Бывает так, что решая одну проблему, выявляешь совсем другую, куда более крупную. Сегодня я расскажу историю о том, как желание оценить эффективность работы антифишинга карт привело нас к стабильному заработку на дому началу борьбы с самой простой, но наиболее распространенной формой фрода.
В прошлом году мы запустили новую версию Яндекс.Браузера с защитой банковских карт от фишинга. Помимо прочих проверок, эта технология оценивает наличие SSL-сертификата. Если пользователь вводит номер карты на HTTP-сайте, то браузер его предупреждает. Логика простая: банки, платежные системы и магазины, которые заботятся о безопасности пользователей, уже давно работают по HTTPS. Это не единственный механизм выявления подозрительных сайтов, но в контексте поста нам будет интересен именно он.
Когда наша команда начала разбираться в анонимных логах срабатывания защиты, то ожидала увидеть там в основном фишеров или странные сайты, которые до сих пор не понимают, зачем нужно использовать шифрование при работе с конфиденциальными данными пользователей. Но увидели мы там совсем другие сайты.
Слышали ли вы когда-нибудь о школе интернет-безопасности? Если верить описанию сайта, «белые» хакеры помогают находить уязвимости на сайтах и получают за это деньги от вебмастеров. Но работы много, поэтому они приглашают самых обычных пользователей помочь с этим. Причемхакером исследователем безопасности быть ничуть не сложно. Достаточно зарегистрироваться и нажать кнопку Play в черном окошке «консоли» – уязвимости с их точной оценкой сами польются рекой. Вот это, я понимаю, сервис! Не то, что всякие Bug Bounty, где думать надо.
За пять минут мне удалось заработать порядка 2000 рублей, и я, конечно же, поспешил их вывести. Данные своей банковской карты я указал еще при регистрации (несмотря на предупреждение Браузера), поэтому никаких проблем с выводом не должно было быть. Меня лишь попросили перейти на второй уровень аккаунта в связи с непростой международной обстановкой.
Причем переход платный и стоит 444 рубля. Для оплаты меня перенаправили на сайт малоизвестного платежного агрегатора, где мне предлагалось сделать перевод на обычный кошелек физического лица. А чем это закончилось в итоге, вы и сами понимаете. Уверен, во всем виновата международная обстановка.
Чтобы не терять время зря, я попробовал еще несколько десятков подобных предложений. Например, одна крупная ресторанная сеть искала сотрудников для оформления броней. Нужно было просто копировать текст из левой части страницы в форму справа, причем факт заполнения никто не контролировал, и я просто накликал несколько тысяч рублей за десяток секунд.
А вот с выводом денег опять сложности. Их база данных устроена так, что нужно заплатить все те же четыре сотни рублей за внесение сведений обо мне. К сожалению, результат все тот же. Кажется, они раскусили мое жульничество с отправкой пустых форм.
Повезло поработать банкиром. Все, что здесь требуется, это кликать по кнопке «Одобрить» возле каждого кредита. Ничего сверять вообще не надо.
А еще почувствовал себя инвестором, вкладывающим деньги в акции. Рекомендую посмотреть обзор международного инвестиционного сервиса, в котором автор даже объясняет, что именно означает надпись «Надежный» в углу браузера:
Примеров такой онлайн-работы без опыта и вложений можно привести еще очень много. За спойлером еще варианты для любопытных.
Какой бы легкой или высокооплачиваемой ни была работа, всегда найдутся желающие вообще не работать. И для них тоже существуют предложения. Например, умельцы разработали скрипт, который собирает «свободные деньги» в интернете на ваш счет.
Для тех, кто слышал про биткоины, существует инновационное решение, способное за 5 минуты работы браузера сгенерировать примерно 0,1 BTC. Причем без каких-либо нагрузок на систему.
Хотя и тут надо что-то делать, покупать скрипты, ждать. Для самых нетерпеливых существуют еще более простые варианты. К примеру, «жилищный комитет Российской Федерации» раздает всем гражданам по 1 млн рублей.
Или вот еще известный американский миллиардер сорит деньгами.
И знали ли вы, что ФРС США позволяет любому из нас получить карту с деньгами?
В общем, перепробовал я много разных способов, но, к сожалению, ни один из них не увенчался успехом. Денег в интернете нет.
А теперь серьезно. Многие любители легкой работы за большие деньги в лучшем случае заплатят от 200 до 500 рублей. Обращаю внимание, что большинство сайтов, которые мы с коллегами пересмотрели, работают именно с такими суммами. Почему? Такую сумму заплатить не жалко (в сравнении с потенциальным заработком), да и заявление в полицию почти никто писать не станет, а даже если и напишет, то на крупный ущерб это не тянет.
Вы ведь помните о логах защиты карт, благодаря которым мы заинтересовались проблемой? Формально номера карт просят ввести при регистрации только для того, чтобы вывести на них заработанные деньги (т.е. просто для имитации серьезности намерений). Но иногда не только. Через некоторое время после активных экспериментов с сайтами, с тестовой банковской карты нашей команды кто-то пытался списать десятки тысяч рублей. Отсутствие подтверждения операции оставляет шанс оспорить операцию через банк, но деньги в любом случае кто-то потеряет.
Установка волшебных скриптов на телефоны и компьютеры тоже может привести к проблемам. Начиная от классических вымогателей и заканчивая показом рекламы.
Еще не стоит забывать про регистрацию с указанием ФИО, электронного адреса и прочих личных данных. Их тоже могут использовать. Например, для персональных рассылок с предложениями вернуть деньги за комиссию.
Думаю, многие читатели Хабра недоумевают, ведь уловки с халявой родом еще из 90-х, и кажется, что теперь-то люди стали внимательнее, а злоумышленники перешли на более «умные» технологии, взламывают сети, пишут вирусы, в крайнем случае создают и раскручивают свои пирамиды. Мы тоже так думали до тех пор, пока не попробовали оценить масштабы.
На старте у нас была база сайтов, на которых среагировала защита карт. Но это была лишь часть картины, потому что далеко не все сайты просят банковские карты, а если и просят, то не все пользователи их вводят. Зато мы знали, что между всеми подобными ресурсами есть общая точка. Платежный агрегатор/сервис. Это, как правило, ресурсы с подозрительной репутацией, зачастую даже без HTTPS. Мы построили модель, которая взяла малоизвестные агрегаторы за отправную точку и раскрутила их источники трафика. Найденные страницы в массе своей занимались тем же, чем и вышеописанные примеры.
Результаты раскопок нас, мягко говоря, удивили. Мы выявили более 4 тыс. действующих сайтов. Причем на топ-100 из них приходится 10 млн посещений в месяц. Даже если представить, что только каждый сотый посетитель захочет заплатить 400 рублей (а это заведомо сильно заниженная оценка), то это уже десятки миллионов рублей в месяц. Мы сопоставили найденные сайты со статистикой антифишинга карт, и оказалось, что как минимум 12 тыс. наших пользователей вводят на таких сайтах номера банковских карт в сутки. Предупреждения Яндекс.Браузера отчасти их останавливают, но сам факт!
Все знали о существовании сайтов с самой примитивной формой фрода, но мало кто мог представить себе такие масштабы. Мы боремся с фишингом, с «прослушкой» трафика через подмену сертификата, зашифровываем данные при работе в открытых Wi-Fi сетях, скрываем DNS-запросы, умеем предупреждать о платных мобильных услугах (тот самый wap-click), ведем постоянную войну с разработчиками вредоносных расширений, но вот здесь оставался пробел. Можно было бы и дальше ничего не делать, списывая все на доверчивость людей, но у каждого из нас есть близкие, которые не всегда проявляют должную внимательность. Особенно пугают узкоспециализированные предложения, ориентированные на пенсионеров, плательщиков ипотеки и даже матерей-одиночек («Моментальная финансовая помощь нуждающимся!»). К тому же многие пользователи винят именно браузер и Яндекс в потере денег. В общем, нужно было что-то делать.
И здесь нам пригодился опыт борьбы с другими формами вредоносных сайтов. Мы взяли уже найденные сайты с фродом и с использованием машинного обучения научились автоматически выявлять новые подобные ресурсы. Среди прочего применяли текстовый классификатор, который позволяет сравнить смыслы текстов анализируемого сайта с образцами фрода, а также наши наработки в области компьютерного зрения. Разработчики таких сайтов не могут достаточно быстро создавать большое количество абсолютно уникальных страниц и используют шаблоны, чем и упрощают нам работу по их выявлению. Дальше сайты попадают в нашу базу SafeBrowsing и учитываются во всех сервисах, которые ее используют. В частности, Яндекс.Браузер стал первым браузером, который показывает такое предупреждение:
В Поиске и Директе эти данные также используются. Более детально раскрывать сам процесс обучения сейчас не хотелось бы: не будем упрощать работу специалистам по ту сторону.
Пока еще рано говорить о победе, но хочется верить, что это первое решение поможет побороть массовость проблемы, а последующие меры сведут ее к минимуму. Если у вас есть дополнительная информация, идеи или опыт борьбы с мошенничеством, то мы были бы рады им.
В прошлом году мы запустили новую версию Яндекс.Браузера с защитой банковских карт от фишинга. Помимо прочих проверок, эта технология оценивает наличие SSL-сертификата. Если пользователь вводит номер карты на HTTP-сайте, то браузер его предупреждает. Логика простая: банки, платежные системы и магазины, которые заботятся о безопасности пользователей, уже давно работают по HTTPS. Это не единственный механизм выявления подозрительных сайтов, но в контексте поста нам будет интересен именно он.
Когда наша команда начала разбираться в анонимных логах срабатывания защиты, то ожидала увидеть там в основном фишеров или странные сайты, которые до сих пор не понимают, зачем нужно использовать шифрование при работе с конфиденциальными данными пользователей. Но увидели мы там совсем другие сайты.
Стабильный доход
Слышали ли вы когда-нибудь о школе интернет-безопасности? Если верить описанию сайта, «белые» хакеры помогают находить уязвимости на сайтах и получают за это деньги от вебмастеров. Но работы много, поэтому они приглашают самых обычных пользователей помочь с этим. Причем
За пять минут мне удалось заработать порядка 2000 рублей, и я, конечно же, поспешил их вывести. Данные своей банковской карты я указал еще при регистрации (несмотря на предупреждение Браузера), поэтому никаких проблем с выводом не должно было быть. Меня лишь попросили перейти на второй уровень аккаунта в связи с непростой международной обстановкой.
Причем переход платный и стоит 444 рубля. Для оплаты меня перенаправили на сайт малоизвестного платежного агрегатора, где мне предлагалось сделать перевод на обычный кошелек физического лица. А чем это закончилось в итоге, вы и сами понимаете. Уверен, во всем виновата международная обстановка.
Чтобы не терять время зря, я попробовал еще несколько десятков подобных предложений. Например, одна крупная ресторанная сеть искала сотрудников для оформления броней. Нужно было просто копировать текст из левой части страницы в форму справа, причем факт заполнения никто не контролировал, и я просто накликал несколько тысяч рублей за десяток секунд.
А вот с выводом денег опять сложности. Их база данных устроена так, что нужно заплатить все те же четыре сотни рублей за внесение сведений обо мне. К сожалению, результат все тот же. Кажется, они раскусили мое жульничество с отправкой пустых форм.
Повезло поработать банкиром. Все, что здесь требуется, это кликать по кнопке «Одобрить» возле каждого кредита. Ничего сверять вообще не надо.
А еще почувствовал себя инвестором, вкладывающим деньги в акции. Рекомендую посмотреть обзор международного инвестиционного сервиса, в котором автор даже объясняет, что именно означает надпись «Надежный» в углу браузера:
Примеров такой онлайн-работы без опыта и вложений можно привести еще очень много. За спойлером еще варианты для любопытных.
Еще больше денег
Какой бы легкой или высокооплачиваемой ни была работа, всегда найдутся желающие вообще не работать. И для них тоже существуют предложения. Например, умельцы разработали скрипт, который собирает «свободные деньги» в интернете на ваш счет.
Для тех, кто слышал про биткоины, существует инновационное решение, способное за 5 минуты работы браузера сгенерировать примерно 0,1 BTC. Причем без каких-либо нагрузок на систему.
Хотя и тут надо что-то делать, покупать скрипты, ждать. Для самых нетерпеливых существуют еще более простые варианты. К примеру, «жилищный комитет Российской Федерации» раздает всем гражданам по 1 млн рублей.
Или вот еще известный американский миллиардер сорит деньгами.
И знали ли вы, что ФРС США позволяет любому из нас получить карту с деньгами?
В общем, перепробовал я много разных способов, но, к сожалению, ни один из них не увенчался успехом. Денег в интернете нет.
Без вложений?
А теперь серьезно. Многие любители легкой работы за большие деньги в лучшем случае заплатят от 200 до 500 рублей. Обращаю внимание, что большинство сайтов, которые мы с коллегами пересмотрели, работают именно с такими суммами. Почему? Такую сумму заплатить не жалко (в сравнении с потенциальным заработком), да и заявление в полицию почти никто писать не станет, а даже если и напишет, то на крупный ущерб это не тянет.
Вы ведь помните о логах защиты карт, благодаря которым мы заинтересовались проблемой? Формально номера карт просят ввести при регистрации только для того, чтобы вывести на них заработанные деньги (т.е. просто для имитации серьезности намерений). Но иногда не только. Через некоторое время после активных экспериментов с сайтами, с тестовой банковской карты нашей команды кто-то пытался списать десятки тысяч рублей. Отсутствие подтверждения операции оставляет шанс оспорить операцию через банк, но деньги в любом случае кто-то потеряет.
Установка волшебных скриптов на телефоны и компьютеры тоже может привести к проблемам. Начиная от классических вымогателей и заканчивая показом рекламы.
Еще не стоит забывать про регистрацию с указанием ФИО, электронного адреса и прочих личных данных. Их тоже могут использовать. Например, для персональных рассылок с предложениями вернуть деньги за комиссию.
И кто-то в это верит?
Думаю, многие читатели Хабра недоумевают, ведь уловки с халявой родом еще из 90-х, и кажется, что теперь-то люди стали внимательнее, а злоумышленники перешли на более «умные» технологии, взламывают сети, пишут вирусы, в крайнем случае создают и раскручивают свои пирамиды. Мы тоже так думали до тех пор, пока не попробовали оценить масштабы.
На старте у нас была база сайтов, на которых среагировала защита карт. Но это была лишь часть картины, потому что далеко не все сайты просят банковские карты, а если и просят, то не все пользователи их вводят. Зато мы знали, что между всеми подобными ресурсами есть общая точка. Платежный агрегатор/сервис. Это, как правило, ресурсы с подозрительной репутацией, зачастую даже без HTTPS. Мы построили модель, которая взяла малоизвестные агрегаторы за отправную точку и раскрутила их источники трафика. Найденные страницы в массе своей занимались тем же, чем и вышеописанные примеры.
Результаты раскопок нас, мягко говоря, удивили. Мы выявили более 4 тыс. действующих сайтов. Причем на топ-100 из них приходится 10 млн посещений в месяц. Даже если представить, что только каждый сотый посетитель захочет заплатить 400 рублей (а это заведомо сильно заниженная оценка), то это уже десятки миллионов рублей в месяц. Мы сопоставили найденные сайты со статистикой антифишинга карт, и оказалось, что как минимум 12 тыс. наших пользователей вводят на таких сайтах номера банковских карт в сутки. Предупреждения Яндекс.Браузера отчасти их останавливают, но сам факт!
Все знали о существовании сайтов с самой примитивной формой фрода, но мало кто мог представить себе такие масштабы. Мы боремся с фишингом, с «прослушкой» трафика через подмену сертификата, зашифровываем данные при работе в открытых Wi-Fi сетях, скрываем DNS-запросы, умеем предупреждать о платных мобильных услугах (тот самый wap-click), ведем постоянную войну с разработчиками вредоносных расширений, но вот здесь оставался пробел. Можно было бы и дальше ничего не делать, списывая все на доверчивость людей, но у каждого из нас есть близкие, которые не всегда проявляют должную внимательность. Особенно пугают узкоспециализированные предложения, ориентированные на пенсионеров, плательщиков ипотеки и даже матерей-одиночек («Моментальная финансовая помощь нуждающимся!»). К тому же многие пользователи винят именно браузер и Яндекс в потере денег. В общем, нужно было что-то делать.
И здесь нам пригодился опыт борьбы с другими формами вредоносных сайтов. Мы взяли уже найденные сайты с фродом и с использованием машинного обучения научились автоматически выявлять новые подобные ресурсы. Среди прочего применяли текстовый классификатор, который позволяет сравнить смыслы текстов анализируемого сайта с образцами фрода, а также наши наработки в области компьютерного зрения. Разработчики таких сайтов не могут достаточно быстро создавать большое количество абсолютно уникальных страниц и используют шаблоны, чем и упрощают нам работу по их выявлению. Дальше сайты попадают в нашу базу SafeBrowsing и учитываются во всех сервисах, которые ее используют. В частности, Яндекс.Браузер стал первым браузером, который показывает такое предупреждение:
В Поиске и Директе эти данные также используются. Более детально раскрывать сам процесс обучения сейчас не хотелось бы: не будем упрощать работу специалистам по ту сторону.
Пока еще рано говорить о победе, но хочется верить, что это первое решение поможет побороть массовость проблемы, а последующие меры сведут ее к минимуму. Если у вас есть дополнительная информация, идеи или опыт борьбы с мошенничеством, то мы были бы рады им.