Сегодня хотел бы поговорить с вами об современных антифродовых систем и привести пример одного из крупyых шопов, цель статьи не является подбор решения по обходу конкретного шопа, поэтому без конкретики по названию. Вся информация в статье является мнением автора и составляет его эмпирический опыт познания, не претендует на истинность и не являет собой призыв к действию, размещается в ознакомительных целях. Автор упускает объяснение базовых вещей, так как предполагает что читатель осведомлен с терминами базовой составляющей кардинга. Так же, в конце статьи я обращусь к читателям с информацией касающейся настройки системы и вообще, затрону тему антидетектов.
Предисловие:
Новичку или недалекому человеку в мире кардинга, а именно вещевом - мало известно об антифроде, как я полагаю большинство считают валидную сс и правильный сокс залог отправки шопом товара, но я не считаю это верным. Естественно, я хочу сказать что без валидной сс все предшествующие манипуляции будут выполнены зря, а так же если слишком грязный сокс - сложится аналогично ситуация, так же, из известных статей, думаю всем уже понятно и все знают об определенном "Счетчике" который считает очки/штрафы и при определенном количестве приводит к неудовлетворительному результату для нас.
ТЕМА СТАТЬИ:
"Behavioral patterns" или по-русски "Поведенческие шаблоны"
1. "Старый добрый GOOGLE"
На данный момент, крупные шопы могут анализировать большие объемы информации получаемые от клиента, я сразу упущу все-то, что вы могли бы знать и то, что описывается в статьях размещенных на форумах и перейду к делу. Так вот, информация эта начиная от сканинга ваших Гугл запросов и морфологический разбор запросов и заканчивая анализом поведения.
Перейдем к гугл запросам, которые собственно получает шоп от вас и выстраивает предполагаемые по его мнению возможные запросы и сканинирует их для сверки результатов. Эта информация не такая уж и приватная и в тренде современных технологий - обмениваться ею, т.е шоп получает доступ к вашей истории браузера, правда работает это на определенной отрезок времени, т.е по большему счёту ту, которая была недавно или как-то соотносится к заказу, а не всю.
Пример: вы пытаетесь купить ноут, пред тем как подтвердить ваш заказ, шоп посылает запрос где Гугл передает ему ответ, до этого вы ввели для примера "MSI G63 review"
Шоп получает данные массивом "MSI G63 REVIEW"; "MSI G63 BUY"; "MSI G63 CHEAP BUY", т.е. помимо вашего запроса берет в анализ еще похожие запросы. И исходя из этой информации из анализа посещаемых страниц выстраивает уже свою теорию касательно того, настоящий ли вы покупатель или нет. Так же, хочу отметить что шоп напрямую не использует такие технологии, а передает своим "агентам" эту информацию где на их крупно-масштабных серверах происходит вся эта "магия" и дальше мы плавно перетекаем к другому разделу.
2. Пинги и обмен информацией с сторонними ресурсами
Здесь меня больше поймут "производители" антидетектов, т.к. речь пойдет в основном о браузерных настройках и их влиянию на реакцию шопа, - пинги это принудительное отключение возможности отслеживания действий юзера на сайте - в большинстве случаев карается неудовлетворительным результатом для нас.
Обмен информации с сторонними ресурсами - это нечто того, как вы отправляете запрос, и происходит вся "магия" (такой себе "Chain of responsibility") из первого раздела только с той разницей, что некоторые скрипты уже встроены в ваш шоп и выполняются на стороне юзера, и если вы запретите осуществление обмена информацией помимо того сайта на которого находитесь - в большинстве случаев получите неудовлетворительный результат действий. Эти функции или подобные могут быть постфактум вшиты "производителями" антидетектов.
3. Паттерны поведения
Шоп или любой сайт пожеланию и техническим возможностям может полностью отследить ваше поведения на сайте, на других ресурсах. По этому действия когда вы бьете по нужному вам линку сразу же после захода на сайт имеют плохую "оценку" и ваши ордера будут скенселены либо же поставлены на дополнительную проверку, дальше в статье я еще вернусь к обзору и описанию дополнительных проверок.
Сайт может отслеживать:
1. время проведенное на нем посетителем;
2. использования поиска;
3. количество страниц посещаемое посетителем;
4. различный скролинг страницы;
5. количество времени наведения на текстах;
6. были ли просмотрены фото товара или нет;
7. количество аналогично рассмотренного товара;
8. искали ли вы этот товар дешевле и есть ли он дешевле в интернете;
9. активность вкладки браузера;
10. активность окна браузера;
11. курсор мыши, а так же его поведение;
12. копирование/вставка текста;
13. выделения текста.
Большинство этих данных собираются для "галочки" обмена информацией с сторонними ресурсами для составления этих самых шаблонов, которые будут соответствовать злоумышленнику, но так же среди них есть те, которые полностью блокируют дальнейшую возможность позитивного результата для злоумышленника.
Копирование и вставка текста, определяется и на личном опыте могу сказать что используется в антифродовых систем, когда вы используете ctr+c, ctr+v для ввода полей имени, адреса, карты - все это видит АФ и уже накидывает вам баллы за такие действия.
Количество проведенного времени на сайте тоже очень важно, и именно активного использования, когда вы ищите товар и похожий товар или товар для товара(наушники для телефона, силиконовые чехлы etc), эмулируете реального покупателя. Отсутствие времяпровождения на сайте почти всегда карается высокими балами в АФ системах.
Активность браузерного окна и вкладки, сайт может понимать когда вы находитесь на нем, а когда подсматриваете на другой сайт/блокнот/браузер, особенно когда это происходит при вводе карты, и может накидывать за это балы, но уровень штрафа не такой большой как при копировании и проведенном времени на сайте, но так же растет допустим если вы будете вводить по 2-4 цифры карты и переходить с вкладки, т.е. совершать действия не свойственные реальному покупателю.
Сайт легко определяет смотрели ли вы фотографии товара и может накидывать балы за это, но это так же не играет решающую роль, но лучше делать это.
Поличному мнению сайты плохо относятся к более дешевым аналогам, т.е. шоп делает запрос, смотрит если есть в первых ссылках товар дешевле и накидывает вам балы за то, что вы взяли товар поболее завышенной цене чем это есть, да, знаю звучит это безумно, но другого объяснения подобным запросам к Гуглу я не нашел. Но количество этих балов мизерно и так же не влияет на окончательное решение АФ касательного прецедента.
В шопах спрятано большое количество различных скрытых элементов которые могут определять наведение курсора на них, таким образом анализируя ваше поведение, читали ли вы тексты, как много времени из посещаемости сайта было активно, сколько неактивно, если курсор не двигается - время неактивно. За исключением тачскрина, но в таком случае браузер передает значение отвечающее за наличие тачскрина и возможных одновременных касаний, не уверен что подобная функция эмулируется в антидетектах, а именно в конфигах сенсорного оборудования, нет методов типа whoer которые позволяют проверить это.
4. Куки, сессии, отпечатки
На основе ваших данных, сервер сайта по-своему алгоритму может присваивать вам уникальный идентификатор, начиная от обычных идентификаторов заканчивая более сложными, удаление такого идентификатора (очистка куки-файлов) с последующим получением с одного и того же айпи адреса, не добавляют вам шансов на положительный результат. Ваши куки и есть ваш отпечаток, т.к. используются для отслеживания действий на сайте.
5. Использование нескольких IP адресов на одном конфиге/сессии браузеров
Дело в том, что большинство сайтов используют в той или иной мере api Гугла, и зайдя с одного айпи, допустим Германии, а дальше IP США, вы будете видеть рекламу на немецком, т.е. на целевую аудиторию Германии, т.к. изначально вы инициализировали себя как посетителя этой категории, не всегда это решается просто удалением куки-файлов, в зависимости от того, какие сайты вы посещали. Тоже может играть роль в формировании мнения АФ.
Дальше, я хочу на примере рассмотреть с вами ту малую часть параметров и метрики которую считывает шоп при самбите, некоторые параметры понятны, о некоторых можно только догадываться.
При ордере передается параметр "profileId", которое составляет предыдущий сгенерированный слепок пользователя, в то время когда вы закидывайте ордер, эти данные сверяются с существующими в передаваемой переменной. Так же передаются многие другие значения, допустим если вы оформляете пикап на другое имя, то переменная "isGifPurchase" становится истиной (true) . Но при этом переменная "isHighRisk" остается с отрицательным значением (false) . Но дальше можно наблюдать переменную "isCsiEnabled" - true ( что может значить "Crime Scene Investigation"). Исходя из этого я могу предположить что мой ордер не был помечен как высокорисковый, но расследование было подключено и где-то я не смог пройти проверку для получения положительного для меня статуса.
Послесловие:
Несомненно, то к чему мы так привыкли играет важную роль, но системы защиты не стоят на месте и будут только туже закручивать гайки, что касается крупных шопов. Цель кардера найти подход к крупному шопу, т.к. с него можно вынести куда больше ресурсов чем с других. Почему успешно проходят вбивы (ну или с большим %) если бить с VNC, либо же с ботов (благо появился сервис Genesis, благодаря которым обычный смертный без ботнета может опробовать свои силы/но есть и свои минусы, такие как отсутствие системного антидетекта прилежного уровня чтобы можно было пользоваться, т.е. по сути пока что проект сыроват и вы покупаете лишь куки и данные, фингерпринты не входят в большую часть ботов, подойдет для комбинированной работы с импортом кук в ваш бразуер антидетекта).
Потому что там есть история, подтверждение того что пользователь реален, антидетекты на данный момент только эмулируют некоторые вещи, но не могут сэмулировать поведенческий шаблон, т.к эти данные нужно просто "набивать", можно генерировать определенные посещения через JS, обманывая сайт накручивая посещения, возможно это будет работать некоторое время, но создатели антидетектов не будут этим заморачиваться, т.к. придется "вшивать" таблетку под каждый шоп. И правильная накрутка должна была бы иметь актуальные линки, чтобы не накручивать посещения несуществующих страниц. У шопов в вооружении есть достаточно различных фич, Super Cookie, где можно идентифицировать пользователя после смены конфигов, смены IP. WebGL который генерирует 3D изображения исходя из вашего железа, т.к. чтобы указать другое железо и именно этот параметр требуется физически иметь необходимую видеокарту и процессор, т.е. мало просто написать рандомные значения, эти значения должны соответствовать действительности и это еще один камень преткновения.
Audio Fingerprint - посылая низкочастотные звуки очень эффективно помогает в идентификации пользователей, в принципе руками можно эмулировать данный метод, с помощью обычной настройки звука в Windows, но количество комбинаций ограничено, что не позволяет ставить на поток эмуляция которая будет работать до поры до времени.
Fonts Fingerprint - считывает доступные шрифты пользователя, на данный момент создатели антидетектов уверяют что работают над эмуляцией, но я бы не стал уделять этому внимание, т.к сейчас большинство шрифтов стандартные и мало кто делает установку других, не включая дизайнеров и тем кто работает с полиграфией. По этому идентификация пользователя и отмена ордеров по-моему мнению через Fonts Fingerprint выглядит неубедительно и не обосновано.
Объяснение важности поведенческого шаблона, можно вывести из следующего, мы можем разделить фрауд на два лагеря:
Все что касается вещевухи - в большей мере используют методы идентификации поведенческого шаблона, из-за того, что шопинг должен быть доступен каждому и взяв на вооружение модель второго, они просто умрут.
Все что касается платежных систем - делают акцент на различного рода верификации из-за сложности сложить поведенческий шаблон, именно по этому многие платежные системы имеют столь сложную верификацию, множество подтверждений(документы, отчетность, смс, видео связь, аутентификации). Т.к. у них нет возможных методов идентификации, исторически сложился большой уровень фрауда и единственным разумным решением было усложнять верификацию.
Эпилог:
Надеюсь статья окажется полезной для вас, вы сможете получить что-то новое, возможно после прочтения у вас родятся ваши личные соображения на этот счет. Я не был приверженцем "OpenSource" проектов, но последнее время почему-то захотелось поделится данными соображениями, дабы посеять мысли об этой теме и вместе мы придем к готовым решениям необходимым для нашего дела.
Предисловие:
Новичку или недалекому человеку в мире кардинга, а именно вещевом - мало известно об антифроде, как я полагаю большинство считают валидную сс и правильный сокс залог отправки шопом товара, но я не считаю это верным. Естественно, я хочу сказать что без валидной сс все предшествующие манипуляции будут выполнены зря, а так же если слишком грязный сокс - сложится аналогично ситуация, так же, из известных статей, думаю всем уже понятно и все знают об определенном "Счетчике" который считает очки/штрафы и при определенном количестве приводит к неудовлетворительному результату для нас.
ТЕМА СТАТЬИ:
"Behavioral patterns" или по-русски "Поведенческие шаблоны"
1. "Старый добрый GOOGLE"
На данный момент, крупные шопы могут анализировать большие объемы информации получаемые от клиента, я сразу упущу все-то, что вы могли бы знать и то, что описывается в статьях размещенных на форумах и перейду к делу. Так вот, информация эта начиная от сканинга ваших Гугл запросов и морфологический разбор запросов и заканчивая анализом поведения.
Перейдем к гугл запросам, которые собственно получает шоп от вас и выстраивает предполагаемые по его мнению возможные запросы и сканинирует их для сверки результатов. Эта информация не такая уж и приватная и в тренде современных технологий - обмениваться ею, т.е шоп получает доступ к вашей истории браузера, правда работает это на определенной отрезок времени, т.е по большему счёту ту, которая была недавно или как-то соотносится к заказу, а не всю.
Пример: вы пытаетесь купить ноут, пред тем как подтвердить ваш заказ, шоп посылает запрос где Гугл передает ему ответ, до этого вы ввели для примера "MSI G63 review"
Шоп получает данные массивом "MSI G63 REVIEW"; "MSI G63 BUY"; "MSI G63 CHEAP BUY", т.е. помимо вашего запроса берет в анализ еще похожие запросы. И исходя из этой информации из анализа посещаемых страниц выстраивает уже свою теорию касательно того, настоящий ли вы покупатель или нет. Так же, хочу отметить что шоп напрямую не использует такие технологии, а передает своим "агентам" эту информацию где на их крупно-масштабных серверах происходит вся эта "магия" и дальше мы плавно перетекаем к другому разделу.
2. Пинги и обмен информацией с сторонними ресурсами
Здесь меня больше поймут "производители" антидетектов, т.к. речь пойдет в основном о браузерных настройках и их влиянию на реакцию шопа, - пинги это принудительное отключение возможности отслеживания действий юзера на сайте - в большинстве случаев карается неудовлетворительным результатом для нас.
Обмен информации с сторонними ресурсами - это нечто того, как вы отправляете запрос, и происходит вся "магия" (такой себе "Chain of responsibility") из первого раздела только с той разницей, что некоторые скрипты уже встроены в ваш шоп и выполняются на стороне юзера, и если вы запретите осуществление обмена информацией помимо того сайта на которого находитесь - в большинстве случаев получите неудовлетворительный результат действий. Эти функции или подобные могут быть постфактум вшиты "производителями" антидетектов.
3. Паттерны поведения
Шоп или любой сайт пожеланию и техническим возможностям может полностью отследить ваше поведения на сайте, на других ресурсах. По этому действия когда вы бьете по нужному вам линку сразу же после захода на сайт имеют плохую "оценку" и ваши ордера будут скенселены либо же поставлены на дополнительную проверку, дальше в статье я еще вернусь к обзору и описанию дополнительных проверок.
Сайт может отслеживать:
1. время проведенное на нем посетителем;
2. использования поиска;
3. количество страниц посещаемое посетителем;
4. различный скролинг страницы;
5. количество времени наведения на текстах;
6. были ли просмотрены фото товара или нет;
7. количество аналогично рассмотренного товара;
8. искали ли вы этот товар дешевле и есть ли он дешевле в интернете;
9. активность вкладки браузера;
10. активность окна браузера;
11. курсор мыши, а так же его поведение;
12. копирование/вставка текста;
13. выделения текста.
Большинство этих данных собираются для "галочки" обмена информацией с сторонними ресурсами для составления этих самых шаблонов, которые будут соответствовать злоумышленнику, но так же среди них есть те, которые полностью блокируют дальнейшую возможность позитивного результата для злоумышленника.
Копирование и вставка текста, определяется и на личном опыте могу сказать что используется в антифродовых систем, когда вы используете ctr+c, ctr+v для ввода полей имени, адреса, карты - все это видит АФ и уже накидывает вам баллы за такие действия.
Количество проведенного времени на сайте тоже очень важно, и именно активного использования, когда вы ищите товар и похожий товар или товар для товара(наушники для телефона, силиконовые чехлы etc), эмулируете реального покупателя. Отсутствие времяпровождения на сайте почти всегда карается высокими балами в АФ системах.
Активность браузерного окна и вкладки, сайт может понимать когда вы находитесь на нем, а когда подсматриваете на другой сайт/блокнот/браузер, особенно когда это происходит при вводе карты, и может накидывать за это балы, но уровень штрафа не такой большой как при копировании и проведенном времени на сайте, но так же растет допустим если вы будете вводить по 2-4 цифры карты и переходить с вкладки, т.е. совершать действия не свойственные реальному покупателю.
Сайт легко определяет смотрели ли вы фотографии товара и может накидывать балы за это, но это так же не играет решающую роль, но лучше делать это.
Поличному мнению сайты плохо относятся к более дешевым аналогам, т.е. шоп делает запрос, смотрит если есть в первых ссылках товар дешевле и накидывает вам балы за то, что вы взяли товар поболее завышенной цене чем это есть, да, знаю звучит это безумно, но другого объяснения подобным запросам к Гуглу я не нашел. Но количество этих балов мизерно и так же не влияет на окончательное решение АФ касательного прецедента.
В шопах спрятано большое количество различных скрытых элементов которые могут определять наведение курсора на них, таким образом анализируя ваше поведение, читали ли вы тексты, как много времени из посещаемости сайта было активно, сколько неактивно, если курсор не двигается - время неактивно. За исключением тачскрина, но в таком случае браузер передает значение отвечающее за наличие тачскрина и возможных одновременных касаний, не уверен что подобная функция эмулируется в антидетектах, а именно в конфигах сенсорного оборудования, нет методов типа whoer которые позволяют проверить это.
4. Куки, сессии, отпечатки
На основе ваших данных, сервер сайта по-своему алгоритму может присваивать вам уникальный идентификатор, начиная от обычных идентификаторов заканчивая более сложными, удаление такого идентификатора (очистка куки-файлов) с последующим получением с одного и того же айпи адреса, не добавляют вам шансов на положительный результат. Ваши куки и есть ваш отпечаток, т.к. используются для отслеживания действий на сайте.
5. Использование нескольких IP адресов на одном конфиге/сессии браузеров
Дело в том, что большинство сайтов используют в той или иной мере api Гугла, и зайдя с одного айпи, допустим Германии, а дальше IP США, вы будете видеть рекламу на немецком, т.е. на целевую аудиторию Германии, т.к. изначально вы инициализировали себя как посетителя этой категории, не всегда это решается просто удалением куки-файлов, в зависимости от того, какие сайты вы посещали. Тоже может играть роль в формировании мнения АФ.
Дальше, я хочу на примере рассмотреть с вами ту малую часть параметров и метрики которую считывает шоп при самбите, некоторые параметры понятны, о некоторых можно только догадываться.
При ордере передается параметр "profileId", которое составляет предыдущий сгенерированный слепок пользователя, в то время когда вы закидывайте ордер, эти данные сверяются с существующими в передаваемой переменной. Так же передаются многие другие значения, допустим если вы оформляете пикап на другое имя, то переменная "isGifPurchase" становится истиной (true) . Но при этом переменная "isHighRisk" остается с отрицательным значением (false) . Но дальше можно наблюдать переменную "isCsiEnabled" - true ( что может значить "Crime Scene Investigation"). Исходя из этого я могу предположить что мой ордер не был помечен как высокорисковый, но расследование было подключено и где-то я не смог пройти проверку для получения положительного для меня статуса.
Послесловие:
Несомненно, то к чему мы так привыкли играет важную роль, но системы защиты не стоят на месте и будут только туже закручивать гайки, что касается крупных шопов. Цель кардера найти подход к крупному шопу, т.к. с него можно вынести куда больше ресурсов чем с других. Почему успешно проходят вбивы (ну или с большим %) если бить с VNC, либо же с ботов (благо появился сервис Genesis, благодаря которым обычный смертный без ботнета может опробовать свои силы/но есть и свои минусы, такие как отсутствие системного антидетекта прилежного уровня чтобы можно было пользоваться, т.е. по сути пока что проект сыроват и вы покупаете лишь куки и данные, фингерпринты не входят в большую часть ботов, подойдет для комбинированной работы с импортом кук в ваш бразуер антидетекта).
Потому что там есть история, подтверждение того что пользователь реален, антидетекты на данный момент только эмулируют некоторые вещи, но не могут сэмулировать поведенческий шаблон, т.к эти данные нужно просто "набивать", можно генерировать определенные посещения через JS, обманывая сайт накручивая посещения, возможно это будет работать некоторое время, но создатели антидетектов не будут этим заморачиваться, т.к. придется "вшивать" таблетку под каждый шоп. И правильная накрутка должна была бы иметь актуальные линки, чтобы не накручивать посещения несуществующих страниц. У шопов в вооружении есть достаточно различных фич, Super Cookie, где можно идентифицировать пользователя после смены конфигов, смены IP. WebGL который генерирует 3D изображения исходя из вашего железа, т.к. чтобы указать другое железо и именно этот параметр требуется физически иметь необходимую видеокарту и процессор, т.е. мало просто написать рандомные значения, эти значения должны соответствовать действительности и это еще один камень преткновения.
Audio Fingerprint - посылая низкочастотные звуки очень эффективно помогает в идентификации пользователей, в принципе руками можно эмулировать данный метод, с помощью обычной настройки звука в Windows, но количество комбинаций ограничено, что не позволяет ставить на поток эмуляция которая будет работать до поры до времени.
Fonts Fingerprint - считывает доступные шрифты пользователя, на данный момент создатели антидетектов уверяют что работают над эмуляцией, но я бы не стал уделять этому внимание, т.к сейчас большинство шрифтов стандартные и мало кто делает установку других, не включая дизайнеров и тем кто работает с полиграфией. По этому идентификация пользователя и отмена ордеров по-моему мнению через Fonts Fingerprint выглядит неубедительно и не обосновано.
Объяснение важности поведенческого шаблона, можно вывести из следующего, мы можем разделить фрауд на два лагеря:
Все что касается вещевухи - в большей мере используют методы идентификации поведенческого шаблона, из-за того, что шопинг должен быть доступен каждому и взяв на вооружение модель второго, они просто умрут.
Все что касается платежных систем - делают акцент на различного рода верификации из-за сложности сложить поведенческий шаблон, именно по этому многие платежные системы имеют столь сложную верификацию, множество подтверждений(документы, отчетность, смс, видео связь, аутентификации). Т.к. у них нет возможных методов идентификации, исторически сложился большой уровень фрауда и единственным разумным решением было усложнять верификацию.
Эпилог:
Надеюсь статья окажется полезной для вас, вы сможете получить что-то новое, возможно после прочтения у вас родятся ваши личные соображения на этот счет. Я не был приверженцем "OpenSource" проектов, но последнее время почему-то захотелось поделится данными соображениями, дабы посеять мысли об этой теме и вместе мы придем к готовым решениям необходимым для нашего дела.
