Безопасность

«Люди верят в низкие цены и победу в лотерее»: эксперт по кибербезопасности OLX рассказал, как не стать жертвой обмана во время онлайн-шопинга

18 августа 2020
«Люди верят в низкие цены и победу в лотерее»: эксперт по кибербезопасности OLX рассказал, как не стать жертвой обмана во время онлайн-шопинга

В июле OLX стал партнером Всеукраинской информационной кампании по противодействию платежному мошенничеству #ШахрайГудбай, которую запустили в НБУ. Ее цель – научить украинцев основным правилам безопасности безналичных и онлайн-платежей.

Редакция блога расспросила руководителя отдела бизнес-аналитики OLX Виктора Нобиуза, какие схемы используют онлайн-мошенники, как платформа защищает своих пользователей, а также что нужно знать и делать покупателям, чтобы не стать жертвой киберпреступников.

«Схемы обмана развиваются одновременно с технологиями защиты»

– Виктор, как вы оцениваете масштабы проблемы мошенничества в сфере онлайн-покупок? Увеличилось ли количество таких сделок, например, во время карантина?

– В целом, по данным НБУ, за прошлый год онлайн-мошенники незаконным путем завладели более 400 млн грн.

Внутри OLX мы измеряем случаи мошенничества по обращениям пользователей. По нашей статистике, доля «киберобманов» – около 0,4% от всех транзакций. Но сколько их на самом деле – неизвестно, ведь не все пострадавшие пишут в нашу Службу поддержки.

В течение последних нескольких лет количество недобросовестных сделок остается примерно одинаковым, но вырос средний чек кражи. Раньше мошенники, как правило, выманивали у покупателей предоплату в размере 100-200 грн и исчезали. Сейчас они разработали новые схемы, которые позволяют украсть полную стоимость товара – вплоть до 4-6 тыс. грн.

Во время карантина «всплеск» числа жалоб пользователей мы не зафиксировали, но заметили, что преступники переориентировались на другие товары. Если обычно обманывали в продажах электроники и вещей домашнего обихода, то в период усиленного карантина фокус сместился на медицинские маски, санитайзеры и другие медицинские товары. Но мы оперативно отреагировали и запретили на платформе продажу медицинских масок и спиртосодержащей продукции (санитайзеры, антисептики).

К тому же многие люди покупали онлайн впервые, а значит, были менее осведомлены о разных видах обмана и более уязвимы перед мошенниками.

«Люди верят в низкие цены и победу в лотерее»: эксперт по кибербезопасности OLX рассказал, как не стать жертвой обмана во время онлайн-шопинга

– Какие схемы используют онлайн-мошенники? Как они менялись со временем?

– Схемы обмана развиваются одновременно с технологиями и средствами защиты, которые внедряют против них. Например, раньше самой популярной «ловушкой» была предоплата: продавцы обещали отправить товар только после того, как покупатель частично его оплатит. Когда жертва перечисляла указанную сумму, мошенники пропадали, удаляли свои учетные записи и блокировали телефон.

Сейчас, с развитием онлайн-оплаты картой на сайте, набирает обороты фишинг. В этой схеме потенциальную жертву всеми возможными способами стараются увести на т. н. сайт-копию, который выглядит точно так же, как и реальный ресурс, но его фальшивость выдает странный линк (например, вместо olx.ua – olx-ua.us). Когда человек переходит по ссылке и оплачивает товар, деньги сразу же попадают в карман мошенника.

Разновидность фишинга – спам-рассылки «писем счастья» с сообщением, что пользователь что-либо выиграл, а чтобы получить приз, нужно перейти по ссылке и оплатить какую-нибудь «комиссию».

Мошенники с легкостью подделывают электронные письма, SMS и даже звонки от имени различных e-commerce платформ, магазинов и банков. Поэтому крайне важно, чтобы пользователи перепроверяли, что и почему они получают, не спешили платить, когда им приходит незнакомая ссылка.

– По вашему мнению, почему фишинг работает?

– Есть несколько причин. Первая – жажда «шары» у жертвы. Люди верят в невероятную удачу: низкую цену на товары, которые обычно стоят дороже, внезапную победу в лотерее без участия в розыгрыше, выигрыш дорогого приза и т. д.

Вторая – невнимательность. Никто зачастую не проверяет, на каком сайте платит, по каким реквизитам.

Третья – незнание основ работы площадки, на которой человек покупает товар. Например, в реальности площадка никогда не присылает ссылок на оплату, а жертва не видит ничего странного, когда получает такой линк от мошенника.

Сюда же относится и незнание базовых принципов финансовых операций и услуг, которыми пользуется человек: получение или возврат средств, если платеж отклонен, отменен и т. д.

И последняя причина – сверхдоверчивость. Например, пользователь спокойно переходит по ссылкам и платит, верит в «сказки» про ошибки в работе сервиса или уникальность услуги, которая якобы активна только у мошенника.

«Люди верят в низкие цены и победу в лотерее»: эксперт по кибербезопасности OLX рассказал, как не стать жертвой обмана во время онлайн-шопинга

– А как недобросовестные покупатели обманывают продавцов?

– Самый простой вариант: мошенник-покупатель приходит за товаром в отделение Нова пошта, осматривает его и незаметно подменяет на другой (например, на неработающий телефон или нечто похожее по виду и весу). Затем оформляет возврат. При этом ответственность за проверку, что «отказной» товар – тот же, который прислал продавец, лежит на работнике службы доставки. Но, например, мы как площадка никак не можем это проконтролировать.

Еще одна схема – «такси», она рассчитана на невнимательность продавца. Покупатель договаривается с ним о встрече, но накануне «часа икс» говорит, что не может приехать лично за товаром. Уверяет, что уже выслал такси или друга, а оплату переведет на карту. Затем мошенник присылает SMS от имени банка, будто бы пришел денежный перевод, и просит продавца передать товар приехавшему «таксисту». Понятное дело, никакой денежный перевод в реальности не приходит, а продавец просто отдает вещь мошеннику. Чтобы не стать жертвой такой схемы, достаточно зайти в приложение интернет-банкинга и проверить, действительно ли поступили деньги.

Кроме этого, как и в случае с жертвами-покупателями, для обмана продавцов тоже все чаще используют фишинг. Например, недобросовестный пользователь пишет продавцу в мессенджер и убеждает, что уже оплатил товар через OLX Доставка. После этого он присылает жертве ссылку на поддельную страницу, похожую на OLX.

На ненастоящем сайте продавец должен нажать кнопку «Получить деньги» и ввести полные данные своей карты, включая номер, имя владельца, срок действия и CVV-код с обратной стороны. На самом деле для получения денег на карту достаточно было бы только ее номера – 16 цифр на лицевой стороне. Остальные данные позволяют мошенникам получить доступ к деньгам жертвы.

«Никакие технологии не защитят от глупости и невнимательности»

– Расскажите, пожалуйста, как OLX защищает своих пользователей во время онлайн-покупок? Какие меры безопасности вы уже предприняли и собираетесь внедрить?

– У нас есть услуга OLX Доставка: ее запустили, чтобы предотвратить обман с предоплатой. Покупатель нажимает кнопку «Купить c доставкой» на странице объявления, вводит данные для получения посылки в отделении Нова пошта и оплачивает покупку картой в несколько кликов. При этом его деньги «замораживаются» на счету – продавец их не получит, пока человек лично не убедится в качестве товара и не заберет его.

OLX Доставка защищает и продавцов – например, от случаев, когда покупатель не приходит на почту за товаром. С нашей услугой предварительная «заморозка» средств покупателя гарантирует серьезность его намерений. А если он все же откажется от посылки, то она вернется продавцу за наш счет.

Но мошенники адаптировались под новые условия и практически отказались от вариантов с предоплатой. Теперь они придумали схему с фишингом.

– Как она работает в случае с OLX Доставка?

– Сначала недобросовестные продавцы размещают объявления (обычно с очень привлекательной ценой) и ждут отклик от потенциальной жертвы. Затем они делают все возможное, чтобы увести человека с платформы, например, просят перевести разговор в мессенджер, и присылают ссылку на поддельную страницу оплаты товара.

Тут самый важный момент: в случае с реальной OLX Доставка покупатель никогда не получает ссылку на оплату товара. Весь платеж проходит исключительно на сайте OLX или в приложении после нажатия кнопки «Купить c доставкой».

Мы везде, где возможно, предупреждаем покупателей, чтобы они были внимательными, не уходили в мессенджеры и не платили по сомнительным ссылкам. Например, показываем такое предупреждение в чате при нажатии «Написать автору», а также шлем пуш-уведомления, если подозреваем, что пользователи просматривали подозрительные объявления.

Кстати, в конце августа в партнерстве Украинской межбанковской Ассоциацией членов платежных систем ЕМА будем запускать онлайн-игру «Zдолай шахрая». Это интерактивный квиз, где игроки попадают в смоделированные ситуации различных видов мошенничества. Главная задача – победить как можно больше монстров-мошенников. В фановом формате игрок может пройти более 80 схем, узнать о признаках и методах защиты от каждого вида платежного обмана.

«Люди верят в низкие цены и победу в лотерее»: эксперт по кибербезопасности OLX рассказал, как не стать жертвой обмана во время онлайн-шопинга

– Были ли случаи, когда ту или иную меру внедряли уже после реального случая обмана пользователей?

– Практически все реализуется после настоящих случаев мошенничества – как ответная реакция. К сожалению, мы не можем заранее предугадать все возможные схемы, которые изобретут преступники.

В то же время базовые компоненты безопасности внедряются сразу с запуском того или иного продукта или услуги. Например, данные платежных карт хранятся исключительно в зашифрованном виде, и у человека нет к ним доступа. А размещать объявления разрешаем только тем пользователям, которые подтвердили свой номер телефона с помощью SMS.

– Есть ли различия в том, как OLX обеспечивает кибербезопасность в разных странах, где работает площадка?

– Да, в разных странах может быть более активной та или иная схема мошенничества, поэтому и методы борьбы разные. Например, в Румынии боремся с объявлениями с содержанием интимного характера, в Польше – со схемой мошенничества по предоплате. В Украине, как я уже говорил, активно используют фишинг. Дополнительно для борьбы с ним мы планируем запустить образовательный сайт – будем повышать «киберграмотность» украинцев, чтобы они могли защититься от недобросовестных пользователей в интернете.

То, что можно сделать централизованно и покрыть сразу все площадки, мы, конечно же, тоже внедряем. К примеру, во всех странах используем модели машинного обучения, которые помогают выявлять и блокировать подозрительных продавцов, если оценивают вероятность обмана выше определенного уровня. Сейчас мы ежедневно блокируем сотни, а иногда и тысячи мошеннических учетных записей.

– Какая разница в подходах к кибербезопасности пользователей из разных стран?

– Про европейцев можно сказать, что они более финансово грамотные. Но никакие технологии не защитят от обыкновенной человеческой глупости и невнимательности. И даже тех же грамотных европейцев возможно обмануть – просто мошенникам нужно на это больше времени и усилий.

«Люди верят в низкие цены и победу в лотерее»: эксперт по кибербезопасности OLX рассказал, как не стать жертвой обмана во время онлайн-шопинга

Руководитель отдела бизнес-аналитики OLX Виктор Нобиуз

– Может ли OLX как-то помочь покупателю, которого уже обманули? Были ли реальные случаи, когда человек попал в неприятную ситуацию, но мошенника нашли и привлекли к ответственности?

– OLX рассматривает все обращения обманутых пользователей через официальную Службу поддержки. Каждый случай индивидуальный, и если мы видим, что можем помочь, то делаем это. Например, помогаем составить заявление в банк, чтобы пользователь вернул украденные деньги.

Что касается непосредственно поимки мошенников – это сфера ответственности правоохранительных органов. Мы не можем задерживать их самостоятельно. Проблема еще и в том, что люди возлагают все надежды на OLX, при этом сами, если их обманули, не идут в полицию. Но без заявления от пострадавшего не начнется следствие.

Если дело открыли и киберполиция запрашивает у нас данные о преступниках, мы передаем им всю информацию, которая может помочь следствию. Из реальных кейсов: в апреле полиция задержала группу мошенников, которые спекулировали на продаже медицинских товаров, в июле – преступников, которые «продавали» несуществующие товары, а также выманивали данные карт, оформляя на них онлайн-кредиты. В ходе расследования этих дел мы содействовали информационно совместно с другими участниками рынка.

«Главное – не терять бдительность и критически мыслить»

– Что нужно знать и делать покупателям, чтобы защититься от обмана на OLX?

– Сформулирую шесть главных правил.

1. Потратить пять минут времени, чтобы изучить принцип работы услуги OLX Доставка.

2. Сохранять голову «холодной» и относиться с осторожностью к слишком привлекательной цене на желаемый товар.

3. Вести переговоры о покупке или продаже исключительно на платформе OLX, не уходить в мессенджеры.

4. Не переходить и не оплачивать ничего по ссылкам, полученным от незнакомых людей. Помните: OLX никогда не присылает отдельную ссылку на оплату. Кроме того, мы не отправляем никаких SMS с сокращенными линками на оформление какого-либо заказа на платформе OLX, с просьбой увеличить лимит платежной карты, подтвердить платеж в банке, а также для связи со специалистом Службой поддержки.

5. Не сообщать свои персональные данные продавцу. Для оформления покупки с OLX Доставка они лично ему не нужны, все происходит автоматически на платформе.

6. Если вы нажали кнопку «Купить с доставкой», а продавец отменил сделку и затем написал, что что-то пошло не так и сейчас придет ссылка на повторную покупку – лучше отказаться. С вероятностью 99,9% – это мошенник.

Если вы заметили подозрительное поведение, сообщите Службе поддержки. Для этого нужно нажать кнопку «Жалоба» под текстом объявления или заполнить форму обратной связи. Важно, чтобы жалоба была детальной, а отправитель – залогиненный в системе. Иначе нам будет сложно оценить достоверность обращения вроде «Это мошенник» без каких-либо подробностей от анонимного пользователя.

«Люди верят в низкие цены и победу в лотерее»: эксперт по кибербезопасности OLX рассказал, как не стать жертвой обмана во время онлайн-шопинга

– А если говорить не только об OLX, но и рассматривать подобные онлайн-площадки в целом: как обеспечить себе безопасный онлайн-шоппинг в сети?

– Помнить о базовых принципах обращения с финансовыми инструментами, не разглашать свои персональные и финансовые данные незнакомым людям: зачастую все платежи автоматизированы и человек-продавец в них не участвует.

Не переходить и не платить по ссылкам, которые вы получили от незнакомых людей, не верить во внезапную удачу – бесплатный сыр всегда только в мышеловке. Изучать принципы работы тех платформ и услуг, которыми пользуетесь.

В целом повысить свою финансовую грамотность и узнать чуть больше о безопасности при онлайн-покупках можно благодаря образовательным проектам, например, #ШахрайГудбай.

– Какие мировые практики в сфере кибербезопасности вас вдохновляют как профи?

– Не могу выделить какие-то практики, но метод оплат у компании Apple весьма хорош: для подтверждения транзакции через Apple Pay используется FaceID или отпечаток пальца. Хотя, не удивлюсь, если мошенники научатся подделывать и биометрические данные.

Также могу отметить подходы по борьбе с киберпреступниками в Facebook. Они используют модели машинного обучения и выявляют мошенников по активности профиля: лайкам, количеству друзей и т. д.

– Как вы считаете, можно ли раз и навсегда решить проблему с мошенничеством во время онлайн-покупок? Или это утопия, и люди всегда смогут обойти меры защиты?

– Можно постараться максимально усложнять верификацию в процессе оплаты/покупки. Но все мы понимаем, что это идет вразрез со стремлением делать все процессы проще и удобнее для пользователей.

На любую технологию мошенники всегда будут искать способ ее обойти. И пока есть человеческий фактор – невнимательность или глупость – у злоумышленников будет шанс этим воспользоваться.

Поэтому главное при онлайн-покупках – не терять бдительность и критически мыслить.

Текст: Валентина Шимкович