Андрей Рыбинцев — РБК: «Идет вечное противостояние щита и меча»

Фото: пресс-служба
Фото: пресс-служба
Директор Trust & Safety «Авито» Андрей Рыбинцев рассказал, что изменилось в интернете с точки зрения безопасности, и как вести себя пользователям, чтобы избежать рисков и не стать жертвой обмана

Об эксперте: Андрей Рыбинцев, директор Trust & Safety «Авито». Работает в компании с 2015 года, отвечает за обеспечение безопасности и доверия пользователей на сервисе.

Новички в онлайне и социальная инженерия

— Насколько сегодня безопасны сделки в интернете? Что изменилось в этом плане за последние год-два?

— С начала пандемии, как мы знаем, очень много и бизнесов, и людей вынужденно перешли в онлайн. Резко выросла посещаемость самых разных онлайн-сервисов, в том числе и таких платформ объявлений, как наша.

У этого процесса есть и другая сторона. На площадках появилось много новых неопытных пользователей, которые раньше не сталкивались с онлайном. Они не всегда знают, что делать безопасно, а что — нет. И здесь происходит все как в жизни. В мире есть некоторое соотношение хороших и, скажем так, не очень хороших людей, и первых всегда несоизмеримо больше. Одних от других отличает отношение к личной собственности другого человека, моральные табу. Конечно, всегда были есть и будут доверчивые люди и те, кто готов этим воспользоваться. И любая онлайн-платформа — это цифровое отражение поведения людей в обычной жизни. Кто из нас не становился жертвой обмана? Зачастую это выше человеческого сознания, особенно если речь идет о психологических приемах, НЛП, социальной инженерии, манипулировании.

Онлайн-платформы и банки не стоят на месте, реагируют на эти тренды. Крайне важно на уровне подсознания с самого раннего возраста воспитать в человеке резистентность к психологическому манипулированию. Чтобы у него автоматически в любой ситуации срабатывал рефлекс: не называть CVC, не отправлять предоплату, никому не сообщать секретные коды.

И в этом есть сила и преимущество онлайна: здесь все меняется и развивается намного быстрее. Технологии сейчас работают на опережение любого сценария мошеннических схем.

Службы безопасности корпораций — это всегда огромная система «под капотом». К примеру, в «Авито» число объявлений, которые модерируются каждый день, превышает 5 млн. В системе безопасности и модерации работает почти 500 человек. А за время пандемии мы более чем вдвое увеличили расходы на безопасность.

Фото:Matan Segev / Pexels
Индустрия 4.0 Как модерация с помощью роботов делает онлайн-покупки безопасными

В год на «Авито» совершают сделки, находят работу, заказывают и предлагают услуги, продают, покупают квартиру или машину более 80 млн человек. Сейчас «Авито» снова получила колоссальный рост базы клиентов: каждую секунду на платформе совершается девять сделок, а количество объявлений выросло на 10%. Месяц назад на «Авито» ежедневно было 16,5 млн пользователей, сегодня уже 22 млн. Поэтому мы подключили режим дополнительной защиты.

В новых условиях мы перешли на усиленный режим модерации, чтобы защитить пользователей от провокаций и ценовых спекуляций. Например, заранее начали блокировать объявления с завышенными ценами на социально значимые товары, которые стали пропадать с полок магазинов. Это тоже вопрос защищенности для наших пользователей.

— Как наложение этих двух трендов в итоге повлияло на безопасность сделок в интернете? Они стали более безопасными или наоборот?

— Любая борьба с нарушителями — это вечное противостояние щита и меча. Площадки что-то делают со своей стороны, принимают новые меры. Нарушители к ним адаптируются и пытаются придумывать новые сценарии.

Но я убежден, что в целом стало лучше и безопаснее. Судя по нашим внутренним данным, тренд позитивный. Например, наша компания во время пандемии значительно усилила противодействие фроду, и число жалоб на недобросовестных продавцов за последние два года снизилось в 10 раз. 95% наших пользователей моментально распознают подозрительное поведение и сообщают нам о странных предложениях.

Фото: пресс-служба
Фото: пресс-служба

— С какими основными рисками сегодня сталкиваются пользователи?

— Самым уязвимым звеном в любых алгоритмах является человеческое поведение и реакция. Что бы мы ни делали со своей стороны как сервис, человека всегда проще всего «взломать». Об этом говорят и сами скаммеры от англ. scam — обман) — «Авито» взломать невозможно, а человека — да. Скаммеры пользуются невнимательностью людей, недостаточной цифровой грамотностью, да иногда просто надеждой, что повезет. Есть некоторый тип людей, которые осознанно переводят предоплату незнакомому человеку, понимая что это риск, но желание получить интересующую вещь становится сильнее. И пока в схеме есть человек, который не до конца понимает, как все устроено и работает, манипуляторы всегда будут искать к нему подход. Поэтому мы на своей стороне не только развиваем технические средства защиты, но и много вкладываемся в обучение и осознанное отношение к своей безопасности. В одиночку этот бой не выиграть.

Опасная предоплата и контроль над общением

— Какие ошибки чаще всего приводят людей к финансовым потерям?

— Есть две основных категории опасных ситуаций.

Первая категория — это предоплата. Пользователь отправляет деньги, не очень понимая, можно доверять продавцу или нет. В таких ситуациях все строится только на доверии. И если человек вам незнаком, то неизбежны риски. Обязательно перед этим надо обращать внимание на рейтинг продавца, срок регистрации аккаунта, число сделок на платформе.

Вторая категория — это когда пользователь передает свои персональные данные злоумышленникам. У нас вообще люди не очень заботятся о личной информации. Но проблема общемировая. Пользователи сами оставляют свои данные на фишинговых сайтах, предоставляют доступ к своим аккаунтам, диктуют номера карт. Все эти истории объединяет тот факт, что люди не понимают ценность персональных данных.

Фото:Unsplash
Индустрия 4.0 Что такое фишинг: как не стать жертвой хакеров

Самый простой пример — номер телефона. Казалось бы, им делятся со всеми подряд. Но если номер попадает не в те руки, то можно получить неприятные последствия. Как минимум — спам-звонки и нерелевантные рассылки. И с этим мы тоже нашли как бороться. Поэтому мы ввели защищенные номера, которые скрывают ваш реальный номер телефона от вероятности парсинга.

Безопасность личных данных наших пользователей зашита в бизнес-модель компании. Вся информация хранится в строгом соблюдении законодательства РФ, передается в мессенджере в зашифрованном виде, и каждый пользователь может быть уверен в ее безопасности.

— Какие приемы чаще всего используют злоумышленники?

— Чтобы реализовать какую-то схему, им нужно получить контроль над разговором с собеседником. Современные площадки этого сделать не позволяют. Мы обеспечиваем безопасность общения пользователей друг с другом. Например, в нашем мессенджере на «Авито» невозможно отправить фишинговую ссылку. А если система определит, что пользователь призывает собеседников к совершению небезопасных действий, то можем это пресечь, а затем и заблокировать, чтобы предотвратить возможные неприятные финансовые последствия.

Зная это, скаммеры пытаются увести собеседника в какой-то другой, не контролируемый площадками канал. К примеру, в обычный мессенджер вроде WhatsApp, Viber, Telegram. А дальше идут в ход приемы социальной инженерии. На пользователя оказывают эмоциональное давление. Допустим, говорят, что на этот товар выстроилась очередь из 20 покупателей, и чтобы купить его по выгодной цене, надо оставить предоплату и именно сейчас. Пользуются возможностями исчезающих сообщений или удаления «у всех», чтобы в будущем не сохранились никакие доказательства переписки.

Но если все общение во время сделки происходит на нашей платформе, то шансов у преступников ноль — мы полностью контролируем ситуацию и ведем пользователя буквально за руку в процессе сделки. Главное, чтобы он доверился нам.

Фото: пресс-служба
Фото: пресс-служба

Плохим — блокировки, хорошим — бейджики

— За счет чего вы пресекаете попытки манипуляций и давления на пользователей?

— Мы полагаемся на алгоритмы искусственного интеллекта и машинного обучения. Анализируем поведение по множеству признаков: что человек размещает на площадке, как себя ведет, пользуется ли какими-то скриптами или все делает вручную, как отвечает пользователям. По результатам такого анализа мы условно разделяем аккаунты на «хорошие», «плохие» и «подозрительные». Для подозрительных проводим дополнительные проверки. На самом деле градаций неимоверно больше, над этим работает целая команда детективов, и каждый случай всегда индивидуален.

При этом мы как площадка действуем сразу с двух сторон. Кроме поиска и блокировки злоумышленников, развиваем безопасные опции, которые позволяют пользователям вообще не попадать в рискованные ситуации.

— Какие инструменты для обеспечения безопасности наиболее важны и востребованы сегодня?

— Здесь нет универсальной «серебряной пули». Все инструменты важны в комплексе. Мы строим безопасный путь, чтобы исключить риски для пользователя на всех этапах — от регистрации аккаунта и до того момента, как он получил товары.

Когда пользователь только приходит на площадку и создает аккаунт, мы просим верифицировать телефон. В некоторых случаях дополнительно просим подтвердить телефон не только через СМС, но и звонком. Чтобы обеспечить сохранность аккаунтов, предлагаем подключить двухфакторную аутентификацию.

Фото:Shutterstock
Индустрия 4.0 Двухфакторная аутентификация: в Google, Telegram, ВК и «Яндексе»

На этапе размещения объявления мы стараемся подсказать, как не нарушить правила площадки. У нас работает целая система подсказок. Например, мы показываем пользователю, кто есть кто на площадке с помощью цифровых бейджей. Частные продавцы и мастера могут пройти проверку по документам и получить значок «Документы проверены». Работодателей, размещающих у нас свои вакансии, мы проверяем по ИНН — если у компании нет задолженностей по налогам, она не находится в состоянии банкротства и не имеет жалоб от наших пользователей, она получает отметку «Компания проверена». Мы проверяем автодилеров с помощью очных посещений. Те, кто работает честно, получает значок «Проверенный партнер». Есть свои способы проверки для риэлторов и частных владельцев жилья. Недавно совместно с Минцифры мы реализовали возможность верификации аккаунта с использованием личного кабинета «Госуслуг», что позволяет дополнительно повысить доверие между пользователями платформы.

Недавно заработал инструмент анти-харрасмента в чате «Авито». На нашей платформе каждый должен себя чувствовать не только безопасно, но и эмоционально комфортно.

Мы развиваем мессенджер на платформе так, чтобы в нем могли проходить практически все этапы сделки. Так общение продавца и покупателя идет внутри защищенного канала. При этом персональные данные покупателя скрыты, а искусственный интеллект предупреждает о возможности совершения небезопасных действий, блокирует фишинговые ссылки.

Мы внедрили дополнительную защиту для наших пользователей через механизм безопасной сделки «Авито Доставка». Благодаря ему пользователи могут быть уверены в сохранности товара и денег: стоимость товара замораживается на защищенном счете до момента подтверждения получения покупателем. А мы несем ответственность за сохранность товара при доставке.

Фото:Justin Sullivan / Getty Images
Экономика шеринга Абсолютная доставка: как безопасно получать и отправлять посылки

В особо сложных случаях просим пройти верификацию по видео и сделать стандартное видео-селфи, которое помогает нам понять, что перед нами реальный человек. Эта процедура уже давно работает, например, в каршеринге, где безопасность аккаунта — такой же важный приоритет, как и для нас. Пока еще некоторые пользователи недоумевают: «Почему вы просите меня подтвердить свои данные или установить защиту на вход в аккаунт? Я же всего лишь хочу разместить объявление!» Но мы защищаем этим не себя (для этого есть другие «невидимые» алгоритмы), а самого человека. Потому что за каждым аккаунтом стоит история его сделок и взаимоотношений с другими пользователями.

Цифровая грамотность и позитив с Агутиным

— Площадка может проинформировать пользователей, дать подсказку и предложить безопасные инструменты, но не может заставить их применять. Готова ли аудитория ими пользоваться и вообще вести себя ответственно?

— И да, и нет. Добровольные опции подключают не все. Тот, кто не осознает ценность проверок и инструментов обеспечения безопасности, «лишних» шагов делать не будет.

Поэтому использование инструментов, которые мы считаем критичными, делаем обязательным условием использования платформы. К примеру, обязательно включаем защиту номера. Настоящий номер телефона пользователя всегда скрыт. Потому что, на наш взгляд, это важный элемент персональных данных.

Мы стараемся дать какие-то преимущества ответственным пользователям. Те же значки о прохождении добровольных проверок позволяют повысить доверие к профилю и увеличить число потенциальных покупателей.

— Обучением цифровой грамотности и безопасному поведению онлайн сейчас занимаются буквально все. Но не всегда это понятно и удобоваримо для обычных пользователей. Как, на ваш взгляд, сделать такое обучение эффективным?

— Строить коммуникацию на запугивании — не наш метод, мы стараемся обучать через позитив. Не пугать людей, а рассказывать, как вести себя безопасно: делай вот так, и все будет хорошо.

Мы достигли договоренностей и проводим с региональными МВД и администрациями совместные пресс-конференции, прямые эфиры и мастер-классы по теме безопасности. Мы разрабатываем с банками, общественными организациями и компаниями, занимающимися кибербезопасностью, проекты, которые помогают в обучении населения.

Недавно мы сняли ролик о правилах безопасности с участием Леонида Агутина. На примерах того, как люди заботятся друг о друге в кругу семьи, Леонид рассказывает, как можно позаботиться о безопасности своих данных.

Правила финансовой безопасности от Леонида Агутина

После каждой запущенной кампании мы анализируем уровень удовлетворенности нашим сервисом и защищенностью платформы и важно, чтобы эти показатели росли. Поэтому мы готовы инвестировать в обучение технологиям безопасности столько, сколько нужно.

— Как будут развиваться инструменты и подходы к обеспечению безопасности на «Авито» и других подобных площадках в ближайшие несколько лет?

— И мы, и другие социально ответственные компании стараемся создать максимально безопасную среду и замкнуть взаимодействие пользователей внутри своей системы. Все вопросы безопасности, с которыми сталкиваемся мы на этом пути — общемировые, с аналогичными вызовами работают все гиганты. Здесь нужно быть очень быстрым и гибким, к нам даже обращались международные коллеги с просьбой помочь с вопросами по усилению защиты пользователей.

Мы хотим, чтобы пользователь мог полностью решить свою задачу внутри площадки и с использованием наших сервисов. Тогда он просто не окажется в ситуации, где можно стать жертвой социальной инженерии.

Развитие инструментов для обеспечения безопасности должно привести к тому, что мошеннические схемы станут экономически нецелесообразны. Чем надежнее инструменты защиты, тем дороже стоит попытка их обойти. И если злоумышленнику нужно будет потратить на вход в чужой аккаунт больше денег, чем он может на этом заработать, он просто перестанет делать такие попытки.

К этому мы и стремимся — чтобы для злоумышленников просто не было смысла к нам идти. А каждая их попытка обойти систему и человека дорого бы им обходилась. И когда их экономика не сходится, они бессильны на «Авито».

Обновлено 31.03.2022
Главная Лента Подписаться Поделиться
Закрыть