Черный рынок купонов Aliexpress. Как устроена фрод-сцена в России

Скоро 11.11 и значит пора.

История берет свое начало примерно два года назад. Ваш покорный слуга решил воспользоваться заманчивым предложение в рассылке Aliexpress. Надвигалась распродажа и площадка рекламировала скидки до 70%. Особенно приглянулись купоны Top Brand - купоны магазинов на 50%.

Все вроде понятно. Переходим по времени на раздачу и берем свой купон. Но не первая, ни десятая попытка не дала результата. В наличии были только мусорные купоны мелких магазинов... Хмм. Пишем скрипт на golang в 100 потоков, и закидываем его на Alibaba Cloud, ну прям рядом с серверами Aliexpress - снова ничего (

Пишем еще один скрипт, но теперь он в многопотоке получает остатки этих купонов в момент начала выдачи, заодно разбираемся в алгоритме подписи запросов api(md5, что бы вы понимали уровень)). И о как интересно - на момент начала раунда самых жирных купонов просто нет. Как же так, неужели Aliexpress нас просто обманули? Нет, тут все интереснее...

Глубинный интернет

Предположив, что тут как-то завязан фрод, я решил поискать, а не продает ли кто-то эти самые купоны. Быстрый поиск привел на miped.ru (сейчас домен заблочен РКН и переехал) - самый крупный фрод-рынок Aliexpress в мире.

Аккаунты с купонами разных номиналов 10-20% от номинала купона. Услуги получения купонов, аккаунты в любых объемах и тд. Там же и нашлись эти купоны Top Brands. Продаются они вполне открыто даже прямо сейчас. Вот магазин одного из пользователей.

Например сейчас там в продаже купоны, которые Aliexpress планировала раздавать к 11.11 ¯\_(ツ)_/¯

Полный набор. Но простой пользователь никогда не сможет получить самостоятельно(далее объясню почему). Мне стал интересен этот магазинчик и его владелец, и я написал простой парсер. Выяснилось, что владелец (в виду своей скромности, наверное) почему-то выкладывает купоны по 20-30 шт. и постоянно пополняет, в итоге среднее кол-во ~ 300 шт на каждый магазин Aliexpress. Общая прибыль больше 1000000 руб за несколько дней.

1 000 000 ₽ зарабатывает только один магазин купонов за несколько дней

Впервые я сообщил об этой проблеме Aliexpress два года назад )) Как видите, ничего не изменилось, магазин существует до сих пор.

Но нет, кое что изменилось. Например - теперь, если в текущем раунде все купоны разобрали фродеры, то их не показывают пользователям совсем. Для мошенников купоны есть, а для вас нет )

Как они это делают

Немного поковыряв, я понял, что фродеры получают доступ к купонам продавцов почти в момент регистрации их в системе Aliexpress. Все что интересно для перепродажи тут же разбирается на недавно зарегистрированные аккаунты. Происходит это примерно за 2-3 недели до начала акций. Другими словами, к моменту начала акции все купоны получены и уже большая часть перепродана.

Для получения купона достаточно знать его id (даже не хеш). Видимо есть запрос к api который показывает все доступные купоны продавца, в том числе и те, которые скрыты. Сам запрос мне найти не удалось.

С купонами самой платформы аналогично. Обычно весь их месячный лимит выбирается за несколько часов и потом перепродается на фрод-форуме и в ботах.

Но что самое удивительное, пепродаются даже промокоды! У каждого промокода есть лимит применений, фродеры через скрипты оформляют заказы с промокодами, выбирая лимит применения кода. Заказ висит неоплаченным, покупатель такого аккаунта может потом отменить его и промокод можно применить повторно.

Вообще при анализе форума показалось, что вообще весь фрод Aliexpress сосредоточен в России. По моим примерным оценкам примерно 60-70% бюджета Aliexpress на мотивацию покупателей оседает в карманах мошенников. Самое удивительное, что сами Aliexpress все это игнорируют.

Только лично я написал с десяток писем в саппорт с подробным описанием механизма фрода. В большинстве случаев никто не отвечал или приходили отписки. За это время ничего не изменилось.

При этом очевидно, что издержки сама платформа перекладывает на покупателей. Защита покупателя, например, уже почти полностью не работает для покупателей из России.

По сообщениям кажется, что основном все фрод-аккаунты с купонами потребляет розница, но есть отдельная каста, которая почти не общается на форуме и живут в закрытых чатах.

Обнальщики. Как не трудно догадаться они занимаются обналичиванием купонов, делается это через подконтрольные магазины. Раньше магазины выкупались у китайцев или их брали в долю, но с момента как разрешили регистрироваться продавцам из России этой проблемы не стоит. Просто создается магазин на подставные данные, и выкупается товар у самого себя.Средний объем потребления обнальщиков 10000-15000 аккаунтов в месяц. Каждый магазин приносит примерно 200-400к после чего улетает в бан и цикл повторяется. По их сообщениям, все это происходит в автоматическом режиме, используются средства автоматизации типа Selenium.

Написаны свои CRM, есть рынок работников, это высоко маржинальный бизнес с минимум рисков.

Дыры в безопасности

Кроме того, что фродеры имеют неавторизованный доступ к внутренним данным системы, кроме того, что подпись запросов это простой md5, я обнаружил еще одну занимательную штуку. Просто для понимания уровня китайских разработчиков.

При авторизации\регистрации система формирует токен, на основе которого она выдает куки авторизации. Так вот, этот токен не имеет времени жизни, другими словами, если хоть один раз у вас перехватили этот токен - вы теряете доступ к акканту навсегда, ни смена пароля, ни смена почты ничего не даст. Мошенник всегда сможет авторизоваться по этому токену в вашем аккаунте. Пример такой авторизации - просто перейдите по ссылке и вы окажитесь в чужом аккаунте.

Итог

Ничего не измениться, если за два года Aliexpress даже не обратили внимание на эту проблему, значит так и нужно. Фрод генерирует новых пользователей, да, все они фейки, но зато в годовом отчете можно показать рост базы.

UPD. Появился комментарий представителя Aliexpress Russia

Добрый день! Мы знаем о некоторых проблемах работы с купонами на глобальной платформе и занимаемся разработкой собственной системы и развитием программы лояльности, которая позволит сделать платформу более безопасной и неуязвимой для фрода. Сейчас система антифрода блокирует большинство случаев, но так, чтобы не затронуть действия обычных пользователей. Фрод занимает небольшой процент от общего числа купонов.

Во-первых, тот кто написал это должен быть немедленно отстранен от должности. Единственно, что ты можешь написать, когда указывают кто, где и как мошенничает против твоей компании это: "Спасибо, передадим в правоохранительные органы", но никак "ничего страшного, пусть воруют".

Во-вторых, после публикации англоязычной версии на reddit считаю свою миссию выполненной, если Aliexpress не желает бороться с фродом, то ни я, ни кто бы то ни был за них это делать не должен...

0
178 комментариев
Написать комментарий...
Сергей Берц

Автор, ты сама наивность, если думаешь, что Алику, а уж тем более Алиэкспресс Раша выгоден какой-то антифрод :) Поверь, абьюзеры купонов (школота, мамочки, "серьёзные ребята") делают свои мелочные покупки, раздувая пузырь продаж за такие смешные деньги для алика, которые не стоят даже 10% всей рекламы Алика по ТВ/ютубам с Максимом Галкиным и прочими )

Другой пример, отложим на секунду Алик, Самокат - они убыточны, предполагаю, что там 80% всех продаж - абьюзеры все тех же промокодов, но где реальная продажа, а где фейк? Зачем искать? Инвесторы оплатят весь банкет. Иначе нету роста )

Ну а теперь по антифроду. Если бы они хотели - они бы запретили всю коверку адресов, впны, повторы телефонов, карт и прочее, вплоть до сетевых фингепринтов устройств ) (На самом деле рубильник есть, но не включают) В совокупности из всех факторов, можно сделать полноценный скоринг, но тогда как им рисовать рост дальше? )

P.S. Beniclo пёс.

Ответить
Развернуть ветку
Иванов Иван

Вы это про Али? Вы серьезно думаете, что эта контора делает что-то осмысленно? Они по сей день не могут сделать нормальный поиск, где одно и то же слово в разном регистре букв может выдавать результат.

Ответить
Развернуть ветку
theLuckyOne

Люто плюсую. Мне кажется, там такой ад в коде, что Али живёт по принципу "работает - не трожь", и ни о каких улучшениях речи быть не может.

Ответить
Развернуть ветку
Иванов Иван

Просто никому нет дела до старого и кривого функционала. Прибыль льется рекой, люди играют в корпорацию и лепят бессмысленный креатив. Высшее руководство не знает как выглядит их сайт, но получают космические зарплаты и абсолютную власть над подчиненными. Остальные лижут им жопы, и пытаются сделать карьеру, отбывают жопочасы и делают какую-то свою маленькую работу.

Ответить
Развернуть ветку
Артём Палённый

Таков мир...

Ответить
Развернуть ветку
Иванов Иван

На Али свой мир. У них никогда не было адекватной политики поощрения клиентов за покупки. Эти тупицы умудряются прямо на страничке товара писать, что старому покупателю продадут дороже, чем новому. Такое ощущение, что этих креативщиков волнует лишь количество новых зарегистрированных аккаунтов. Не удивлюсь, если у них где-то в вестибюле офиса висит табло с количеством новых аккаунтов, и каждую круглую циферку встречают распеванием корпоративных гимнов.

Ответить
Развернуть ветку
Артём Палённый

да, скорее всего, в kpi у топов привлечение новых пользователей - это одна из основных целей.

Ответить
Развернуть ветку
175 комментариев
Раскрывать всегда