Общественный контроль и нейросети: эксперты по безопасности рассказали о защите пользователей «Авито»
pxhere.com
Сегодня сервис «Авито» считается одним из самых технологичных и безопасных в России. Его создатели постоянно внедряют новейшие инструменты защиты, позволяющие пользователям проводить успешные и выгодные сделки. Над тем, чтобы это стало возможным, работает большая команда специалистов.
О том, как устроена внутренняя кухня площадки, как вести себя клиентам, чтобы быть уверенным в безопасности сделки в эксклюзивном интервью корреспонденту Федерального агентства новостей рассказали директор Trust & Safety «Авито» Андрей Рыбинцев и руководитель платформы «Мошеловка.РФ» и директор фонда «За права заемщиков» Евгения Лазарева.
На страже безопасности «Авито»
— Андрей, за последние годы мир сильно изменился, свою лепту внесла также пандемия COVID. Все это привело к тому, что огромная часть компаний перешла в Сеть: резко выросла посещаемость онлайн-сервисов, торговых площадок и платформ для коммерции, в том числе «Авито». Хотелось бы узнать, насколько безопасны сегодня сделки в Интернете, особенно для новичков.
— Начну с того, что «Авито» растет сам по себе, сервису в этом году 15 лет, юбилей. А в пандемию и другие периоды изменений рост еще больше, происходит ускорение развития. Понятно, что вместе с различными потрясениями в онлайн приходят люди, которые с интернетом не знакомы и в этом плане одна из ключевых задач для нашей площадки — их защита и обучение.
piqsels.com
Сервис должен быть безопасным для всех. При этом он должен быть удобным и простым. Во всех наших обучающих материалах мы говорим одно и то же: следуй простым правилам, чтобы было безопасно. Все зависит от двух вещей: от того, насколько площадка безопасная и от того, насколько она простая и понятная.
— Как устроена защита пользователей «Авито»?
— Если упростить, обеспечение безопасности пользователей строится на принципах «кнута» и «пряника».
С одной стороны, мы пытаемся поощрять хорошее поведение и делать так, чтобы все честные пользовали, коих подавляющее большинство на «Авито», чувствовали себя хорошо, чтобы им выгодно было заниматься своей деятельностью честно. Например, можно прийти и совершенно добровольно подтвердить подлинность профиля по документам и за это получить бейджик.
Можно заключать сделки с Авито Доставкой и это будет безопасная сделка, когда мы гарантируем защиту и для продавца, и для покупателя, страхуем товар и деньги. Активные пользователи сервиса могут получить достижение «20 сделок с Авито Доставка». Совершая сделки можно получать отзывы и увеличивать тем самым собственный рейтинг. Мы называем это траст фактор.
Компании, юрлица, в некоторых категориях могут проходить регулярные проверки на качество контента и получать бейджики, что они наши проверенные партнеры. Работодатели — проходить проверки по ИНН. Таким образом в каждом аккаунте копятся собственные траст факторы. Покупатели, приходя на площадку и видя эти самые факторы, таким продавцам доверяют больше. Например, аккаунты с бейджиками «Документы проверены» или «Есть аккаунт на Госуслугах» привлекают на 20% больше внимания покупателей, чем аккаунты, не имеющие цифровых значков. В общем, «пряник» подразумевает, что какой-то пользователь может пройти несколько проверок и мы его за это поощрим, повысим его объявления в поисковой выдаче, что поможет обеспечить больше внимания покупателей. Это «пряник».
Фото из личного архива Андрея Рыбинцева
Но понятно, что необходим еще и «кнут». Есть люди, которые сознательно нарушают правила. Если «пряники» больше о каких-то продуктах и решениях, которые позволяют вести себя честно и поощряют честность, то «кнут» больше про модерацию, про то как мы проверяем что происходит на платформе.
Система модерации устроена так, что анализирует все данные, которые существуют. В день у нас, например, логируется больше 8 миллиардов разных событий — кликов, перемещений, каких-то нажатий на разные кнопки и так далее. Система проверяет от пяти до десяти миллионов объявлений в день, в зависимости от сезонности и дня, а также анализирует аккаунты, отзывы и так далее. Весь этот объем информации проверяется алгоритмами машинного обучения на предмет всех возможных нарушений.
В 97-99% случаев наша система выносит решения сама, а оставшиеся случаи называются сложными и их проверяет вручную команда экспертов. Если система пометила случай как сложный, то люди второй волной проверяют его вручную, получается такая эшелонированная система. Так мы фильтруем контент с нарушениями еще до публикации и проверяем аккаунты, которые вызывают подозрения. Есть еще третий этап проверки, который называется «постмодерация». Она срабатывает по определенным триггерам, когда существует необходимость какие-то случаи отправить на дополнительное рассмотрение — например, из-за жалоб других пользователей, или подозрительной активности в чате. В случае серьезных или повторяющихся нарушений мы можем ограничить человеку доступ к аккаунту или полностью заблокировать профиль.
— В чем состоит ключевая задача Trust&Safety? Как устроена работа департамента?
— У нас одна из самых больших команд в «Авито», примерно 350 человек в IT-команде: это разработчики, аналитики, data-scientist, менеджеры продукта, руководители, дизайнеры. В общем, это IT-команда, которая создает сервисы и продукты в рамках нашей концепции. Еще у нас есть несколько сотен модераторов и их руководителей, которые занимаются именно проверкой сложных случаев вручную.
Риски и машинное обучение
— С какими рисками сталкиваются пользователи?
— Если пользователь будет следовать нашим советам, то рисков у него не будет никаких. Если прийти на «Авито», зарегистрировать аккаунт и ко всему этому подключить еще двухфакторную аутентификацию, тогда у тебя не взломают аккаунт.
Выбирая продавца необходимо ориентироваться на траст-факторы — бейджи, отзывы, рейтинг, историю сделок. Договариваясь об условиях сделки — необходимо общаться только в нашем мессенджере, потому что он не позволяет отправлять фишинговую ссылку и предупреждает о других потенциальных угрозах, например, если у вас просят номер телефона. Если использовать WhatsApp или любой другой мессенджер, то мы не сможем там обеспечить безопасность, мы их не контролируем.
Далее — заключая сделку, необходимо использовать Авито Доставку, потому что в ней действует программа защиты как продавца, так и покупателя. Ситуация, когда вы получаете «кирпич вместо Iphone» тут исключена, потому что вы можете осмотреть посылку при получении и убедиться в том, что это именно тот товар, который вы заказали. Понятно, что те, кто не следует нашим подсказкам, могут совершать ошибки. Например, отправляют предоплату или передают персональные данные, тот же номер телефона. Передавать кому-то мобильный номер, кстати, крайне нежелательно.
avito.ru
У вас на этот номер завязана вся жизнь: банковские приложения, соцсети и так далее. Если он попал не в те руки, может начаться спам, или другие нежелательные звонки и сообщения. «Авито» же позволяет заключать частным продавцам сделки без разглашения номера телефона. Размещаясь у нас можно общаться в нашем мессенджере, принимать звонки в приложении или на защищенный номер, который мы бесплатно предоставляем всем частным продавцам.
Авито Доставка позволяет не диктовать кому-то номер карты и не переводить предоплату: покупатель переводит деньги через специальную форму на защищенный счет, продавец впоследствии выводит с него сумму так же через форму в чате на платформе.
И конечно, никакие коды из смс для подтверждения транзакций никому нельзя диктовать.
— Использует ли Trust&Safety нейросети при анализе контента и профилей?
— В целом у «Авито» развита культура использования данных и создания продуктов, предвосхищающих потребности пользователей. Мы активно вкладываемся в то, что сейчас принято называть искусственным интеллектом и это пронизывает весь наш продукт. К примеру, вы открываете приложение и видите бесконечную ленту персональных рекомендаций, поисковая выдача подстраивается и под ваш запрос и ваши интересы, защищает, в первую очередь показывая надежных продавцов.
pxhere.com
В Trust&Safety больше всего алгоритмов машинного обучения используется при модерации. Люди не проверяют все и не анализируют что-то, что они сами захотели, касаются только того, что система дала им проверить. Система просматривает и тексты, и картинки, то есть все параметры объявлений, весь контекст — техническую информацию, IP, cookie (небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя. — Прим. ФАН), юзер-агенты (user agent или идентификационная строка клиентского приложения), fingerprint (цифровой отпечаток устройства), данные о кликах пользователей, его поведение. Это все очень важные паттерны, которые анализируются алгоритмами чтобы отделить хороших пользователей от недобросовестных. Ну а нейросети в первую очередь используются для анализа картинок.
— Нейросети сами разработали?
— Да, все разработки свои. У нас в России своя команда разработчиков, data-scientist и остальных IT-специалистов, все наши сервера в РФ, «Авито» сделан на собственной платформе и использует собственные алгоритмы. Вопреки распространенному мнению, все то, что связано с использованием технологий искусственного интеллекта и машинного обучения — создавалось нашими силами.
— Какие инструменты для обеспечения безопасности наиболее важны и востребованы сегодня?
— Как и всегда востребовано будет то, что просто и понятно, что нужно будет пользователям. Пользователю не хочется делать 25 приседаний, чтобы обеспечить безопасность сделки, он хочет продать или купить товар быстро и выгодно. Поэтому если наши сервисы не будут соответствовать этим критериям, то пользователь будет искать другую площадку.
Например, Авито Доставка — это быстро и удобно, соответственно все сервисы должны быть такими. И желательно, чтобы все сложные проверки, которые проводит платформа для обеспечения безопасности, были «под капотом». В идеале хороший продавец, приходя на площадку, даже не должен догадываться, что его проверили, а плохой банально не должен иметь возможности пройти ту проверку, на которую мы его отправили.
— Как вы боретесь с нарушителями? Много ли их?
— Если мы видим грубое нарушение правил — например, признаки обмана других пользователей, мы блокируем аккаунт. После этого ключевая задача заключается в том, чтобы злоумышленник не мог создать второй, третий, четвертый профиль. Для борьбы мы используем все те же алгоритмы, о которых говорили ранее.
Каждый раз, когда регистрируется новый аккаунт, мы пытаемся получить как можно больше данных — что за номер телефона используется, с какого устройства этот аккаунт создан, IP-адрес, как этот человек прошел регистрацию, использует он мобильную версию или десктоп приложение, как он кликает. Все это собирают и анализируют наши алгоритмы.
freepik.com / Freepik Company S.L
Есть такая штука как кластеризация аккаунта — она собирает все признаки и находит похожие друг на друга аккаунты на основе тех данных, что я перечислил. В голове этот объем даже представить себе очень сложно, но алгоритмы справляются с этим предельно легко. По тому как человек заполняет форму регистрации, можно выявить похожие паттерны, а дальше их можно проверить. Если мы уверены, что аккаунт принадлежит человеку, который уже нарушал наши правила, то он просто блокируется, а в случае если подозрения что называется «на грани», мы просим пройти дополнительную проверку.
— Мир постоянно меняется, борьба между преступниками и людьми, отвечающими за безопасность, не прекращается. Как в будущем будут развиваться подходы к построению систем защиты «Авито»?
— Действительно, борьба щита и меча, брони и снаряда никогда не прекращается. Кажется, что победить в ней нельзя, но на самом деле, такая возможность у нас есть. Сделать это можно за счет разрушения на своей площадке экономики злоумышленников. Давайте будем честными, любители заработать на слабостях других людей вряд ли куда-то денутся, но они могут уйти с вашего сервиса.
Если одна площадка вкладывается в безопасность больше чем другая, то преступнику на ней оставаться просто невыгодно. Если он потратит на обход безопасности больше денег, чем сможет получиться от обмана пользователя, то ему нецелесообразно работать. Никто не будет тратить десятки тысяч рублей, чтобы по итогу получить пять тысяч.
Мы уже сделали многое, чтобы нельзя было обмануть человека внутри платформы. И теперь добавляем инструменты и сервисы, которые делают бессмысленным выход за ее пределы. Например, запустили видео в чате — и теперь покупателям не нужно уходить в whatsapp, если есть желание рассмотреть товар с разных сторон на видео. Защита номера также работает на это — раньше вам могли написать сразу в сторонний мессенджер, сейчас вы сами должны дать собеседнику номер мобильного, чтобы он это сделал, и мы настоятельно рекомендуем оставаться в чате Авито.
Ключевая задача Trust&Safety в том, чтобы разрушить экономику недобросовестных пользователей, как раз в этом кнут и пряник помогает.
Кто попадает в «Мошеловку»
Координатор платформы «Мошеловка.РФ» Евгения Лазарева в свою очередь рассказала, какие схемы обмана чаще всего применяются в Сети и как россияне могут себя обезопасить.
— Евгения, «Мошеловка» давно борется с мошенниками в Сети. Расскажите про саму идею создания проекта, с чего все началось?
— Проект появился в начале 2021 года после того, как обозначился серьезный всплеск телефонного мошенничества. Но сам фонд «За права заемщиков» как раз занимается борьбой со злоумышленниками последние восемь лет. Это большая и серьезная работа, состоящая из юридической поддержки людей, из обращений в различные структуры. Анализируя жалобы, мы понимали какие виды обмана прогрессировали и выступали интеграторами, чтобы все задействованные в этом вопросе ведомства находили коммуникации.
Фото из личного архива Евгении Лазаревой
И если раньше у нас было больше вопросов о нелегальном кредитовании, финансовых пирамидах, цифровом мошенничестве, то пандемия привела к росту обмана по телефону. Тут вам и продажа справок, и сертификатов с прививками, манипуляции с социальными выплатами, появление огромного количества фишинговых ссылок.
Кроме того, в России очень быстро развивается цифровая среда: люди покупают в Сети машины и квартиры, совершают много действий на маркетплейсах и других торговых площадках. У нас серьезный общественный проект, когда население дает сигналы, а мы помогаем разобраться в ситуации.
— Как строится работа «Мошеловки»?
— У нас есть команда аналитиков и юристов, которые обрабатывают запросы, по части из них мы проводим юридические действия, людям направляем инструкции, как им действовать в той или иной ситуации. Фишинговые сайты и ссылки направляем на блокировку, если есть возможность спасти чьи-то деньги или если не вернуть потерянное, то хотя бы предотвратить случаи противоправных действий в будущем, занимаемся.
За счет того, что сигналов от россиян поступает очень много, мы видим волны того, как изменяются легенды злоумышленников в самых опасных направлениях. Эту информацию выводим в медиа и паблики, пару раз в неделю публикуя новости, что выявились новые способы манипуляций, стараемся максимально оперативно информировать граждан. Распространение данных идет через многофункциональные центры, места общественного пользования, собираем участников процессов на круглых столах и так далее.
«Мошеловка» прекрасна тем, что представляет для разных категорий людей контент, взаимодействует со всеми. У нас есть рекорды по блокировке и становится понятно, что проект работает, а потому мы очень надеемся, что часть того, что нарабатывается в трагичном опыте, может стать основой для правильных законодательных инициатив.
— Как пользователям быстро распознать манипулятора и что делать дальше?
— На чем работает злоумышленник? Страх и жадность. Если посмотреть, то все обращения преступников, работающих в области так называемой “социальной инженерии” немного сходны с тем, как рекламируется тот или иной сервис, услуга. Например, мы понимаем, что деньги необходимо нести в банк, потому что это надежно и соответственно нарушитель использует ту же парадигму: заявляет, что хочет обезопасить деньги людей. Другими словами, они маскируют все текущие потребности россиян и давят на человека.
Поэтому опасность кроется там, где вам сулят сверхъестественную прибыль, где можно получить услугу или товар очень быстро, где деньги отдают практически даром или где можно вложить инвестиции в какие-то удивительные проекты. У нас было несколько показательных случаев: люди вкладывались в разработку лекарства от рака, строительство поликлиники в районе, где последней очень не хватало. Или вот профессор экономической кафедры в одном из региональных университетов вложил деньги в финансовую пирамиду будучи уверенным, что инвестирует в строительство Крымского моста.
Ну и понятно, что сейчас существует много крипто-проектов однодневок. И если по старым преступным схемам еще есть какая-то законодательная помощь, которая может защитить человека, то в крипте фейковые проекты, фейковые лидеры, даже фишинг и тот фейковый. То есть это тоже серьезный сегмент, где все активно развивается.
pxhere.com
— Каковы самые распространенные ошибки людей при совершении сделок в интернете? Часто ли обмана можно избежать?
— Как обычно ведет себя человек? Он думает: ладно, бог с этими правилами безопасности, мне прямо сейчас нужно что-то купить, а продавец предлагает перейти в другой мессенджер, будет легкое и привычное общение. Человеку нужен сертификат от COVID, поэтому он какому-то незнакомцу направляет в Telegram паспорт с фотографией, а это сразу кредит. Человек отправляет СНИЛС, а это доступ к государственным услугам, полис медицинского страхования позволяет еще и ЕМИАСом воспользоваться. И вот у преступника уже есть телефон жертвы, адрес проживания, прописки, другие документы, а это весь набор, позволяющий украсть цифровой профиль.
Поэтому поспешность, жадность, желание найти что-то по суперцене, которая абсолютно никак не вяжется с рыночной, триггеры на которые человек не реагирует. Жертвами финансовых пирамид становятся либо люди очень пожилые, либо очень молодые и если первые теряют всю пенсию, накопления, наследство и так далее, то молодые реагируют так, что они еще заработают. При этом молодежь не спешит правильно оформлять заявление в полицию, лучшее что они могут сделать, это в соцсетях выложить пост о том, как их обманули.
Сегодня мир очень быстро развивается, появляются сервисы и услуги, которые делают жизнь простых граждан удобной, и злодеи пытаются подстроиться под современные реалии. Но мы также видим, что различные маркетплейсы и торговые площадки вкладывают много денег, ресурсов и сил в информационную защиту. Есть примеры хороших сервисов, которые позволяют проводить авторизацию при помощи «Госуслуг», используют уведомления, двухфакторную аутентификацию. Здорово что есть технические методы, позволяющие защитить человека, напомнить ему, что не все безопасно. Может быть излишне назойливые сообщения кому-то портят опыт взаимодействия с площадками, но лучше 20 раз получать напоминания с предупреждениями, чем потерять деньги.
Вот, например, президент объявил новую социальную выплату, и уже на следующий день, если забить в поисковике «социальная выплата», первые 10 ссылок будут фишинговыми, не настоящими. Поэтому нужна система мягких, правильных фильтров, позволяющих человеку не обманываться. Но если ты действительно обратился к нелегальным кредиторам и подписал на свою квартиру залог, то ты никогда не узнаешь, что твоя недвижимость тебе уже больше не принадлежит. Цель такого кредита не деньги тебе выдать, а квартиру твою забрать.
freepik.com / Freepik Company S.L
У человека должны быть возможность отказа от тех же онлайн переводов, это особенно актуально для россиян, которые не пользуются подобной услугой. Финансово грамотные люди для интернет-покупок используют отдельные карты. Кстати, многие сервисы предлагают отдельные карты для оплаты товаров и это здорово.
Обо всем этом людям необходимо напоминать и хорошо, что сейчас сервисы этим занимаются. Вот то что сейчас делает «Авито» — прекрасно, потому что начинаешь общение с продавцом, который внезапно не хочет работать с Авито Доставкой и предлагает перейти в другой мессенджер, сервис тебя предупреждает об опасности, напоминает, что нельзя передавать номер своей карты, нельзя писать никаких реквизитов и так далее.
Вот таким путем мы должны вести человека для того, чтобы его существование в интернете было более безопасным, чтобы он был осведомлен.
Торговля в Сети
— Как вы в целом оцениваете работу сервиса «Авито», созданную им систему безопасности?
— Если вас обманули при попытке купить или продать что-то в интернете, велик соблазн обвинить в этом площадку, от имени которой действуют преступники. На деле оказывается, что человек сам из сервиса ушел, сам передал свои данные, отправил предоплату.
Но вот у «Авито» очень правильное отношение к работе с пользователями, потому что они сделали авторизацию через Госуслуги, возврат если ты действительно обманулся, разработали систему уведомлений, которая работает, когда ты общаешься с продавцом. И вот это те самые правильные фильтры поведения, которым должны следовать остальные.
Сейчас если мы видим сигналы о потенциально опасных аккаунтах, мы обращаемся и коллеги из службы безопасности рассматривают заявки, и при необходимости блокируют пользователей. И проверенные пользователи — это первый шаг, к которому все сервисы должны прийти однозначно.
Фото из личного архива Евгении Лазаревой
— Департамент Trust&Safety активно приводит модерацию объявлений и пользователей используя машинное обучение. Насколько это востребовано сегодня?
— Это хорошая история, потому что все устроено на поведении человека, на том, как он себя ведет в Сети, как тратит деньги, общается, какие покупки и как он их совершает, какие кредитки использует, что больше всего любит. Машины изучают очень много привычек и особенностей поведения человека, это здорово. Главное, чтобы у всего этого была отлаженная система безопасности, ведь если человек совершает непривычные для себя действия, то для системы это сигнал, что пользователь сбился с курса, что-то необычное в его поведении, может его взломали. Отличная система, ничего плохого о ней сказать нельзя.
— Какие бы советы вы дали всем, кто совершает интернет-сделки?
— Если говорить о пользователях маркетплейсов, то конечно нужно всегда читать отзывы не только внутри системы, но и вообще везде, нужно также смотреть на рейтинги продавцов, никогда не уходить в сторонние мессенджеры, никому и ни при каких обстоятельствах не отправлять свои паспортные данные, телефон и любую информацию, которая относится к разряду конфиденциальной.
Самое главное, человеку нужно не лениться и читать то бесконечное количество пользовательских соглашений, с которыми он сталкивается каждый день, устанавливая любое приложение. Нужно ознакомиться хотя бы с его основами. Когда человек берет кредит, он читает лишь первую страницу, где написана полная сумма кредита, штрафы, санкции и так далее. А то, как будет строится безопасность, какие действия приведут к санкциям банка — мы этого не читаем, а нужно.
Ну и главное — если тебя что-то пугает, вводит в ступор при покупке, не продолжай. Не реагируй на тех, кто торопит тебя с принятием решений, это как правило говорит о том, что тебя пытаются обмануть.