Черный рынок купонов Aliexpress⁠⁠

История берет свое начало примерно два года назад. Ваш покорный слуга решил воспользоваться заманчивым предложение в рассылке Aliexpress. Надвигалась распродажа и площадка рекламировала скидки до 70%. Особенно приглянулись купоны Top Brand - купоны магазинов на 50%.

Все вроде понятно. Переходим по времени на раздачу и берем свой купон. Но не первая, ни десятая попытка не дала результата. В наличии были только мусорные купоны мелких магазинов... Хмм. Пишем скрипт на golang в 100 потоков, и закидываем его на Alibaba Cloud, ну прям рядом с серверами Aliexpress - снова ничего (

Пишем еще один скрипт, но теперь он в многопотоке получает остатки этих купонов в момент начала выдачи, заодно разбираемся в алгоритме подписи запросов api(md5, что бы вы понимали уровень)). И о как интересно - на момент начала раунда самых жирных купонов просто нет. Как же так, неужели Aliexpress нас просто обманули? Нет, тут все интереснее...

Глубинный интернет

Предположив, что тут как-то завязан фрод, я решил поискать, а не продает ли кто-то эти самые купоны. Быстрый поиск привел на miped.ru (сейчас домен заблочен РКН и переехал) - самый крупный фрод-рынок Aliexpress в мире.

Аккаунты с купонами разных номиналов 10-20% от номинала купона. Услуги получения купонов, аккаунты в любых объемах и тд. Там же и нашлись эти купоны Top Brands. Продаются они вполне открыто даже прямо сейчас. Вот магазин одного из пользователей.

Например сейчас там в продаже купоны, которые Aliexpress планировала раздавать к 11.11 ¯\_(ツ)_/¯

Полный набор. Но простой пользователь никогда не сможет получить самостоятельно(далее объясню почему). Мне стал интересен этот магазинчик и его владелец, и я написал простой парсер. Выяснилось, что владелец (в виду своей скромности, наверное) почему-то выкладывает купоны по 20-30 шт. и постоянно пополняет, в итоге среднее кол-во ~ 300 шт на каждый магазин Aliexpress. Общая прибыль больше 1000000 руб за несколько дней.

Впервые я сообщил об этой проблеме Aliexpress два года назад )) Как видите, ничего не изменилось, магазин существует до сих пор.

Но нет, кое что изменилось. Например - теперь, если в текущем раунде все купоны разобрали фродеры, то их не показывают пользователям совсем. Для мошенников купоны есть, а для вас нет )

Как они это делают

Немного поковыряв, я понял, что фродеры получают доступ к купонам продавцов почти в момент регистрации их в системе Aliexpress. Все что интересно для перепродажи тут же разбирается на недавно зарегистрированные аккаунты. Происходит это примерно за 2-3 недели до начала акций. Другими словами, к моменту начала акции все купоны получены и уже большая часть перепродана.

Для получения купона достаточно знать его id (даже не хеш). Видимо есть запрос к api который показывает все доступные купоны продавца, в том числе и те, которые скрыты. Сам запрос мне найти не удалось.

С купонами самой платформы аналогично. Обычно весь их месячный лимит выбирается за несколько часов и потом перепродается на фрод-форуме и в ботах.

Но что самое удивительное, пепродаются даже промокоды! У каждого промокода есть лимит применений, фродеры через скрипты оформляют заказы с промокодами, выбирая лимит применения кода. Заказ висит неоплаченным, покупатель такого аккаунта может потом отменить его и промокод можно применить повторно.

Вообще при анализе форума показалось, что вообще весь фрод Aliexpress сосредоточен в России. По моим примерным оценкам примерно 60-70% бюджета Aliexpress на мотивацию покупателей оседает в карманах мошенников. Самое удивительное, что сами Aliexpress все это игнорируют.

При этом очевидно, что издержки сама платформа перекладывает на покупателей. Защита покупателя, например, уже почти полностью не работает для покупателей из России.

По сообщениям кажется, что основном все фрод-аккаунты с купонами потребляет розница, но есть отдельная каста, которая почти не общается на форуме и живут в закрытых чатах.

Обнальщики. Как не трудно догадаться они занимаются обналичиванием купонов, делается это через подконтрольные магазины. Раньше магазины выкупались у китайцев или их брали в долю, но с момента как разрешили регистрироваться продавцам из России этой проблемы не стоит. Просто создается магазин на подставные данные, и выкупается товар у самого себя.Средний объем потребления обнальщиков 10000-15000 аккаунтов в месяц. Каждый магазин приносит примерно 200-400к после чего улетает в бан и цикл повторяется. По их сообщениям, все это происходит в автоматическом режиме, используются средства автоматизации типа Selenium.

Дыры в безопасности

Кроме того, что фродеры имеют неавторизованный доступ к внутренним данным системы, кроме того, что подпись запросов это простой md5, я обнаружил еще одну занимательную штуку. Просто для понимания уровня китайских разработчиков.

При авторизации\регистрации система формирует токен, на основе которого она выдает куки авторизации. Так вот, этот токен не имеет времени жизни, другими словами, если хоть один раз у вас перехватили этот токен - вы теряете доступ к акканту навсегда, ни смена пароля, ни смена почты ничего не даст. Мошенник всегда сможет авторизоваться по этому токену в вашем аккаунте. Пример такой авторизации - просто перейдите по ссылке и вы окажитесь в чужом аккаунте.

Итог

Ничего не измениться, если за два года Aliexpress даже не обратили внимание на эту проблему, значит так и нужно. Фрод генерирует новых пользователей, да, все они фейки, но зато в годовом отчете можно показать рост базы.

источник

upd Ответ Aliexpress