Почему Яндекс-Услуги не защищают пользователей от мошенников? Анализ проблем и возможных решений

В предыдущих постах нашего блога мы подробно разобрали несколько случаев мошеннических заказов на Яндекс-Услугах, предоставив скриншоты из переписки с мошенниками и фишинговых страниц. Настало время взглянуть на ситуацию шире и проанализировать, почему система не работает должным образом и какие шаги нужно предпринять для защиты пользователей?

Один из наиболее очевидных вопросов: почему Яндекс-Услуги не могут эффективно заблокировать Телеграм-ник @Olgah7 и подобные ему?

Технологические компании часто сосредоточены на разработке новых функций и улучшении пользовательского опыта, в то время как вопросы безопасности могут отодвигаться на второй план. Яндекс-Услуги явно недостаточно придают значение фильтрации и мониторингу контента объявлений, что позволяет мошенникам успешно обходить защиту.

Это странно, ведь Р. 1 трлн. в год должно бы хватать на решение подобных задач. Даже при недостатке средств, неплохим стимулом является, например, соблюдение Ст. 238 УК РФ "Оказание услуг, не отвечающих требованиям безопасности" и отсутствие проблем с Прокуратурой и Роскомнадзором.

Сложности технической реализации, возможно, действительно, существуют. Несмотря на кажущуюся простоту задачи, внедрение эффективного фильтра требует ресурсов и проведения дополнительной настройки. Видимо у Яндекса следующие проблемы:

А. Недостаток ресурсов или специалистов, работающих над этой задачей.
Б. Технические ограничения или ошибки в существующих системах фильтрации.
В. Мошенникам удается использовать различные обходные пути, такие как изменение ников или использование символов, схожих с обычными буквами.

Это усложняет задачу для автоматических систем фильтрации, особенно, если они допотопные или топорно настроены.

Другой важный вопрос: как мошенники могут использовать данные банковских карт, включая CVC-код, полученный с помощью мультипликативно раскрученных Яндекс-Услугами мошеннических заказов, без прохождения двухфакторной аутентификации (2FA), применяемой сегодня, похоже, всеми российскими банками? Многие россияне не придают этому значение, и совершенно напрасно.

Способы использования банковских карт без 2FA существуют, и их немало:

1. Магнитные полосы и офлайн-транзакции. В некоторых случаях данные карт могут использоваться для создания копий карт с магнитной полосой, которые затем используются в странах или на устройствах, где 2FA не применяется.
И... "это работает".

2. Международные транзакции. Некоторые зарубежные онлайн-торговцы и платежные системы не требуют 2FA, что позволяет мошенникам успешно использовать украденные данные.

3. "Социальная инженерия". Мошенники могут использовать данные карт для проведения атак социальной инженерии, обманывая владельцев карт и получая доступ к их счетам без необходимости проходить 2FA, демонстрируя при этом от лица "сотрудника банка" знание конфиденциальной информации клиента.

1. Яндекс-Услугам следует инвестировать больше ресурсов в разработку и внедрение более совершенных систем фильтрации и мониторинга контента. Хорошо бы довести эту информацию до постоянно занимающихся дележкой пакетов акционеров.

2. Компании необходимо обеспечить прозрачность в вопросах безопасности, регулярно информируя пользователей о предпринятых мерах и достигнутых результатах. И здесь совершенно недостаточным будет пресловутое: "Спасибо за обращение. Мы делаем все возможное". Речь отнюдь не о мерах имитационного характера.

3. Проведение информационных кампаний среди пользователей о том, как распознавать мошенников и что делать в случае подозрительных заказов, может существенно снизить количество жертв мошенничества.

4. Активное взаимодействие с правоохранительными органами и финансовыми институтами позволит более эффективно бороться с мошенниками и минимизировать ущерб, который наносят ежедневно мошенники гражданам Российской Федерации, и который мультиплицирует Яндекс в десятки, сотни, а может быть, и в тысячи раз.

Мы продолжим следить за развитием ситуации и делиться с вами новостями и аналитикой по мере поступления информации. Ваши комментарии и отзывы будут нам чрезвычайно полезны.

В завершение классика: скриншоты и актуальные ссылки на заказы мошенницы Olgah7, которые до сих пор, вторые сутки не могут распознать ржавые алгоритмы Яндекса.

P.S. Продержится ли привилегированная мошенница Яндекса вторые сутки? Напишите в комментариях, что вы думаете по этому поводу!