Опубликовано 31 января 2018, 13:24

Как вас могут обокрасть через сервис знакомств или Dota 2

— предостерегает Андрей Северюхин (Sum & Substance)

Интернет-сервисы помогают найти няню для ребенка, познакомиться с девушкой или парнем, дёшево съездить в соседний город на попутке или продать старый шкаф. Но часто люди слишком доверчиво относятся к незнакомцам, с которыми их связал сервис, и быстро теряют бдительность. Около 3-5% пользователей таких площадок — мошенники, которые используют поддельные цифровые личности, чтобы получить деньги или услугу и скрыться. Обманутому клиенту остается только жаловаться на площадку, что они обычно и делают. Как не стать таким несчастным и что делать сервисам, чтобы оградить своих пользователей?

Как вас могут обокрасть через сервис знакомств или Dota 2

Интернет-сервисы помогают найти няню, съездить в соседний город на попутке или продать старый шкаф. Но часто люди слишком доверчиво относятся к незнакомцам, с которыми их связал сервис, и быстро теряют бдительность. Около 3-5% пользователей таких площадок — мошенники, которые используют поддельные цифровые личности, чтобы получить деньги или услугу и скрыться. Обманутому клиенту остаётся только жаловаться на площадку. Как не стать таким несчастным и что делать сервисам, чтобы защитить своих пользователей?

Как устроен теневой рынок товаров и услуг для киберпреступников

В существовании теневого рынка для хакеров очень легко убедиться — нужно зайти через браузер Tor на практически любой популярный форум в Даркнете. Там предлагают всё — от продажи данных банковских карт до организации DDOS-атак и покупки настоящих пакетов документов граждан разных стран.

В Даркнете можно найти полное деловое досье на юридическое лицо: банковские реквизиты, контакты и имена основателей и ответственных за финансы лиц. Цены на такие данные могут начинаться с 40 000 — 50 000 рублей. Ещё более доступны пакеты документов физических лиц. Можно купить полный пакет документов с паспортом, водительскими правами, другими ID и даже селфи их обладателя. Этого более чем достаточно для регистрации на практически любой площадке. В зависимости от позиции человека и информации о нём, данные стоят от 10 000 до нескольких сотен тысяч рублей.

В Дакрнете покупают и более сложные услуги. Например, заказывают бот-сеть, которая распространяет вирусы среди удалённого окружения. Такие сервисы стоят около $500. В целом, можно найти себе исполнителя под любую задачу и на любой бюджет — от социальной инженерии до реализации атаки на инфраструктуру конкретной компании.

Как и где мошенники крадут деньги

Пользователи попадаются на удочку мошенников, потому что привыкли доверять окружающим, особенно конкретным людям, с которыми они общаются. Россия — во многом страна-наследник СССР, где люди не боялись сесть в попутный автомобиль, переночевать в квартире малознакомого человека или перекупить у него товар.

У простых пользователей сервисов, а не компаний, обычно крадут небольшие суммы. В таком случае речь идёт о непрофессиональных исполнителях. Обычно они регистрируются на маркетплейсах товаров и услуг в качестве курьеров или ремонтников и исчезают с радаров вместе с полученной дорогой вещью.

В киберспортивных проектах они регистрируются по фейковым документам, чтобы выигрывать турниры, участвуя в разных командах и поднимая свои шансы. А на букмекерских площадках некоторые пытаются выиграть обманным путем.

В дейтинговых сервисах преступники под видом молодой симпатичной девушки или юноши втираются в доверие обеспеченных европейцев и начинают активно просить у них деньги — на помощь родственникам, лечение и так далее.

Как защитить пользователей

Надёжную защиту простыми методами не реализовать — в эту область нужно вкладываться и перерабатывать бизнес-процессы. Можно начать с несложных изменений, которые в будущем можно масштабировать.

ПРЕДУПРЕЖДАТЬ

Это может показаться банальным, но дружелюбно написанные и красочные предупреждения с описанием самых распространённых мошеннических схем действительно работают. Они должны быть видны пользователям при регистрации и маячить где-то в самом сервисе, чтобы ваши пользователи не забывали об угрозах.

ИСПОЛЬЗОВАТЬ СЛОЖНУЮ СИСТЕМУ ВЕРИФИКАЦИИ

Базовые и самые простые проверки — через номер телефона, авторизацию через соцсети, более сложный метод — идентификация с помощью фотографии и документов.

СОЗДАВАТЬ СИСТЕМУ РЕЙТИНГОВ И ОТЗЫВОВ

Это не превентивная мера, поскольку помогает не попадаться в руки мошенникам благодаря отзывам тех, кто уже что-то потерял, однако это работающий инструмент, который помогает пользователям выбирать проверенные контакты.

ИСПОЛЬЗОВАТЬ «БЕЗОПАСНЫЕ СДЕЛКИ»

Там, где у пользователей возникают денежные отношения, может помочь система, когда деньги за услугу или товар «зависают» на счёте сервиса и приходят к исполнителю или продавцу, когда сделка полностью завершена — товар доставлен, комната убрана или отремонтирован компьютер.

ОПРЕДЕЛЯТЬ МОШЕННИЧЕСКИЕ ПАТТЕРНЫ

Здесь помогут сервисы, которые анализируют данные о пользователе по информации из браузера, истории поиска, событиях в браузере или соцсетях, и на основании этого исследования сигнализируют о потенциально опасных гостях. Такими ресурсами очень часто пользуются в финансовой индустрии. Например, это сервис Sift Science.

ПОДТВЕРЖДАТЬ ДАННЫЕ ДОКУМЕНТОВ

Дорогостоящий вариант, который подходит крупным площадкам и тем, у кого доверие пользователей критически влияет на финансовые показатели. Работа с документами граждан подпадает под регуляцию Роскомнадзора (если речь о россиянах) или директиву GDPR (если вы проверяете европейцев). Документы можно проверять самостоятельно, позаботившись о соответствии ФЗ-152 или обращаться к компаниям, которые сами делают проверки документов и берут на себя законность процесса (Jumio, Checkr, Sum&Substance).

Фотография на обложке: Science Photo Library / Getty Images