Как вас могут кинуть в такси

  • Автор темы Moriarty
  • Дата начала
  • Просмотров 2921 Просмотров

Moriarty

Crime consultant
Продавец
424
327
10 Дек 2018
1. Дублер
«Яндекс.Таксометр» (софт для водителей «Яндекс.Такси») позволяет водителю, помимо заказов самого провайдера, работать с заказами «от борта» — пойманными на улице. Водитель может создать для таких заказов любой тариф, который его устроит.

В начале поездки по такому тарифу софт произнесет ровно те же слова, что и при заказе от «Яндекс.Такси»: «Добро пожаловать. В целях безопасности просим вас пристегнуться». И интерфейс ничем не будет отличаться от того, который и вы, и водитель видите, когда едете по заказу от «Яндекс.Такси».

Алгоритм обмана вас не слишком сложный: Водителю на устройство А поступает заказ «Яндекс Такси». Он его принимает, подает автомобиль и ставит статус «На месте». Пока вы выходите, водитель включает таксометр «от борта» на дублирующем устройстве Б с фейковым тарифом. Устройство Б находится на самом видном месте автомобиля — так, чтобы вы всегда видели, сколько именно стоит ваша поездка, это важно. Вы садитесь в автомобиль. Водитель незаметно ставит статус «В пути» на устройстве А и убирает его в карман. Вам приходит SMS о начале поездки. Водитель ставит статус «В пути» на устройстве Б. Магия начинается.

Этот способ безопасно использовать, если разница в финальной стоимости поездки не будет превышать 50% от оригинальной — ее все еще можно обосновать пробками, маршрутом и ошибками «Яндекса».

На ваш аргумент «А вот у меня в приложении другая сумма написана» ответят, что в приложении указана примерная стоимость поездки (это не так), а в реальности были пробки, навигатор повел иначе и вообще «Яндекс» считает поездку по прямой от точки А в точку Б, а машина ездит по дорогам (и это тоже не так). В реальности «Яндекс.Такси» по завершении поездки показывает вам точную стоимость этой поездки. С налом, думаю, всё понятно.

Если вы расплачиваетесь безналом: вы выходите из машины, и у водителя начинается следующий этап магии: надо сделать так, чтобы суммы на устройствах А и Б совпали. Это нужно, чтобы ваше приложение показало вам ту же стоимость поездки, что и сумма, которую вы реально заплатили.

Это делается так:

Водитель не заканчивает поездку сразу, а проезжает еще несколько километров, добиваясь идентичности сумм на устройствах А и Б.

Водитель может никуда не уезжать вообще, а просто постоять на месте, не закрывая заказ. Минута ожидания стоит недорого, но зато не надо никуда гонять машину.

Водитель всегда может добавить дополнительные услуги — вы этого не увидите. Так вы становитесь владельцем животного или багажа в салоне.

Самый крутой случай из нашей практики — пассажир ехал из Пулково на Московский вокзал и трижды проехал через Кронштадт. Поездка по КАД через Кронштадт по желанию клиента — платная услуга в «Яндекс.Такси», она стоит 400 рублей.

Удивительно, но этот способ работал почти без сбоев. Ключевая задача водителя — сделать так, чтобы пассажир был доволен поездкой настолько, чтобы ему не хотелось разбираться, почему суммы разнятся настолько сильно. Я уже писал о том, что среди водителей такси невероятно высокая доля людей с судимостью за мошенничество: с даром убеждения у коллег все тоже неплохо.

2. Подмена таксометра
Провайдеры, безусловно, хотят, чтобы водители не фродили (прим. ред. фрод(с англ. fraud, «обман») пассажиров. Каждая новая версия софта для водителей оставляет все меньше и меньше дырок. Но голь на выдумку хитра. В этот способ фрода довольно сложно поверить: настолько он абсурден. Однако я делал это своими руками, и это работало.

Осенью 2015 года «Яндекс Такси» обновило «Таксометр» с версии 6.37 до версии 6.39, в которой не было функции платного ожидания пассажира (как использовать для фрода — смотрите выше). При выходе обновления старая версия, естественно, перестает работать.

Я совсем не разработчик. Я совсем не понимаю, как устроены мобильные приложения. Однако даже у меня получилось выдернуть из интернета .apk-файл «Таксометра» версии 6.37, разобрать его первым подвернувшимся под руку декомпилятором (или как это правильно называется), поменять номер версии и сборки на 6.39 и собрать обратно.

Вы уже догадались, да, что фейковая сборка заработала, сохранив функциональность оригинальной? Сейчас это, впрочем, уже не работает: «Яндекс» научился бороться с подобным фродом.

3. Другой пассажир
Представьте: вы вызвали автомобиль с оплатой поездки пластиковой картой. И почему-то не вышли вовремя: передумали, уехали на другой машине, задержались в душе. И не отменили заказ — так часто бывает, потому что вы считаете, что это проблема водителя.

Водитель подает автомобиль, ждет пассажира и честно едет из точки А в точку Б, которую вы заботливо указали, когда заказывали машину. Затем водитель закрывает заказ, и с вашей карты списывается стоимость поездки.

Вы, естественно, получаете SMS от банка и пишете провайдеру, что никуда не ездили. А водитель говорит: «Вышел человек, сел в машину. Я его спросил: "В аэропорт" (например)? Он сказал: "В аэропорт". Откуда мне знать, что это не тот пассажир?».

Доказать правоту или, наоборот, фрод невозможно — что со стороны водителя, что со стороны пассажира (вам же тоже никто не мешает так фродить). Обычно провайдеры встают на сторону пассажира, возвращают деньги, а водителя блокируют. А наша задача — разобраться с тем, что произошло на самом деле. Фрод по отношению к пассажиру автоматически снижает рейтинг водителя в нашем антифроде, потому что в следующий раз на деньги можем влететь и мы.

4. Подменная координата
Это один из тех фродов, в которые мы не вмешиваемся совсем. Во-первых, они не ведут к прямым финансовым потерям ни с какой стороны. Во-вторых, мы считаем технические дырки провайдеров недоработкой и уверены, что на стороне любого оператора из «большой тройки» больше одного человека отвечает за отсутствие таких дырок.

Чаще всего этот способ используется около вокзалов и аэропортов — там, где парковка платная, заказы есть почти всегда, и их цена сильно выше средней.

Алгоритмы распределения заказов у провайдеров учитывают расстояние от автомобиля до точки подачи и время, необходимое для подачи (факторов в действительности значительно больше). Следовательно, чтобы с большей вероятностью получить заказ как можно быстрее, нужно оказаться как можно ближе к точке подачи.

Водители используют Fake GPS — софт, который подменяет координаты вашего устройства. Вы с его помощью можете, например, свайпить в Tinder в Нью-Йорке без премиум-аккаунта, а таксисты паркуют автомобили на первой линии зоны прилета или на взлетно-посадочной полосе аэропорта.

Выделяются на фоне этого относительно безобидного фрода те, кто нашел и использует Mock Location. Этот софт позволяет достаточно правдоподобно имитировать движение автомобиля по дороге: он будто бы останавливается на светофорах, снижает скорость на поворотах и может выдерживать среднюю скорость на маршруте из точки А в точку Б.

Схема фрода ничем не отличается от фрода с поездками по картам, кроме того что автомобиль не трогается с места совсем.

5. Пустая карта
Провайдеры списывают деньги с вашей карты либо несколькими небольшими частями, либо одним платежом после окончания поездки. Для пассажира это способ обмануть провайдера: некоторые из них оплачивают поездку водителю, даже если не смогли списать деньги с карты пассажира.

Этот же способ работает и для водителей. Главное — создать историю использования карты пассажиром и фродить того провайдера, который точно заплатит.

6. Докат
Вы же наверняка пользовались промокодами на такси? Провайдеры сжигают безумные миллионы денег на привлечение новых пассажиров и удержание старых.

Как правило, один пассажир может использовать один промо-код один раз. То есть даже если у вас промо-код на 500 рублей, а поездка — на 200, вы не сможете использовать оставшиеся 300 рублей. А водитель сможет. Ему для этого достаточно просто не закрывать заказ — либо не предупреждая пассажира (в этом случае есть риск получить плохую оценку), либо просто спросить: «Можно я промокод на максимум закрою?». Пассажиры редко отказывают: чужие деньги мало кто считает.

7. Самокат
Мало кто из пассажиров знает, что все провайдеры доплачивают водителям за существенную часть поездок — ту, где пассажир платит меньше суммы, за которую водители готовы выполнять заказы провайдеров.

Например, в Петербурге у Gett минимальная стоимость поездки для пассажира — 50 рублей, а для водителя — 220; у «Яндекса» — 50 и 130 рублей, у Uber — 50 и 99 рублей, соответственно.

Технически в биллинге доплата мало чем отличается от безналичного заказа: она так же поступает на баланс водителя. А дальше дело везения: как быстро провайдер или партнер поймают водителя на фроде. Если партнер выплатил водителю эти деньги, а провайдер признал поездку фродовой и не оплатил ее, деньги теряет партнер.

Прошлой весной мы потеряли на таком мошенничестве около 60 тысяч рублей за две недели. Самой увлекательной из историй про резко выросшее количество коротких заказов была вот такая (от первого лица):

Стою я на отстое. Подходит бабулька из соседнего дома. Ей дети подарили смартфон и поставили туда «Яндекс.Такси», чтобы она из магазина сумки не таскала, а на машине ездила. А как пользоваться, не объяснили. Вот она приходит ко мне и просит помочь. Я ей показываю, заказ делаю, а он мне прилетает. Ну, я и везу: магазин в соседнем доме. И бабулек таких в нашем районе — пруд пруди. Все узнали, как за копейки на такси можно ездить.

Я, признаться, попробовал представить себе таксиста-отстойщика (это те, у которых посадка в машину начинается от 300 рублей), к которому массово ходят бабушки и который, вместо того чтобы бабушек радостно окучивать, помогает им разобраться с ненавистным этому таксисту «Яндексом», а потом еще и везет этих бабушек. Мыши плакали, кололись, но продолжали жрать кактус.

Особняком стоят водители, которые сами создают короткий заказ на одном устройстве и дожидаются, когда он достанется им на втором устройстве.

У нас работал водитель, который через наши моментальные выплаты так получал деньги на сигареты: ловил заказ, выходил из дома, проходил пешком вокруг квартала, закрывал заказ на 70 рублей, в течение пяти минут получал оплату и оплачивал картой сигареты в соседнем магазине. Круче него, наверное, был только водитель из Краснодара, который даже не выходил из дома.

8. Много SIM-карт
Основной идентификатор вас как пассажира — номер вашего телефона. Именно на него в первую очередь смотрят любые антифрод-алгоритмы. Только после этого идут IMEI устройства, GPS-координаты и все остальное.

Чтобы начать пользоваться приложением, надо получить SMS. Я не настоящий таксист, но у меня есть около 10 SIM-карт, зарегистрированных на меня, и еще столько же — на Санта Клауса. Ну и, конечно, всем нам помогут сервисы аренды номеров.

Коллега из Казани могла не просить пассажира заказать ее еще и по Uber, а сделать это самой. Как правило, алгоритм выполнения заказа позволяет потратить на это пару минут. За исключением случая, когда конечная точка маршрута неизвестна.

Когда провайдер доплачивает за заказ при условии выполнения Х заказов в день, у таксистов включается профессиональная солидарность: сегодня ты закажешь меня, потому что у меня не хватает двух заказов до нормы, а завтра — я тебя.

9. Закрыть заказ раньше
Провайдер и партнеры живут на комиссии — проценте, который они получают с каждого выполненного заказа. Win-win-модель фрода очевидна: водитель предлагает пассажиру заплатить меньше (допустим, 250 рублей вместо 300) и закрывает заказ на как можно меньшую сумму (допустим, на 70 рублей).

В этом случае деньги недополучают провайдер и партнер. Для водителя важны стоимость, после которой ему становится невыгодно мошенничать, и оплата поездки наличными: с картой этот способ работает, только если у водителя есть mPOS-терминал.

10. Отменить заказ
Водитель подает автомобиль и звонит вам: машина ждет. После того как вы подтвердили, что скоро выйдете, водитель отменяет заказ. На ваши вопросы, скорее всего, ответят, что это баг у провайдера.

Даже если с водителя удержат комиссию за отмененный заказ, у него уже есть пассажир, готовый ехать именно с ним, и — это важно — у него больше нет цены, установленной провайдером.

Этот способ редко работает в отрыве от дублера. Справедливости ради, используется он нечасто, и такие случаи, как правило, быстро отлавливаются на стороне провайдеров.