Ситуация берет свое начало приблизительно 2 года обратно. Ваш послушный слуга принял решение пользоваться радужным предложение в рассылке Aliexpress. Надвигалась акция распродажи и площадка анонсировала бонусы до 70%. Тем более понравились купоны Top Brand - купоны магазинов на 50%.

Все вроде ясно. Перебегаем по времени на раздачу и забираем личный купон. Но не 1-ая, ни 10 попытка не отдала итога. В наличии были лишь только мусорные купоны маленьких магазинов… Хмм. Пишем скрипт на golang в 100 струй, и закидываем его на Alibaba Cloud, ну прям вблизи с серверами Aliexpress - вновь ничего (

Пишем ещё раз скрипт, но ныне он в многопотоке получает останки данных купонов в момент начала выдачи, заодно разбираемся в методе подписи запросов api(md5, собственно что бы вы отдавали себе отчет )). И о как любопытно - на момент начала раунда самых жирных купонов элементарно нет. Как же так, неуж-то Aliexpress нас элементарно обманули? Нет, здесь все увлекательнее…

Глубинный интернет

Предположив, собственно что здесь как-то завязан фрод, я приняла решение выискать, а не реализует ли некто эти купоны. Резвый разведка привел на miped.ru (сейчас домен заблочен РКН и переехал) - самый большой фрод-рынок Aliexpress в мире.

Аккаунты с купонами различных номиналов 10-20% от номинала купона. Предложения получения купонов, аккаунты в каждых размерах и тд. Там же и отыскались эти купоны Top Brands. Продаются они абсолютно не закрыто в том числе и напрямик в данный момент.

Например сейчас там в продаже купоны, которые Aliexpress планировала раздавать к 11.11

Абсолютный комплект. Но незатейливый юзер ни разу не может получить самостоятельно(далее поясню почему). Мне стал увлекателен данный магазинчик и его обладатель, и я написала незатейливый парсер. Обнаружилось, собственно что обладатель (в облику собственной скромности, наверное) непонятно почему выкладывает купоны по 20-30 шт. и каждый день пополняет, в результате среднее кол-во ~ 300 шт на любой лавка Aliexpress. Общая выгода более 1000000 руб за некоторое количество дней.

 первый раз я заявила о данной задаче Aliexpress 2 года назад )) Как видите, ничего не изменилось, лавка есть до сих пор.

Но нет, собственно что то изменилось. К примеру - ныне, в случае если в текущем раунде все купоны обсудили фродеры, то их не демонстрируют юзерам абсолютно. Для жуликов купоны есть, а для вас нет )

Как они это делают

Несколько поковыряв, я поняла, собственно что фродеры получают доступ к купонам продавцов практически в момент регистрации их в системе Aliexpress. Все собственно что любопытно для продажи здесь же ориентируется на не так давно зарегистрированные аккаунты. Случается это приблизительно за 2-3 недели до начала промоакций. Другими текстами, к моменту начала промоакции все купоны получены и уже гигантская доля перепродана.

Для получения купона довольно аристократия его id (даже не хеш). По всей видимости есть запрос к api который демонстрирует все дешевые купоны торговца, в что количестве и те, которые укрыты. Сам запрос мне отыскать не получилось.

С купонами самой платформы подобно. Как правило целый их лунный предел выбирается за некоторое количество часов и затем перепродается на фрод-форуме и в ботах.

Но собственно что самое поразительное, перепродаются в том числе и промокоды! У всякого промокода есть предел применений, фродеры сквозь скрипты переоформляют заявки с промокодами, выбирая предел использования кода. Заявка висит неоплаченным, клиент такового аккаунта имеет возможность затем отменить его и промокод возможно использовать вторично.

Вообщем при анализе форума привиделось, собственно что вообщем целый фрод Aliexpress устремлен в РФ. По моим примерным оценкам приблизительно 60-70% бютжета Aliexpress на мотивацию клиентов оседает в кармашках жуликов. Самое поразительное, собственно что сами Aliexpress все это игнорируют.

Только лично я написал с десяток писем в саппорт с подробным описанием механизма фрода. В большинстве случаев никто не отвечал или приходили отписки. За это время ничего не изменилось.

При этом потери, платформа перекладывает на клиентов. Оборона клиента, к примеру, уже практически всецело не трудится для клиентов из РФ.

По сообщениям видится, собственно что ведущем все фрод-аккаунты с купонами потребляет розница, но есть отдельная каста, которая практически не разговаривает на форуме и живут в замкнутых чатах.

Обнальщики. Как нетрудно догадаться они занимаются обналичиванием купонов, делается это через подконтрольные магазины. Раньше магазины выкупались у китайцев или их брали в долю, но с момента как разрешили регистрироваться продавцам из России этой проблемы не стоит. Просто создается магазин на подставные данные, и выкупается товар у самого себя.Средний объем потребления обнальщиков 10000-15000 аккаунтов в месяц. Каждый магазин приносит примерно 200-400к после чего улетает в бан и цикл повторяется. По их сообщениям, все это происходит в автоматическом режиме, используются средства автоматизации типа Selenium.

Написаны свои CRM, есть рынок работников, это высоко маржинальный бизнес с минимум рисков.

Дыры в безопасности

Кроме того, что фродеры имеют неавторизованный доступ к внутренним данным системы, кроме того, что подпись запросов это простой md5, я обнаружил еще одну занимательную штуку. Просто для понимания уровня китайских разработчиков.

При авторизации\регистрации система формирует токен, на основе которого она выдает куки авторизации. Так вот, этот токен **не имеет времени жизни, **другими словами, если хоть один раз у вас перехватили этот токен - вы теряете доступ к акканту навсегда, ни смена пароля, ни смена почты ничего не даст. Мошенник всегда сможет авторизоваться по этому токену в вашем аккаунте. 

Итог

Ничего не поменяться, в случае если за 2 года Aliexpress в том числе и не направили забота на данную делему, означает например и надо. Фрод генерирует свежих юзеров, да, все они фейки, но но несмотря на все вышесказанное в годичном отчете возможно продемонстрировать подъем базы.