Разговор с директором по безопасности «Авито»

Разговор с директором по безопасности «Авито»

Конспект подкаста «Запуск завтра»

Чу! Это конспект подкаста «Запуск завтра», который выходит при поддержке «Практикума». Мы тоже выходим при поддержке «Практикума». Если есть время, приглашаем послушать полную версию: 

О герое

Герой выпуска — директор по безопасности «Авито». Он знает почти все схемы обмана на платформе и проектирует продукт таким образом, чтобы у мошенников было как можно меньше шансов. Мы не раскрываем его личность, чтобы не подвергать опасности.

Зачем секретность?

— Когда в любом СМИ выходит материал про мошенничество под моим именем, мне начинают угрожать. Из-за этого мне даже пришлось как-то раз переехать. Я вернулся, когда угрозы прекратились, но мошенники нашли мой домашний адрес. Тема с мошенничеством довольно опасная, если ты знаешь персональные данные тех, кто этим занимается.

Чем занимается директор по безопасности

— Я работаю директором по безопасности и доверию в «Авито». На русском звучит довольно грустно, зато на английском красиво — Trust & Safety. Такие отделы есть в любом крупном интернет-сервисе — в Гугле, Яндексе и Фейсбуке. Я отвечаю в компании за всё, что связано с противодействием мошенничеству.

Мошеннических схем и продуктов просто миллион. Начиная от простых, где человек подходит на улице и просит докинуть 100 рублей на билет, заканчивая сложными, в которых участвуют технические эксперты. При этом самая частая схема стара как мир и всё ещё работает — это вымогание предоплаты.

Обман на предоплате

— Допустим, вы хотите купить новый айфон. Вбиваете в поиске «Купить новый iphone Москва». Видите хороший вариант и пишете продавцу. Продавец начинает вас торопить, аргументируя тем, что спрос большой и вообще-то за телефоном уже едет другой покупатель.

Вы очень хотите купить этот телефон, поэтому спрашиваете: «Что можно сделать?» Если продавец отвечает, что нужен задаток, то перед вами мошенник. 

Часто мошенники заходят в новые ниши, где люди даже не подозревают, что их могут обмануть. Выбирая iPhone или PlayStation, уже каждый понимает: если цена низкая и продавец просит предоплату, то жди беды. Поэтому мошенники пробуют себя реально в неожиданных областях, например в продаже тракторов.

Продавец говорит, что трактор стоит у него где-нибудь в поле или в ангаре и общаться он будет только с реальным покупателем. Он спрашивает: «Ты, типа, нормальный вообще? Будешь реально брать? Если да — отправь тысячу». А что такое тысяча, когда трактор стоит миллион?

Фишинг

— Большую популярность набрала схема с подменой платёжной формы — фишинг. Мошенники регистрируют домены, похожие на домены других известных игроков IT-рынка. Размещают на этих доменах поддельную платёжную форму, через которую деньги уходят напрямую мошеннику. Чаще всего бэкенд таких мошеннических сайтов — это переводы с карты на карту. Жертва думает, что оплачивает товар, а на самом деле деньги уходят на карту мошеннику.

Обычно фишинговый сайт выглядит даже лучше, чем настоящий. Один из способов определить, что перед вами сайт мошенников, — на нём нет багов. Всё должно выглядеть идеально, чтобы у жертвы не возникло подозрений, что её обманывают.

Чтобы заманить пользователя на фишинговый сайт, мошенники используют разные каналы: форумы, доски объявлений и даже притворяются продавцами-консультантами из «М-Видео». Якобы делятся личной скидкой, а на самом деле дают ссылку на фишинговую форму. Жертва переходит по ссылке, видит товар со скидкой, вбивает данные карты — и деньги уходят мошеннику. Далее деньги несколько раз перегоняют со счёта на счёт, выводят на карту и снимают в обычном банкомате. 

Как не попасться на уловки мошенников 

— Перезвонить или написать в другой канал связи. Например, если вам пишут в WhatsApp, — напишите СМСку. Если это были мошенники с подменой номера звонящего — перезвоните, и вы попадёте на настоящую поддержку банка или на реального владельца номера. Мошенники потеряют контроль над ситуацией
и не смогут ничего сделать. 

Мошенническая техподдержка

У мошенников есть своя техподдержка, в которую обращаются жертвы.

Есть схема, когда обманывают продавца. Покупатель говорит ему, что он оплатил товар, и присылает форму для получения денег. Только вместо получения деньги списываются с карты продавца. 

Продавец думает, что произошла ошибка, и не понимает, что это обман. Он говорит: «Что за фигня?», а мошенник отправляет его разбираться в фейковую поддержку. В этой поддержке перед человеком 10 раз извиняются и отправляют новую ссылку — с двойной оплатой. Мошенник под видом специалиста из техподдержки уверяет, что деньги списались случайно: теперь продавцу поступят и списанные деньги, и те, что были обещаны. Так с жертвы списывают уже двойную сумму денег.

Развод с удалённой блокировкой iCloud 

— В этой схеме мошенник выступает в роли покупателя айфона. Он находит продавца, у которого объявление висит давно. Такой продавец очень рад покупателю, и его проще обмануть. 

Мошенник рассказывает продавцу жалобную историю о том, что его все постоянно обманывают. Он несколько раз купил заблокированный или сломанный айфон и теперь перед покупкой хочет убедиться, что с этим смартфоном всё в порядке. Для этого мошенник просит продавца залогиниться с айфона в его iCloud-аккаунте, чтобы якобы проверить какие-то данные.

Жертва логинится в iCloud-аккаунт мошенника, после чего смартфон удалённо блокируется. Всё. Продавец ничего не может сделать с телефоном, у него просто кирпич. Мошенник начинает вымогать предоплату: «Переведи мне пять тысяч, и я сниму блокировку». И нет гарантии, что мошенники разблокируют телефон после перевода.  

Продавец добровольно зашёл со своего устройства в iCloud-аккаунт мошенника, а тот может использовать свой iCloud как захочет. Здесь вряд ли поможет Apple, а легально обойти блокировку iCloud нельзя. 

Ситуация с обманом в интернете в Европе

— Недавно общался с коллегами из Италии — они не знают, что такое мошенничество. Коллеги в шоке от того, что мошенники с постсоветского пространства перебираются на площадки в Европу, и там никто не знает, что с этим делать.

В России максимальная конверсия, которую я видел в мошеннических схемах, — 10%. В первый день запуска схемы каждый десятый становится жертвой мошенников. Потом распространяется информация, сервисы адаптируются, и конверсия падает.

В Европе мошенники заявляют, что у них есть схемы и площадки, где конверсия 50%. Получается обмануть каждого второго.

Какие нужны навыки, чтобы попасть к тебе в команду? 

— Мы создаём безопасные продукты и сервисы, чтобы мошенники вообще не имели шанса. Больше всего ребят в команде — классическая продуктовая разработка. Мы делаем мессенджер, занимаемся телефонией, звонками через приложение, делаем рейтинги, отзывы, профили и другие продукты для повышения доверия пользователей друг к другу.

Второй наш фокус — это разработка алгоритмов модерации. То есть программ, которые проверяют контент, пользователей и их действия на площадке. Для этого мы нанимаем дата-сайентистов — людей, которые занимаются Machine learning и работают с разными типами данных: поведенческими, картинками, текстами и разного рода параметрами. Дата-сайентисты также разрабатывают алгоритмы для вычисления паттернов мошенников. 

Что делает государство для борьбы с мошенниками

— Я недавно общался с коллегами из госструктур и знаю, что сейчас планируется выход ряда законопроектов, которые заранее выглядят реально полезными и могут усложнить жизнь мошенникам. Разумеется, всё зависит от реализации: главное, чтобы эти законы не усложнили жизнь хорошим людям. По крайней мере, я вижу у государства правильное понимание проблемы и движение в нужную сторону.

Коллеги из Банка России и Минцифры реально видят ситуацию. Они в тренде: понимают, какие есть проблемы, сотрудничают с банками, с мобильными операторами и площадками. А главное, готовы слушать и спрашивать наше мнение. 

Банк России — молодцы, у них есть дочерняя структура «ФинЦЕРТ». Она позволяет оперативно блокировать фишинговые сайты, которые паразитируют под видом платёжных форм. Это один из самых эффективных способов заблокировать мошеннический сайт. Если кто-то находит фишинговую платёжную форму, можно отправить в «ФинЦЕРТ», и они её заблокируют. Быстро, эффективно, надёжно.

Мошенничество — это крупный бизнес?

— Не возьмусь точно оценивать объём мошеннического рынка по всем известным мне схемам, но там миллионы долларов в год. Думаю, это сотни миллионов долларов.

Полная версия

Продолжение и подробности — в полной версии подкаста на «Яндекс-музыке». Заходите на огонёк и берегите себя! Никому не сообщайте коды из смс.

Ведущий подкаста:

Самат Галимов

Редактор подкаста:

Юля Яковлева

Продюсер подкаста:

Павел Боровков

Звукорежиссёр:

Нина Мамотина

Дизайнер обложки

подкаста:

Пётр Сутупов

Редакторы конспекта:

Сервис «Чистовик», Максим Ильяхов

Корректор «Кода»:

Ира Михеева

Вёрстка статьи:

Кирилл Климентьев

Соцсети:

Алина Грызлова

Получите ИТ-профессию
В «Яндекс Практикуме» можно стать разработчиком, тестировщиком, аналитиком и менеджером цифровых продуктов. Первая часть обучения всегда бесплатная, чтобы попробовать и найти то, что вам по душе. Дальше — программы трудоустройства.
Начать карьеру в ИТ
Получите ИТ-профессию Получите ИТ-профессию Получите ИТ-профессию Получите ИТ-профессию
easy