Как Авито выявляет мошенников и борется с фродом

Привет, Хабр. Я Игорь, руководитель команды, которая борется с мошенниками на Авито. Сегодня поговорим про вечную битву с негодяями, которые пытаются и даже иногда обманывают интернет-покупателей с помощью доставки товаров.

Мы давно боремся с мошенничеством. Сегодняшние мошенники обманывают людей, имитируя интерфейсы и функции площадок онлайн-торговли. Например, придумывают схемы с курьерской доставкой на маркетплейсах.

В январе 2020 года в интернете и вовсе появились готовые инструкции для мошенников и все необходимые инструменты. Следом самоизоляция подлила масла в огонь: те, кто раньше обманывал и крал на улицах и в квартирах, были вынуждены перейти в онлайн. Возможно и вам в последнее время усиленно звонят, пишут в мессенджерах, смс и письмах те самые «мошейники». Они представляются сотрудниками банков и правоохранительных органов, дальними родственниками или нотариусами. Напишите в комментарии, с каким видом мошенничества вы столкнулись в последний раз.

Стандартные схемы мошенничества

Наиболее распространённая схема обмана покупателя с доставкой товара выглядит так:

1. Мошенник публикует объявление с популярным товаром средней ценовой категории. Например, с продажей — летом они популярны.
2. Любыми способами уговаривает потенциального покупателя на доставку. Предлоги могут быть разные: я уехал из города на время пандемии или просто слишком занят и не могу прийти на встречу.
3. Получив согласие, мошенник присылает поддельную ссылку для оплаты. Страница по ссылке похожа на стандартную форму Авито.
4. Жертва оплачивает покупки и прощается с деньгами.
5. Мошенник пытается заработать больше денег, предлагая вернуть платеж. Он присылает покупателю новую форму для возврата денег, но на самом деле списывает их ещё раз. Страница возврата — это та же страница оплаты, но текст на кнопке изменён с «оплатить» на «вернуть».

Ниже — пример поддельной страницы, которую может прислать мошенник. Домен мимикрирует под Авито, а сам сайт похож на страницу оформления заказа в интернет-магазине. Фальшивые страницы часто бывают на протоколе https, и по этому признаку их отличить невозможно. После заполнения данных пользователь попадает на страницу оплаты заказа, где ему предлагают ввести данные банковской карты.

Поддельные страницы оплаты товара и возврата денег

Мы блокируем подозрительных продавцов. Поэтому, чтобы проворачивать подобные операции, мошенникам необходимо постоянно создавать новые аккаунты на Авито. Они либо регистрируют их самостоятельно с помощью смс на временный виртуальный номер, либо покупают украденные аккаунты. Виртуальная сим-карта стоит от 60 копеек, чужой аккаунт на теневом рынке — от 10 рублей. Расходы на то и другое несопоставимо меньше даже разового дохода от обмана пользователей.

Это был Авито Scam 1.0, но уже появились версии 2.0, 3.0 и даже 4.0. Это не наши обозначения — их используют сами мошенники.

Обманывают не только покупателей, но и продавцов. Вторая схема выглядит так:

1. Покупатель якобы отправил деньги через безопасную сделку.
2. Он присылает продавцу поддельную ссылку, где тот может получить оплату.
3. Продавец попадает на страницу, которая просит реквизиты его карты, и в итоге сумма списывается с его счёта.

Схема Scam 3.0 работает так:

1. Продавец публикует объявления с активированной доставкой через Авито.
2. Когда покупатель оплачивает товар, мошенник отправляет ему скриншот, на котором Авито якобы просит код подтверждения.
3. С помощью кода продавец заходит в аккаунт пользователя. В профиле покупателя мошенник отмечает галочку, будто тот получил товар. Покупатель остаётся без денег и покупки.

И схема 4.0 устроена следующим образом:

1. Покупатель делает вид, что оплатил товар, и присылает поддельный чек. Чеки присылают куда угодно: на электронную почту или в сторонний мессенджер. Зависит от того, какой контакт продавец дал мошеннику.
2. Продавцу приходит смс, которая мимикрирует под зачисление из банка.
3. Через несколько минут покупатель пишет, что ему лучше подойдёт товар другого продавца, и просит вернуть деньги. Часто в ход идёт аргумент «верните, вы же не мошенник». Продавец отправляет покупателю сумму, но из своего кармана, ведь никакого платежа не было.

На что давят мошенники

Пять самых популярных контекстов, в которых люди попадаются в лапы мошенников:

1. Уникальное торговое предложение. Цена или товар выгодно отличаются от других предложений.
2. Ажиотаж. У продавца есть несколько желающих купить товар, поэтому он вынуждает внести предоплату.
3. Срочность. Покупатель предлагает срочно купить товар за любые деньги и просит все данные банковской карты, чтобы перевести деньги.
4. Добросердечность. Мошенник просит помощи в покупке товара: например, у покупателя проблемы со здоровьем или он не может лично забрать товар. Мошенник просит данные карты, чтобы перевести деньги, а товар якобы заберёт курьер.
5. Разные населенные пункты и города. В этом случае предоплата является обязательным условием сделки, и это открывает огромное поле деятельности для мошенников.

Схема «работы» мошенников

В мошеннической схеме участвует три группы лиц: воркеры, саппорт, ТС.

Воркеры, от слова worker, — это самая многочисленная группа лиц, в основном школьники и студенты. Они самостоятельно создают аккаунты на Авито и ищут жертв, которых называют мамонтами. Дальше с помощью навыков социальной инженерии убеждают жертв что-то оплатить и присылают поддельную ссылку. Если жертва оплачивает «товар», то задача воркеров с помощью саппорта перевести жертву на возврат, ссылаясь на какую-то техническую ошибку.

Саппорт — это люди, которые за фиксированный доход помогают воркерам-новичкам обманывать пользователей. Они дают советы, рекомендуют «прибыльные» товары, зачастую за некоторый процент от мошеннической сделки готовы предоставить и другие услуги, например, подготовить в фотошопе паспорт, прозвонить жертву, написать ей от лица технической поддержки.

ТС, от Topic Starter на теневых форумах, где изначально был найм воркеров, по сути являются организаторами. Они скачивают или покупают софт, который состоит из двух частей:

1. Телеграм-бота, который является основным инструментом мошенников. В нём можно получить поддельную ссылку на товар, получить уведомления о переходах или оплате.
2. Веб-версии, которая отвечает за отображение страницы оплаты/возврата/приёма денег. К ней же подключена платёжная система для приёма платежей.

Зарабатывают организаторы на проценте от каждого перевода жертвы, который называют профитом. Поэтому они стараются рекламировать свой проект и оплачивают саппорт, чтобы он обучал новичков. На них же ложатся все расходы, связанные с покупкой новых доменов и карт, на которые приходят деньги.

Посмотрев исходники многих вариантов мошеннических скриптов, мы пришли к выводу, что в большинстве они написаны на PHP, но на очень плохом уровне. Почти все скрипты собирают информацию о своих пользователях, в том числе и о воркерах. Одно из предположений, зачем они это делают, состоит в том, что когда на организатора выйдут правоохранительные органы, он пойдёт навстречу следствию и постарается максимально скостить наказание за счёт раскрытия воркеров.

Кроме скриптов мошенники используют бомберы. Это боты, которые предоставляют возможность заспамить телефон смсками и звонками. Бомберы работают так: ходят на разные сайты и запрашивают регистрацию или восстановление пароля по номеру телефона. Обычно мошенники подключают их жертвам на 2—72 часа. И это важная причина не показывать свой номер телефона в интернете.

Некоторые ТС также нанимают разработчиков, которые делают улучшения для бота или сайта. Например, прикручивают рейтинг воркеров или защищают скрипты от уязвимостей, которые есть в бесплатных версиях. Однако в погоне за быстрой выгодой ТС может забрать всю выручку себе, обманывая собственных воркеров. При этом есть группа ребят, которые зарабатывают на самих мошенниках, кидая их на разные услуги.

Средний дневной доход мошенника-исполнителя составляет 20 000 рублей, а мошенника-организатора — 200 000 рублей. Главное помнить: несмотря на кажущуюся безнаказанность и выгоду «бизнеса», вся эта деятельность подпадает под статью 159 УК РФ. Мошенников задерживают и дают им реальные сроки даже в случаях, когда ущерба от обмана на 5—7 тысяч рублей.Всю имеющуюся у нас информацию о фактах мошенничества мы передаём в правоохранительные органы. Мы убеждены, что несмотря на кажущуюся прибыльность и лёгкость схемы, наши читатели понимают, что мошенничеством занимаются только недалёкие люди, которые не осознают всех рисков.

Эпическая битва антифрода и мошенников

Расскажем, какие шаги мы предпринимали за первые месяцы 2020 года, чтобы защитить наших пользователей, и чем отвечали мошенники.

Основная метрика, на которую мы ориентировались для оценки эффективности работы — это количество обращений в поддержку с оплаченной мошеннику доставкой. Большую часть мошеннических объявлений мы блокируем ещё до того, как они попадают на сайт. Но когда практически вся торговля перешла в онлайн, мы зафиксировали всплеск обращений. Эту информацию подтверждают и банки: в апреле и мае они массово рассылали предупреждения о росте мошенничества при онлайн-покупках.

Чтобы получать быструю обратную связь на новые инструменты, человек из нашей команды внедрился в десятки закрытых групп мошенников. В одной из них он прошёл собеседование на разработчика и получил доступ к исходникам скам-ботов, а также попал в группу организаторов. Благодаря этому у нас всегда была свежая информация из первых рук.

Понимая риски из-за начала самоизоляции, мы начали работу до активного роста обращений. Одной из первых технических мер была реализация антихака, чтобы вырвать аккаунты пользователей из лап злоумышленников. Для этого при верном вводе логина и пароля, но подозрительной геопозиции, мы запрашивали код из смс, который приходил владельцу аккаунта. В ответ мошенники начали регистрировать больше самостоятельных аккаунтов. Нам это на руку — свежие аккаунты продавцов всем внушают меньше доверия.

Дальше мы начали предупреждать пользователей о переходе по подозрительным ссылкам в мессенджере. Так мы снизили количество переходов на треть, но на нашей основной метрике это почти не отразилось: тех, кого обманывали мошенники, не останавливали никакие предупреждения.

Следом мы ввели белый список ссылок. Мы перестали подсвечивать неизвестные ссылки в мессенджере Авито, перейти по ним в один клик больше нельзя. При копировании подозрительной ссылки тоже показывали предупреждение. Это решение впервые положительно повлияло на нашу метрику.

Мы начали активно наказывать за передачу подозрительных ссылок в мессенджере Авито: блокировать или отклонять объявления продавца. В ответ мошенники стали уводить пользователей из нашего чата в сторонние мессенджеры. Тогда мы выкатили предупреждение не уходить в другой мессенджер, если видим его упоминание в чате. Эта функция стартовала с поиска по регулярному выражению, затем мы заменили его на ML-модель.

Тогда мошенники стали уводить пользователей в электронную почту. Для этого им нужно было то же, что и всем нам — доверие. Они начали присылать потенциальным жертвам изображения, где Авито якобы запрашивает емейл покупателя. Это обман — электронная почта покупателей нам не нужна.

Тут наша поддержка якобы отвечает, что для доставки нужен емейл покупателя

А здесь в нашем интерфейсе будто бы появилось новое поле для ввода электронной почты

Если поддельную ссылку кто-то ещё мог отличить, то письмо легко качественно подделать, и оно вызывает больше доверия. Мы стали удалять сообщение с емейлом и показывать пользователю предупреждение об опасности такого действия. Если после предупреждения пользователь отправляет емейл повторно, мы его уже не удаляем.

Мошенники начали просить покупателей отправить адрес электронной почты в нескольких сообщениях или с заменой символа @ на другой. Тогда мы стали выводить предупреждение ещё при запросе почты. Комплекс этих мер позволил почти полностью предотвратить уход пользователей в почту из мессенджера Авито.

Наша текущая механика довольно эффективна, но не дружелюбна к пользователям. Сообщение с электронной почтой удаляется полностью, а в нём нередко бывает и другой текст. Но это было самое быстрое и дешевое в разработке решение. Мы думаем, как его переделать и улучшить.

Одна из наших последних инициатив — прозвон номера. Обычно номера мошенников, на которые они регистрируют аккаунты, живут недолго. Мы звоним по  номеру продавца после подачи объявления на Авито. Если дозвониться не получается, модерация отклоняет объявление. Мошенники начали менять номер телефона непосредственно перед публикацией, чтобы мы успели позвонить, пока он ещё доступен.

А вот и обратная связь от мошенника

В подозрительных случаях мы понижаем приоритет объявления в выдаче и убираем его из рекомендаций. При этом мы устанавливаем задержку в выдаче до 48 часов, чтобы гарантированно успеть всё внимательно проверить и доставить чуть больше неудобства мошенникам.

Это лишь верхушка айсберга, видов мошенничества намного больше

К сожалению, описать все виды мошенничества в одной статье невозможно. Когда мы узнали о введении режима самоизоляции, сразу стало ясно, что мошенники, которые зарабатывали в оффлайне, побегут в онлайн. Они ведь не захотят изменить свои модели поведения на несколько месяцев и стать добропорядочными гражданами. Это привело к настоящему буму мошенничества на всех онлайн-площадках и по телефону.

Среди видов мошенничества встречаются редкие и даже забавные. Например, здесь мошенник притворяется роботом, чтобы снизить затраты на общение:

Несмотря на то, что мошенников на Авито становится всё меньше с каждым днём, а по всей стране проходят рейды, где сотрудники правоохранительных органов находят их, несмотря на прокси и VPN, задерживают и приводят к реальным срокам до 2 лет лишения свободы за обманы на 2500—5000 рублей, полностью избавиться от мошенничества невозможно.

Мы не будем публично рассказывать про другие идеи и нововведения, чтобы не облегчать работу мошенникам. Мы понимаем, что эта битва будет продолжаться. Наша задача — максимально усложнить жизнь мошенникам, сделать такой род занятия на нашем ресурсе просто невыгодным и слишком опасным, при этом минимально задев хороших пользователей.

Результаты работы

Вот график обращений в поддержку по мошенничеству в доставке. Последние недели он держится на стабильно низком уровне:

Как не стать жертвой мошенника

Мошенники — это ложка дёгтя в бочке выгодных предложений. Чтобы всегда оставаться в безопасности, достаточно следовать следующим правилам:

1. Не делитесь чувствительными данными. Никакими: ФИО, телефоном, адресом, электронной почтой, датой и местом рождения, сведениями о семье и доходах, данными карты, контактами в других мессенджерах. Никогда не говорите коды из смс и пуш-уведомлений.
2. Ведите всё общение только внутри нашего мессенджера, тогда мы сможем вас предупредить в случае опасности.
3. Проверяйте рейтинг продавца и возраст профиля. Подозрение вызывают низкие цены, недавняя дата регистрации на сайте и негативные отзывы.
4. Если кнопка «Купить с доставкой» неактивна, доставки товара через проверенных партнёров Авито нет. Другие способы доставки — всегда риск.
5. Не переходите по ссылкам. Ссылка на оплату или получение денег должна прийти во встроенный мессенджер Авито системным сообщением. Настоящая ссылка всегда начинается с домена www.avito.ru. Любые другие комбинации слов и символов — мошенничество.
6. Не спешите и совершайте все покупки на трезвую голову. Будьте внимательны к любым мелочам. Мошенники часто давят на потенциальных покупателей и угрожают продать товар другому. Честные продавцы лояльны и готовы к дополнительным вопросам.
7. Не переводите предоплату ни за какие услуги, если вы не уверены в продавце.
8. Не устанавливайте никаких сторонних расширений и программ.
9. Если вы увидели подозрительный профиль или объявление — напишите об этом в нашу поддержку. Мы проверим продавца. В интернете лучше не доверять никому и делать дополнительные проверки.

Источник: habr.com

Комментарии: