Черный рынок купонов Aliexpress. Как устроена фрод-сцена в России

Ситуация берет свое начало приблизительно 2 года обратно. Ваш послушный слуга принял решение пользоваться радужным предложение в рассылке Aliexpress. Надвигалась акция распродажи и площадка анонсировала бонусы до 70%. Тем более понравились купоны Top Brand – купоны магазинов на 50%.


Все вроде ясно. Перебегаем по времени на раздачу и забираем личный купон. Но не 1-ая, ни 10 попытка не отдала итога. В наличии были лишь только мусорные купоны маленьких магазинов… Хмм. Пишем скрипт на golang в 100 струй, и закидываем его на Alibaba Cloud, ну прям вблизи с серверами Aliexpress – вновь ничего (

Пишем ещё раз скрипт, но ныне он в многопотоке получает останки данных купонов в момент начала выдачи, заодно разбираемся в методе подписи запросов api(md5, собственно что бы вы отдавали себе отчет )). И о как любопытно – на момент начала раунда самых жирных купонов элементарно нет. Как же так, неуж-то Aliexpress нас элементарно обманули? Нет, здесь все увлекательнее…

Глубинный интернет

Предположив, собственно что здесь как-то завязан фрод, я приняла решение выискать, а не реализует ли некто эти купоны. Резвый разведка привел на miped.ru (сейчас домен заблочен РКН и переехал) – самый большой фрод-рынок Aliexpress в мире.

Аккаунты с купонами различных номиналов 10-20% от номинала купона. Предложения получения купонов, аккаунты в каждых размерах и тд. Там же и отыскались эти купоны Top Brands. Продаются они абсолютно не закрыто в том числе и напрямик в данный момент.

Например сейчас там в продаже купоны, которые Aliexpress планировала раздавать к 11.11

Абсолютный комплект. Но незатейливый юзер ни разу не может получить самостоятельно(далее поясню почему). Мне стал увлекателен данный магазинчик и его обладатель, и я написала незатейливый парсер. Обнаружилось, собственно что обладатель (в облику собственной скромности, наверное) непонятно почему выкладывает купоны по 20-30 шт. и каждый день пополняет, в результате среднее кол-во ~ 300 шт на любой лавка Aliexpress. Общая выгода более 1000000 руб за некоторое количество дней.

 первый раз я заявила о данной задаче Aliexpress 2 года назад )) Как видите, ничего не изменилось, лавка есть до сих пор.

Но нет, собственно что то изменилось. К примеру – ныне, в случае если в текущем раунде все купоны обсудили фродеры, то их не демонстрируют юзерам абсолютно. Для жуликов купоны есть, а для вас нет )

Как они это делают

Несколько поковыряв, я поняла, собственно что фродеры получают доступ к купонам продавцов практически в момент регистрации их в системе Aliexpress. Все собственно что любопытно для продажи здесь же ориентируется на не так давно зарегистрированные аккаунты. Случается это приблизительно за 2-3 недели до начала промоакций. Другими текстами, к моменту начала промоакции все купоны получены и уже гигантская доля перепродана.

Для получения купона довольно аристократия его id (даже не хеш). По всей видимости есть запрос к api который демонстрирует все дешевые купоны торговца, в что количестве и те, которые укрыты. Сам запрос мне отыскать не получилось.

С купонами самой платформы подобно. Как правило целый их лунный предел выбирается за некоторое количество часов и затем перепродается на фрод-форуме и в ботах.

Но собственно что самое поразительное, перепродаются в том числе и промокоды! У всякого промокода есть предел применений, фродеры сквозь скрипты переоформляют заявки с промокодами, выбирая предел использования кода. Заявка висит неоплаченным, клиент такового аккаунта имеет возможность затем отменить его и промокод возможно использовать вторично.

Вообщем при анализе форума привиделось, собственно что вообщем целый фрод Aliexpress устремлен в РФ. По моим примерным оценкам приблизительно 60-70% бютжета Aliexpress на мотивацию клиентов оседает в кармашках жуликов. Самое поразительное, собственно что сами Aliexpress все это игнорируют.

Только лично я написал с десяток писем в саппорт с подробным описанием механизма фрода. В большинстве случаев никто не отвечал или приходили отписки. За это время ничего не изменилось.

При этом потери, платформа перекладывает на клиентов. Оборона клиента, к примеру, уже практически всецело не трудится для клиентов из РФ.

По сообщениям видится, собственно что ведущем все фрод-аккаунты с купонами потребляет розница, но есть отдельная каста, которая практически не разговаривает на форуме и живут в замкнутых чатах.

Обнальщики. Как нетрудно догадаться они занимаются обналичиванием купонов, делается это через подконтрольные магазины. Раньше магазины выкупались у китайцев или их брали в долю, но с момента как разрешили регистрироваться продавцам из России этой проблемы не стоит. Просто создается магазин на подставные данные, и выкупается товар у самого себя.Средний объем потребления обнальщиков 10000-15000 аккаунтов в месяц. Каждый магазин приносит примерно 200-400к после чего улетает в бан и цикл повторяется. По их сообщениям, все это происходит в автоматическом режиме, используются средства автоматизации типа Selenium.

Написаны свои CRM, есть рынок работников, это высоко маржинальный бизнес с минимум рисков.

Дыры в безопасности

Кроме того, что фродеры имеют неавторизованный доступ к внутренним данным системы, кроме того, что подпись запросов это простой md5, я обнаружил еще одну занимательную штуку. Просто для понимания уровня китайских разработчиков.

При авторизации\регистрации система формирует токен, на основе которого она выдает куки авторизации. Так вот, этот токен не имеет времени жизни, другими словами, если хоть один раз у вас перехватили этот токен – вы теряете доступ к акканту навсегда, ни смена пароля, ни смена почты ничего не даст. Мошенник всегда сможет авторизоваться по этому токену в вашем аккаунте. 

Итог

Ничего не поменяться, в случае если за 2 года Aliexpress в том числе и не направили забота на данную делему, означает например и надо. Фрод генерирует свежих юзеров, да, все они фейки, но но несмотря на все вышесказанное в годичном отчете возможно продемонстрировать подъем базы.