Чу! Это конспект подкаста «Запуск завтра», который выходит при поддержке «Практикума». Мы тоже выходим при поддержке «Практикума». Если есть время, приглашаем послушать полную версию:
О герое
Герой выпуска — директор по безопасности «Авито». Он знает почти все схемы обмана на платформе и проектирует продукт таким образом, чтобы у мошенников было как можно меньше шансов. Мы не раскрываем его личность, чтобы не подвергать опасности.
Зачем секретность?
— Когда в любом СМИ выходит материал про мошенничество под моим именем, мне начинают угрожать. Из-за этого мне даже пришлось как-то раз переехать. Я вернулся, когда угрозы прекратились, но мошенники нашли мой домашний адрес. Тема с мошенничеством довольно опасная, если ты знаешь персональные данные тех, кто этим занимается.
Чем занимается директор по безопасности
— Я работаю директором по безопасности и доверию в «Авито». На русском звучит довольно грустно, зато на английском красиво — Trust & Safety. Такие отделы есть в любом крупном интернет-сервисе — в Гугле, Яндексе и Фейсбуке. Я отвечаю в компании за всё, что связано с противодействием мошенничеству.
Мошеннических схем и продуктов просто миллион. Начиная от простых, где человек подходит на улице и просит докинуть 100 рублей на билет, заканчивая сложными, в которых участвуют технические эксперты. При этом самая частая схема стара как мир и всё ещё работает — это вымогание предоплаты.
Обман на предоплате
— Допустим, вы хотите купить новый айфон. Вбиваете в поиске «Купить новый iphone Москва». Видите хороший вариант и пишете продавцу. Продавец начинает вас торопить, аргументируя тем, что спрос большой и вообще-то за телефоном уже едет другой покупатель.
Вы очень хотите купить этот телефон, поэтому спрашиваете: «Что можно сделать?» Если продавец отвечает, что нужен задаток, то перед вами мошенник.
Часто мошенники заходят в новые ниши, где люди даже не подозревают, что их могут обмануть. Выбирая iPhone или PlayStation, уже каждый понимает: если цена низкая и продавец просит предоплату, то жди беды. Поэтому мошенники пробуют себя реально в неожиданных областях, например в продаже тракторов.
Продавец говорит, что трактор стоит у него где-нибудь в поле или в ангаре и общаться он будет только с реальным покупателем. Он спрашивает: «Ты, типа, нормальный вообще? Будешь реально брать? Если да — отправь тысячу». А что такое тысяча, когда трактор стоит миллион?
Фишинг
— Большую популярность набрала схема с подменой платёжной формы — фишинг. Мошенники регистрируют домены, похожие на домены других известных игроков IT-рынка. Размещают на этих доменах поддельную платёжную форму, через которую деньги уходят напрямую мошеннику. Чаще всего бэкенд таких мошеннических сайтов — это переводы с карты на карту. Жертва думает, что оплачивает товар, а на самом деле деньги уходят на карту мошеннику.
Обычно фишинговый сайт выглядит даже лучше, чем настоящий. Один из способов определить, что перед вами сайт мошенников, — на нём нет багов. Всё должно выглядеть идеально, чтобы у жертвы не возникло подозрений, что её обманывают.
Чтобы заманить пользователя на фишинговый сайт, мошенники используют разные каналы: форумы, доски объявлений и даже притворяются продавцами-консультантами из «М-Видео». Якобы делятся личной скидкой, а на самом деле дают ссылку на фишинговую форму. Жертва переходит по ссылке, видит товар со скидкой, вбивает данные карты — и деньги уходят мошеннику. Далее деньги несколько раз перегоняют со счёта на счёт, выводят на карту и снимают в обычном банкомате.
Как не попасться на уловки мошенников
— Перезвонить или написать в другой канал связи. Например, если вам пишут в WhatsApp, — напишите СМСку. Если это были мошенники с подменой номера звонящего — перезвоните, и вы попадёте на настоящую поддержку банка или на реального владельца номера. Мошенники потеряют контроль над ситуацией
и не смогут ничего сделать.
Мошенническая техподдержка
У мошенников есть своя техподдержка, в которую обращаются жертвы.
Есть схема, когда обманывают продавца. Покупатель говорит ему, что он оплатил товар, и присылает форму для получения денег. Только вместо получения деньги списываются с карты продавца.
Продавец думает, что произошла ошибка, и не понимает, что это обман. Он говорит: «Что за фигня?», а мошенник отправляет его разбираться в фейковую поддержку. В этой поддержке перед человеком 10 раз извиняются и отправляют новую ссылку — с двойной оплатой. Мошенник под видом специалиста из техподдержки уверяет, что деньги списались случайно: теперь продавцу поступят и списанные деньги, и те, что были обещаны. Так с жертвы списывают уже двойную сумму денег.
Развод с удалённой блокировкой iCloud
— В этой схеме мошенник выступает в роли покупателя айфона. Он находит продавца, у которого объявление висит давно. Такой продавец очень рад покупателю, и его проще обмануть.
Мошенник рассказывает продавцу жалобную историю о том, что его все постоянно обманывают. Он несколько раз купил заблокированный или сломанный айфон и теперь перед покупкой хочет убедиться, что с этим смартфоном всё в порядке. Для этого мошенник просит продавца залогиниться с айфона в его iCloud-аккаунте, чтобы якобы проверить какие-то данные.
Жертва логинится в iCloud-аккаунт мошенника, после чего смартфон удалённо блокируется. Всё. Продавец ничего не может сделать с телефоном, у него просто кирпич. Мошенник начинает вымогать предоплату: «Переведи мне пять тысяч, и я сниму блокировку». И нет гарантии, что мошенники разблокируют телефон после перевода.
Продавец добровольно зашёл со своего устройства в iCloud-аккаунт мошенника, а тот может использовать свой iCloud как захочет. Здесь вряд ли поможет Apple, а легально обойти блокировку iCloud нельзя.
Ситуация с обманом в интернете в Европе
— Недавно общался с коллегами из Италии — они не знают, что такое мошенничество. Коллеги в шоке от того, что мошенники с постсоветского пространства перебираются на площадки в Европу, и там никто не знает, что с этим делать.
В России максимальная конверсия, которую я видел в мошеннических схемах, — 10%. В первый день запуска схемы каждый десятый становится жертвой мошенников. Потом распространяется информация, сервисы адаптируются, и конверсия падает.
В Европе мошенники заявляют, что у них есть схемы и площадки, где конверсия 50%. Получается обмануть каждого второго.
Какие нужны навыки, чтобы попасть к тебе в команду?
— Мы создаём безопасные продукты и сервисы, чтобы мошенники вообще не имели шанса. Больше всего ребят в команде — классическая продуктовая разработка. Мы делаем мессенджер, занимаемся телефонией, звонками через приложение, делаем рейтинги, отзывы, профили и другие продукты для повышения доверия пользователей друг к другу.
Второй наш фокус — это разработка алгоритмов модерации. То есть программ, которые проверяют контент, пользователей и их действия на площадке. Для этого мы нанимаем дата-сайентистов — людей, которые занимаются Machine learning и работают с разными типами данных: поведенческими, картинками, текстами и разного рода параметрами. Дата-сайентисты также разрабатывают алгоритмы для вычисления паттернов мошенников.
Что делает государство для борьбы с мошенниками
— Я недавно общался с коллегами из госструктур и знаю, что сейчас планируется выход ряда законопроектов, которые заранее выглядят реально полезными и могут усложнить жизнь мошенникам. Разумеется, всё зависит от реализации: главное, чтобы эти законы не усложнили жизнь хорошим людям. По крайней мере, я вижу у государства правильное понимание проблемы и движение в нужную сторону.
Коллеги из Банка России и Минцифры реально видят ситуацию. Они в тренде: понимают, какие есть проблемы, сотрудничают с банками, с мобильными операторами и площадками. А главное, готовы слушать и спрашивать наше мнение.
Банк России — молодцы, у них есть дочерняя структура «ФинЦЕРТ». Она позволяет оперативно блокировать фишинговые сайты, которые паразитируют под видом платёжных форм. Это один из самых эффективных способов заблокировать мошеннический сайт. Если кто-то находит фишинговую платёжную форму, можно отправить в «ФинЦЕРТ», и они её заблокируют. Быстро, эффективно, надёжно.
Мошенничество — это крупный бизнес?
— Не возьмусь точно оценивать объём мошеннического рынка по всем известным мне схемам, но там миллионы долларов в год. Думаю, это сотни миллионов долларов.
Полная версия
Продолжение и подробности — в полной версии подкаста на «Яндекс-музыке». Заходите на огонёк и берегите себя! Никому не сообщайте коды из смс.
