсками та дзвінками. Бомбери працюють так: ходять на різні сайти та запитують реєстрацію або відновлення пароля за номером телефону. Зазвичай шахраї підключають їх жертвам на 2-72 години. І це важлива причина не показувати номер телефону в інтернеті.

Деякі ТС також наймають розробників, які роблять покращення для бота чи сайту. Наприклад, прикручують рейтинг воркерів або захищають скрипти від уразливостей, які є у безкоштовних версіях. Однак у гонитві за швидким зиском ТЗ може забрати всю виручку собі, обманюючи власних воркерів. При цьому є група хлопців, які заробляють на шахраях, кидаючи їх на різні послуги.

Середній денний дохід шахрая-виконавця становить 20 000 рублів, а шахрая-організатора - 200 000 рублів. Головне пам'ятати: незважаючи на безкарність і вигоду «бізнесу», що здається, вся ця діяльність підпадає за статтею 159 КК РФ. Шахраїв затримують і дають їм реальні терміни навіть у випадках, коли збитки від обману на 5-7 тисяч рублів.

Всю інформацію, що є у нас, про факти шахрайства ми передаємо в правоохоронні органи. Ми переконані, що незважаючи на прибутковість і легкість схеми, наші читачі розуміють, що шахрайством займаються тільки недалекі люди, які не усвідомлюють всіх ризиків.

Епічна битва антифроду та шахраїв

Розкажемо, які кроки ми робили за перші місяці 2020 року, щоб захистити наших користувачів та чим відповідали шахраї.

Основна метрика, на яку ми орієнтувалися для оцінки ефективності роботи, - це кількість звернень на підтримку з оплаченою шахраю доставкою. Більшість шахрайських оголошень ми блокуємо ще до того, як вони потрапляють на сайт. Але коли практично вся торгівля перейшла до онлайн, ми зафіксували сплеск звернень. Цю інформацію підтверджують і банки: у квітні та травні вони масово розсилали попередження про зростання шахрайства під час онлайн-покупок.

Щоб отримувати швидкий зворотний зв'язок на нові інструменти, людина з нашої команди запропонувала десятки закритих груп шахраїв. В одній із них він пройшов співбесіду на розробника та отримав доступ до вихідців скам-ботів, а також потрапив до групи організаторів. Завдяки цьому ми завжди мали свіжу інформацію з перших рук.

Розуміючи ризики через початок самоізоляції, ми розпочали роботу до активного зростання звернень. Одним із перших технічних заходів була реалізація антихака, щоб вирвати акаунти користувачів із лап зловмисників. Для цього при правильному введенні логіну та паролю, але підозрілої геопозиції ми запитували код із смс, який приходив власнику акаунту. У відповідь шахраї почали реєструвати більше самостійних облікових записів. Нам це на руку — свіжі акаунти продавців вселяють менше довіри.

Далі ми почали попереджати користувачів про перехід за підозрілими посиланнями у месенджері. Так ми знизили кількість переходів на третину, але на нашій основній метриці це майже не вплинуло: тих, кого обманювали шахраї, не зупиняли жодних попереджень.

Потім ми запровадили білий список посилань. Ми перестали підсвічувати невідомі посилання в месенджері Авіто, перейти по них в один клік більше не можна. При копіюванні підозрілого заслання теж показували попередження. Це рішення вперше позитивно вплинуло на нашу метрику.

Ми почали активно карати за передачу підозрілих посилань у месенджері Авіто: блокувати чи відхиляти оголошення продавця. У відповідь шахраї почали відводити користувачів з нашого чату до сторонніх месенджерів. Тоді ми викотили попередження не йти в інший месенджер, якщо бачимо його згадку в чаті. Ця функція стартувала з пошуку за регулярним виразом, потім ми замінили його на ML-модель.

Тоді шахраї почали вести користувачів до електронної пошти. Для цього їм потрібно було те саме, що й усім нам — довіра. Вони почали надсилати потенційним жертвам зображення, де Авіто нібито вимагає емейл покупця. Це обман - електронна пошта покупців нам не потрібна.

Тут наша підтримка нібито відповідає, що для доставки потрібен емейл покупця

А тут у нашому інтерфейсі начебто з'явилося нове поле для введення електронної пошти

Якщо підроблене посилання хтось ще міг відрізнити, лист легко якісно підробити, і він викликає більше довіри. Ми почали видаляти повідомлення з е-мейлом і показувати користувачеві попередження про небезпеку такої дії. Якщо після попередження користувач надсилає емейл повторно, ми його вже не видаляємо.

Шахраї почали просити покупців надіслати адресу електронної пошти у кількох повідомленнях або із заміною символу @ на інший. Тоді ми почали виводити попередження ще за запиту пошти. Комплекс цих заходів дозволив майже повністю запобігти відходу користувачів до пошти з месенджера Авіто.

Наша поточна механіка досить ефективна, але не дружня до користувачів. Повідомлення з електронною поштою видаляється повністю, а ньому нерідко буває й інший текст. Але це було найшвидше і найдешевше у розробці рішення. Ми думаємо, як його переробити та покращити.

Одна з наших останніх ініціатив – продзвін номеру. Зазвичай, номери шахраїв, на які вони реєструють акаунти, живуть недовго. Ми телефонуємо за номером продавця після подачі оголошення на Авіто. Якщо додзвонитись не виходить, модерація відхиляє оголошення. Шахраї почали змінювати номер телефону безпосередньо перед публікацією, щоб ми встигли зателефонувати, поки він доступний.

А ось і зворотний зв'язок від шахрая

У підозрілих випадках ми знижуємо пріоритет оголошення у видачі та прибираємо його з рекомендацій. При цьому ми встановлюємо затримку у видачі до 48 годин, щоб гарантовано встигнути все уважно перевірити та завдати трохи більше незручності шахраям.

Це лише верхівка айсберга, видів шахрайства набагато більше

На жаль, описати всі види шахрайства в одній статті не можливо. Коли ми дізналися про введення режиму самоізоляції, одразу стало ясно, що шахраї, які заробляли в офлайні, побіжать до онлайн. Адже вони не захочуть змінити свої моделі поведінки на кілька місяців і стати доброчесними громадянами. Це призвело до справжнього буму шахрайства на всіх онлайн-майданчиках та по телефону.

Серед видів шахрайства зустрічаються рідкісні та навіть кумедні. Наприклад, тут шахрай прикидається роботом, щоб знизити витрати на спілкування:

Незважаючи на те, що шахраїв на Авіто стає все менше з кожним днем, а по всій країні проходять рейди, де правоохоронці знаходять їх, незважаючи на проксі і VPN, затримують і призводять до реальних термінів до 2 років позбавлення волі за обмани на 2500 -5000 рублів, повністю позбутися шахрайства неможливо.

Ми не публічно розповідатимемо про інші ідеї та нововведення, щоб не полегшувати роботу шахраям. Ми розуміємо, що ця битва триватиме. Наше завдання — максимально ускладнити життя шахраям, зробити такий заняття на нашому ресурсі просто невигідним і занадто небезпечним, при цьому мінімально зачепивши хороших користувачів.

Результати роботи

Ось графік звернень на підтримку шахрайства у доставці. Останні тижні він тримається на стабільно низькому рівні:

Як не стати жертвою шахрая

Шахраї - це ложка дьогтю в бочці вигідних пропозицій. Щоб завжди залишатися в безпеці, достатньо дотримуватися таких правил:

1. Не ділитесь чутливими даними. Жодними: ПІБ, телефоном, адресою, електронною поштою, датою та місцем народження, відомостями про сім'ю та доходи, даними картки, контактами в інших месенджерах. Ніколи не говоріть коди з смс та пуш-повідомлень.
2. Ведіть все спілкування тільки всередині нашого месенджера, тоді ми зможемо попередити вас у разі небезпеки.
3. Перевіряйте рейтинг продавця та вік профілю. Підозрю викликають низькі ціни, недавня дата реєстрації на сайті та негативні відгуки.
4. Якщо кнопка "Купити з доставкою" неактивна, доставки товару через перевірених партнерів Авіто немає. Інші способи доставки завжди ризик.
5. Не переходьте на посилання. Посилання на оплату або отримання грошей має прийти у вбудований месенджер Авіто системним повідомленням. Справжнє посилання завжди починається з домену www.avito.ru. Будь-які інші комбінації слів та символів – шахрайство.
6. Не поспішайте і робіть всі покупки на тверезу голову. Будьте уважні до будь-яких дрібниць. Шахраї часто тиснуть на потенційних покупців та погрожують продати товар іншому. Чесні продавці лояльні та готові до додаткових питань.
7. Не переводьте передоплату за жодні послуги, якщо ви не впевнені в продавці.
8. Не встановлюйте жодних сторонніх розширень та програм.
9. Якщо ви побачили підозрілий профіль або оголошення - напишіть про це на нашу підтримку. Ми перевіримо продавця. В інтернеті краще не довіряти нікому та робити додаткові перевірки.

Джерело: habr.com