Безпека

«Люди вірять у низькі ціни та перемогу в лотереї»: експерт із кібербезпеки OLX розповів, як не стати жертвою обману під час онлайн-шопінгу

18 Серпня 2020
«Люди вірять у низькі ціни та перемогу в лотереї»: експерт із кібербезпеки OLX розповів, як не стати жертвою обману під час онлайн-шопінгу

У липні OLX став партнером Всеукраїнської інформаційної кампанії з протидії платіжному шахрайству #ШахрайГудбай, яку запустили в НБУ. Її мета – навчити українців основних правил безпеки безготівкових та онлайн-платежів.

Редакція блогу розпитала керівника відділу бізнес-аналітики OLX Віктора Нобіуза, які схеми використовують онлайн-шахраї, як платформа захищає своїх користувачів, а також що потрібно знати та робити покупцям, щоб не стати жертвою кіберзлочинців.

«Схеми обману розвиваються одночасно з технологіями захисту»

– Вікторе, як ви оцінюєте масштаби проблеми шахрайства в галузі онлайн-покупок? Чи збільшилася кількість таких угод, наприклад, під час карантину?

– Загалом, за даними НБУ, протягом минулого року онлайн-шахраї незаконним шляхом заволоділи понад 400 млн грн.

Усередині OLX ми вимірюємо випадки шахрайства за зверненнями користувачів. За нашою статистикою, частка «кіберобманів» – близько 0,4% від усіх транзакцій. Але скільки їх насправді – невідомо, адже не всі потерпілі пишуть в нашу Службу підтримки.

Протягом останніх кількох років кількість недобросовісних угод залишається приблизно однаковою, але виріс середній чек крадіжки. Раніше шахраї, як правило, виманювали у покупців передоплату в розмірі 100-200 грн і зникали. Зараз вони розробили нові схеми, які дозволяють вкрасти повну вартість товару – аж до 4-6 тис. грн.

Під час карантину «сплеск» числа скарг користувачів ми не зафіксували, але помітили, що злочинці переорієнтувалися на інші товари. Якщо зазвичай обманювали в продажах електроніки та речей домашнього вжитку, то в період посиленого карантину фокус змістився на медичні маски, санітайзери та інші медичні товари. Але ми оперативно відреагували і заборонили на платформі продаж медичних масок і спиртовмісної продукції (санітайзери, антисептики).

До того ж багато людей купували онлайн вперше, а отже, були менш поінформовані про різні види обману і більш вразливі перед шахраями.

«Люди вірять у низькі ціни та перемогу в лотереї»: експерт із кібербезпеки OLX розповів, як не стати жертвою обману під час онлайн-шопінгу

– Які схеми використовують онлайн-шахраї? Як вони змінювалися з часом?

– Схеми обману розвиваються одночасно з технологіями і засобами захисту, які впроваджують проти них. Наприклад, раніше найпопулярнішою «пасткою» була передоплата: продавці обіцяли відправити товар тільки після того, як покупець частково його оплатить. Коли жертва перераховувала зазначену суму, шахраї зникали, видаляли свої облікові записи і блокували телефон.

Зараз, з розвитком онлайн-оплати карткою на сайті, набирає обертів фішинг. У цій схемі потенційну жертву всіма можливими способами намагаються перевести на т. зв. сайт-копію, який виглядає точно так само, як і реальний ресурс, але його фальшивість видає дивний лінк (наприклад, замість olx.ua – olx-ua.us). Коли людина переходить за посиланням і оплачує товар, гроші відразу потрапляють до кишені шахрая.

Різновид фішингу – спам-розсилки «листів щастя» з повідомленням, що користувач що-небудь виграв, а щоб отримати приз, потрібно перейти за посиланням і оплатити якусь «комісію».

Шахраї з легкістю підробляють електронні листи, SMS і навіть дзвінки від імені різних e-commerce платформ, магазинів та банків. Тому вкрай важливо, щоб користувачі перевіряли, що й чому вони отримують, не поспішали платити, коли їм приходить незнайоме посилання.

– На вашу думку, чому фішинг працює?

– Є кілька причин. Перша – бажання «шари» в жертви. Люди вірять у неймовірну удачу: низьку ціну на товари, які зазвичай коштують дорожче, раптову перемогу в лотереї без участі в розіграші, виграш дорогого призу тощо.

Друга – неуважність. Ніхто зазвичай не перевіряє, на якому сайті платить, за якими реквізитами.

Третя – незнання основ роботи майданчика, на якій людина купує товар. Наприклад, у реальності майданчик ніколи не надсилає посилань на оплату, а жертва не бачить нічого дивного, коли отримує такий лінк від шахрая.

Сюди ж входить і незнання базових принципів фінансових операцій та послуг, якими користується людина: отримання або повернення коштів, якщо платіж відхилений, скасований тощо.

І остання причина – супердовірливість. Наприклад, користувач спокійно переходить за посиланнями і платить, вірить у «казки» про помилки в роботі сервісу або унікальність послуги, яка нібито активна тільки у шахрая.

«Люди вірять у низькі ціни та перемогу в лотереї»: експерт із кібербезпеки OLX розповів, як не стати жертвою обману під час онлайн-шопінгу

– А як недобросовісні покупці обманюють продавців?

– Найпростіший варіант: шахрай-покупець приходить за товаром у відділення Нова пошта, оглядає його і непомітно підміняє на інший (наприклад, на зламаний телефон або щось схоже за виглядом і вагою). Потім оформляє повернення. Причому відповідальність за перевірку, що товар, від якого відмовилися, –  той самий, що надіслав продавець, лежить на працівнику служби доставки. Але, наприклад, ми як майданчик ніяк не можемо це проконтролювати.

Ще одна схема – «таксі», вона розрахована на неуважність продавця. Покупець домовляється з ним про зустріч, але напередодні «години ікс» говорить, що не може приїхати особисто за товаром. Запевняє, що вже вислав таксі або друга, а оплату переведе на карту. Потім шахрай надсилає SMS від імені банку, нібито прийшов грошовий переказ, і просить продавця передати товар «таксисту». Ясна річ, жоден грошовий переказ в реальності не надходить, а продавець просто віддає річ шахраєві. Щоб не стати жертвою такої схеми, досить зайти в додаток інтернет-банкінгу і перевірити, чи дійсно надійшли гроші.

Крім цього, як і у випадку з жертвами-покупцями, для обману продавців теж дедалі частіше використовують фішинг. Наприклад, недобросовісний користувач пише продавцеві в месенджер і переконує, що вже сплатив товар через OLX Доставка. Після цього він надсилає жертві посилання на «сторінку-підробку», схожу на OLX.

На несправжньому сайті продавець повинен натиснути кнопку «Отримати гроші» і ввести повні дані своєї картки, включаючи номер, ім’я власника, термін дії та CVV-код на зворотному боці. Насправді для отримання грошей на картку достатньо було б тільки її номера – 16 цифр на лицьовій стороні. Інші дані дозволяють шахраям отримати доступ до грошей жертви.

«Жодні технології не захистять від дурості й неуважності»

– Розкажіть, будь ласка, як OLX захищає своїх користувачів під час онлайн-покупок? Які заходи безпеки ви вже реалізували та збираєтеся впровадити?

– У нас є послуга OLX Доставка: її запустили, щоб запобігти обману з передоплатою. Покупець натискає кнопку «Купити c доставкою» на сторінці оголошення, вводить дані для отримання посилки у відділенні Нова пошта і оплачує покупку карткою в кілька кліків.  Причому його гроші «заморожуються» на рахунку – продавець їх не отримає, поки людина особисто не переконається в якості товару і не забере його.

OLX Доставка захищає і продавців – наприклад, від випадків, коли покупець не приходить на пошту за товаром. З нашою послугою попередня «заморозка» коштів покупця гарантує серйозність його намірів. А якщо він все-таки відмовиться від посилки, то вона повернеться продавцеві за наш рахунок.

Але шахраї адаптувалися під нові умови і практично відмовилися від варіантів з передоплатою. Тепер вони придумали схему з фішингом.

– Як вона працює у випадку з OLX Доставка?

– Спочатку недобросовісні продавці розміщують оголошення (зазвичай з дуже привабливою ціною) і чекають на відгук від потенційної жертви. Потім вони роблять усе можливе, щоб вивести людину з платформи, наприклад, просять перевести розмову в месенджер, і надсилають посилання на несправжню сторінку оплати товару.

Тут найважливіший момент: у випадку з реальною OLX Доставка покупець ніколи не отримує посилання на оплату товару. Весь платіж проходить виключно на сайті OLX або в додатку після натискання кнопки «Купити c доставкою».

Ми скрізь, де можливо, попереджаємо покупців, щоб вони були уважними, не переходили в месенджери і не платили за сумнівними посиланнями. Наприклад, показуємо таке попередження в чаті під час натискання «Написати автору», а також надсилаємо пуш-повідомлення, якщо підозрюємо, що користувачі переглядали підозрілі оголошення.

До речі, в кінці серпня в партнерстві Українською міжбанківською Асоціацією членів платіжних систем ЕМА будемо запускати онлайн-гру «Zдолай Шахрая». Це інтерактивний квіз, де гравці потрапляють у змодельовані ситуації різних видів шахрайства. Головне завдання – перемогти якомога більше монстрів-шахраїв. У фановому форматі гравець може пройти більше 80 схем, дізнатися про ознаки і методи захисту від кожного виду платіжного обману.

«Люди вірять у низькі ціни та перемогу в лотереї»: експерт із кібербезпеки OLX розповів, як не стати жертвою обману під час онлайн-шопінгу

– Чи були випадки, коли те чи інше рішення впроваджували вже після реального випадку обману користувачів?

– Практично все реалізується після справжніх випадків шахрайства – як реакція у відповідь. На жаль, ми не можемо заздалегідь передбачити всі можливі схеми, які винайдуть злочинці.

Водночас базові компоненти безпеки впроваджуються відразу із запуском того чи іншого продукту або послуги. Наприклад, дані платіжних карт зберігаються виключно в зашифрованому вигляді, і в людини немає до них доступу. А розміщувати оголошення дозволяємо тільки тим користувачам, які підтвердили свій номер телефону за допомогою SMS.

– Чи є відмінності в тому, як OLX забезпечує кібербезпеку в різних країнах, де працює майданчик?

– Так, у різних країнах може бути більш активною та чи інша схема шахрайства, тому й методи боротьби різні. Наприклад, у Румунії боремося з оголошеннями зі змістом інтимного характеру, в Польщі – зі схемою шахрайства з передоплатою. В Україні, як я вже говорив, активно використовують фішинг. Додатково для боротьби з ним ми плануємо запустити освітній сайт – будемо підвищувати «кіберграмотность» українців, щоб вони могли захиститися від недобросовісних користувачів в інтернеті.

Те, що можна зробити централізовано і покрити відразу всі майданчики, ми, звісно, теж впроваджуємо. Наприклад, в усіх країнах використовуємо моделі машинного навчання, які допомагають виявляти і блокувати підозрілих продавців, якщо оцінюють ймовірність обману вище певного рівня. Зараз ми щодня блокуємо сотні, а іноді й тисячі шахрайських облікових записів.

– Яка різниця в підходах до кібербезпеки користувачів з різних країн?

– Про європейців можна сказати, що вони більш фінансово грамотні. Але жодні технології не захистять від звичайної людської дурості та неуважності. І навіть тих же грамотних європейців можливо обдурити – просто шахраям потрібно на це більше часу і зусиль.

«Люди вірять у низькі ціни та перемогу в лотереї»: експерт із кібербезпеки OLX розповів, як не стати жертвою обману під час онлайн-шопінгу

Керівник відділу бізнес-аналітики OLX Віктор Нобіуз

– Чи може OLX якось допомогти покупцеві, якого вже обдурили? Чи були реальні випадки, коли людина потрапила в неприємну ситуацію, але шахрая знайшли і притягнули до відповідальності?

– OLX розглядає всі звернення користувачів через офіційну Службу підтримки. Кожен випадок індивідуальний, і якщо ми бачимо, що можемо допомогти, то робимо це. Наприклад, допомагаємо скласти заяву в банк, щоб користувач повернув вкрадені гроші.

Що стосується безпосередньо затримання шахраїв – це сфера відповідальності правоохоронних органів. Ми не можемо затримувати їх самостійно. Проблема ще й у тому, що люди покладають всі надії на OLX, водночас самі, якщо їх обдурили, не йдуть в поліцію. Але без заяви від потерпілого не почнеться слідство.

Якщо справу відкрили і кіберполіція запитує у нас дані про злочинців, ми передаємо їм всю інформацію, яка може допомогти слідству. З реальних кейсів: у квітні поліція затримала групу шахраїв, які спекулювали на продажі медичних товарів, в липні – злочинців, які «продавали» неіснуючі товари, а також виманювали дані карт, оформляючи на них онлайн-кредити. Під час розслідування цих справ ми сприяли інформаційно спільно з іншими учасниками ринку.

«Головне – не втрачати пильності і критично мислити»

– Що потрібно знати й робити покупцям, щоб захиститися від обману на OLX?

– Сформулюю шість головних правил.

1. Витратити п’ять хвилин часу, щоб вивчити принцип роботи послуги OLX Доставка.

2. Зберігати голову «холодною» і ставитися з обережністю до занадто привабливої ціни на бажаний товар.

3. Вести переговори про покупку або продаж виключно на платформі OLX, не йти в месенджери.

4. Не переходити і не оплачувати нічого за посиланнями, отриманими від незнайомих людей. Пам’ятайте: OLX ніколи не надсилає окремого посилання на оплату. Крім того, ми не відправляємо жодних SMS зі скороченими лінками на оформлення будь-якого замовлення на платформі OLX, з проханням збільшити ліміт платіжної картки, підтвердити платіж в банку, а також для зв’язку з фахівцем Службою підтримки.

5. Не повідомляти свої персональні дані продавцю. Для оформлення покупки з OLX Доставка вони особисто йому не потрібні, все відбувається автоматично на платформі.

6. Якщо ви натиснули кнопку «Купити з доставкою», а продавець скасував операцію і потім написав, що щось пішло не так і зараз прийде посилання на повторну покупку – краще відмовитися. З імовірністю 99,9% – це шахрай.

Якщо ви помітили підозрілу поведінку, повідомте Службу підтримки. Для цього потрібно натиснути на кнопку «Скарга» під текстом оголошення або заповнити форму зворотного зв’язку. Важливо, щоб скарга була детальною, а відправник – залогіненним в системі. Інакше нам буде складно оцінити достовірність звернення на кшталт «Це шахрай» без будь-яких подробиць від анонімного користувача.

«Люди вірять у низькі ціни та перемогу в лотереї»: експерт із кібербезпеки OLX розповів, як не стати жертвою обману під час онлайн-шопінгу

– А якщо говорити не тільки про OLX, а й розглядати подібні онлайн-майданчики загалом: як забезпечити собі безпечний онлайн-шопінг у мережі?

– Пам’ятати про базові принципи поводження з фінансовими інструментами, не розголошувати свої персональні та фінансові дані незнайомим людям: найчастіше всі платежі автоматизовані і людина-продавець в них участі не бере.

Не переходити і не платити за посиланнями, які ви отримали від незнайомих людей, не вірити у раптову удачу – безкоштовний сир завжди тільки в мишоловці. Вивчати принципи роботи тих платформ і послуг, якими користуєтеся.

Загалом підвищити свою фінансову грамотність та дізнатися трохи більше про безпеку під онлайн-покупок можна завдяки освітнім проектам, наприклад, #ШахрайГудбай.

– Які світові практики в галузі кібербезпеки вас надихають як профі?

– Не можу виділити якісь практики, але метод оплат у компанії Apple досить добрий: для підтвердження транзакції через Apple Pay використовується FaceID або відбиток пальця. Хоча, не здивуюся, якщо шахраї навчаться підробляти й біометричні дані.

Також можу відзначити підходи для боротьби з кіберзлочинцями в Facebook. Вони використовують моделі машинного навчання і виявляють шахраїв за активністю профілю: лайками, кількістю друзів тощо.

– Як ви вважаєте, чи можна раз і назавжди вирішити проблему з шахрайством під час онлайн-покупок? Або це утопія, і люди завжди зможуть обійти будь-який захист?

– Можна намагатися максимально ускладнювати верифікацію під час оплати/покупки. Але всі ми розуміємо, що це йде врозріз із прагненням робити всі процеси простішими та зручнішими для користувачів.

На будь-яку технологію шахраї завжди будуть шукати спосіб її обійти. І поки є людський фактор – неуважність або дурість – у зловмисників буде шанс цим скористатися.

Тому головне під час онлайн-покупок – не втрачати пильності і критично мислити.

Текст: Валентина Шимкович