Антифроды: Riskified, NoFraud, Fraud Forter

Man

Man

Professional
Messages
2,954
Reaction score
477
Points
83

1. Антифрод Riskified


5059ec9d-a9e2-465a-bd49-741d42460f2e.png


f0472bf2-a987-4592-a980-550ad9b44e05.png


В основном фрод детекторы работают по одному и тому же принципу, в одних очень громоздкие фильтры-маркеры в других наоборот меньше. Где то очки фрода ставят сами саппорта, а где то все в автоматическом режиме. А также у всех разное машинное обучение (об этом будет отдельный пост).

Подключение через api, также есть дополнительные модули-расширения которые ставятся через панель.

Знакомство с панелью:

2436a715-bf18-4069-843c-04ef3b97e413.png


Riskified - даже эта фрауд защита любит отменять заказы обычным пользователям.

5c8a680b-d5be-420c-b4c6-13739c4c1b61.png


Здесь тоже нет очков фрода - Здесь не показывает очков фрода, только индикаторы есть.

690ac256-b0ba-4b82-ae60-74e5356c520e.jpeg


Разберем пару статусов где деклайн:

8deb18a4-1e59-4d64-bbb3-2983d71ee37b.png


Гео: Различные явные и неявные географические точки данных в порядке и расстояния между ними.

Личность: Присутствие в Интернете и личность на основе точек данных, таких как адрес электронной почты, имена и номера телефонов, а также связи между ними.

Поведение: Поведение покупателя при оформлении заказа, включая скорость, содержимое корзины и способы доставки.

Сеть: Технологические характеристики, включая интернет-соединение и устройства, используемые покупателем при оформлении заказа.

Связывание: Связи между всеми элементами заказа и каждой транзакцией в сети Riskified.

a15e2264-4bd4-4f2a-ac5b-dc860d87b267.jpeg


4996025f-1a39-4267-8b71-7c6287406101.jpeg


689b0d14-ec0b-47d4-b387-4303e06ed481.jpeg


f42058c9-5c03-468c-be62-5afd6bf2b53d.jpeg


cb74d8a9-7ee2-4b62-b9d0-40339bf0b2ea.jpeg


Даже обычным юзерам дают деклайн)))

d3440a6e-db72-4ec5-b621-76c6c6a8ca7d.png


Рекомендации: Проверка айпи на чистоту, брать старые почты(дополнительно проверяя на риски. Вести себя как можно медленнее как обычный человек который пришел выбирать себе товар в шопе. Ну остальные рекомендации можете додумать из индикаторов выше.


2. Антифрод NoFraud


NoFraud - Сам по себе фрод детектор слабее. В этом детекторе все заказы отправляются на проверку автоматически, поэтому мы никак не узнаем сколько очков нам накинуло. Примерное время проверки заказов занимает до 24 часов.

714ffd4f-013c-4622-8378-09999ddf8152.png


То что собирают и анализируют:

0dbdf935-0391-488e-98c9-a3e2867765c7.jpeg


91b771e9-cf5d-4aea-aa43-dbde853e7b5e.png


Автоматическая шкала рисков:

3aa3a18a-fe04-4702-b01b-7f6e1c0434c7.png


Визуальное представление рабочего процесса визуализации/захвата - составляет блок схему.

Факторы доверия:
Это элементы заказа, которые обычно указывают на то, что он действителен и безопасен для доставки:
  • Устройство находится в непосредственной близости от адреса для выставления счетов. Это указывает на то, что геолокация клиента находилась рядом с адресом, указанным в файле банка держателя карты, что указывает на то, что фактический владелец карты (или его близкий партнер/член семьи) разместил заказ.
  • Наблюдаемая нормальная активность устройства: покупательская активность покупателя не соответствовала обычным признакам мошенничества (например, использование прокси-устройства, непосредственная близость к платежному адресу и т. д.).
  • Транзакция размещена с первой попыткой оплаты: распространенным признаком мошенничества является то, что клиент предпринимает несколько попыток оплаты, прежде чем заказ будет окончательно одобрен. Этот фактор доверия указывает на то, что этот заказ был успешно размещен при первой попытке оплаты.
  • Совпадение проверочного значения карты (CVV): Это указывает на то, что код CVV, предоставленный клиентом, совпадает с тем, что находится в файле банка держателя карты.
  • Доставка на адрес держателя карты. Это указывает на то, что NoFraud смог проверить, что адрес доставки принадлежит фактическому держателю карты и что заказ не отправляется на неподтвержденный адрес.
  • Адрес электронной почты был активен в течение значительного периода времени: мошенники, как правило, создают новые адреса электронной почты для конкретной цели размещения (мошеннического) заказа. Это указывает на то, что адрес электронной почты, указанный в этом заказе, существует в течение значительного периода времени.
  • Клиент имеет длительный срок использования способа оплаты: этот клиент ранее использовал этот же способ оплаты для прошлых немошеннических заказов.
  • Банк-эмитент соответствует стране выставления счета: (в основном для заказов за пределами США) это указывает на то, что кредитная карта была выпущена в той же стране, в которую отправляется заказ.
  • Совпадение системы проверки адресов (AVS): адрес для выставления счетов, предоставленный клиентом, полностью совпадает с адресом в файле банка держателя карты.

Факторы риска:
Это элементы заказа, которые обычно указывают на то, что он может быть мошенническим или требует дополнительной проверки перед отправкой:
  • Обнаружена рискованная активность устройства: критические характеристики устройства, используемого для размещения заказа, вызывают подозрение (например, покупатель скрывает информацию об устройстве, геолокация устройства находится далеко от адреса держателя карты и т. д.).
  • Обнаружена нерегулярная активность устройства: некоторые характеристики устройства, используемого для размещения заказа, необычны или неожиданны.
  • Банк-эмитент карты не соответствует стране выставления счета. Банк, которым пользуется клиент, находится в стране, которая не соответствует стране, указанной в его платежном адресе.
  • Обнаружен прокси-сервер: клиент использует прокси-программу для маскировки информации об устройстве.
  • IP-геолокация удалена от платежного адреса: Клиент разместил заказ с устройства, расположенного далеко от адреса держателя карты.
  • Система проверки адресов (AVS) Частичное совпадение: адрес для выставления счетов, предоставленный клиентом, лишь частично совпадает с адресом держателя карты, который находится в файле с его банком-эмитентом (например, почтовый индекс совпадает, но почтовый адрес не совпадает).
  • Полное несоответствие системы проверки адресов (AVS): платежный адрес, предоставленный клиентом, полностью не соответствует адресу владельца карты, указанному в файле банка-эмитента.
  • Адрес доставки отличается от адреса, подтвержденного AVS: адрес доставки отличается от адреса, подтвержденного владельцем карты.
  • Запрошена ускоренная доставка: часто мошенники запрашивают вариант ускоренной доставки, потому что а) они не платят за товар/доставку и им нечего терять, и б) они считают, что это даст продавцу меньше времени, чтобы распознать мошенничество и повторно - маршрутизировать или предотвратить доставку заказа к ним.
  • Несколько попыток использования карты за короткий промежуток времени: многие мошенники будут пытаться использовать несколько карт для одного и того же заказа, пока одна из них не будет одобрена. Это указывает на то, что клиент предпринял несколько попыток оплаты различными картами, прежде чем заказ был успешно размещен.
  • Доставка в экспедиторскую службу: Заказы, отправляемые экспедитору, обычно считаются более рискованными, чем заказы, отправляемые непосредственно на адрес проживания клиента/владельца карты.
  • Адрес электронной почты имеет небольшую историю: мошенники часто создают новые адреса электронной почты (особенно если у них нет доступа к учетной записи электронной почты фактического держателя карты) для конкретной цели размещения мошеннических заказов. Таким образом, совершенно новый адрес электронной почты считается фактором риска.

Рекомендации: Работать можно с любого устройства (при условии есть только одна защита стоит), заранее проверяйте IP, email, dns. Пробивайте биллинг на СС. Тщательно проверяйте данные при вводе.


3. Антифрод Fraud Forter


Сегодня кратко рассмотрим фрод детектор Фортер. На какие параметры обращает внимание, как подстраиваться? Где на каких шопах стоит? И т.д.

4a1b78ff-19e4-422c-90f3-9ff8cc047a1a.png


Вот пример шопа. Расширение Wapalayzer показывает нам что тут стоит сразу 3 защиты. Но не стоит убеждаться что это действительно так. Мы же еще не просмотрели сам код через f12 сниффер либо софт hhtp tracker либо fidler.

  1. Forter - разберем ниже. PremeterX - рассматривать не буду, кому интересно что это можете сами проанализировать.
  2. Onetrust - Тут защита идет по кукам, вас идентифицируют с другими сайтами и т.д.

aaf275a7-cfe9-44a8-9918-709925d81b14.png


Составляет графики - какие службы доставок используешь.

51f5fad6-938c-4f4d-bcf0-c7558d2df760.png


Тут пользователь скрывал личность. Манипулировал своим IP адресом чтобы он соответсвовал СС(украденой, купленной в сс шопе) и изменил гео чтобы она была близко к адресу держателя СС. Тоесть Ближайший сокс под зип СС. Также тут есть связь что данный айпи уже светился в сети(фрод детектора фортер) Но тут есть также одно решение - прозвон в шоп.

Можно нанять прозвонщика после ордера, так скажем для подтверждения. И тогда сапы в шопе смогут сделать пометку - тоесть пустить заказ вручную.

Проверяют IP - чек айпи на чистоту.

Почта - есть конечно скрытые маркеры также, на какие соц сети зареган мыльник где не зареган.

Биллинг расположение. Конечно шипинг тут= билингу

Но вот девайс - айпи другого города - это сразу палится. Лучше айпи брать прямо в точь точь того же зипа.

AVS - он здесь есть. По авс прошел.

Сам фрод детектор работает в режиме реального времени. Машинное обучение каждый раз меняется на разные параметры.

e0695afe-8948-400c-b535-b7b7d8f6e536.png


Это детали транкзакции - но тут также как в riskfield есть связь между транкзакциями, если данная личность уже светилась где то в сети фортер - то ваш заказ отменят. И работает по всей сети где есть фортер.

9a4badfb-a6ae-4a59-b5a9-db15017cee3c.png


Красные точки - это отклоненные транзакции которые уже были в сети у них.

837f4163-24f4-4421-ba41-e3558cda683b.png


Вот те параметры связи.

Имя, девайс, билинг, шипинг, поведенческие факторы, айпи и т.д. - все учитывается.

Есть скрытый параметр - чек почты на репутацию.

Тоесть чтобы нам обойти этот детектор нам надо:

Почта хай реп, чистый айпи в точь точь под зип СС. Номера телефонов тоже лучше указывать КХ (можно из BG брать старые)

Поведение в шопе, в браузере.

Девайс (антики какие то скорее палится нужно пробовать)

Я встречал на шопах где тоит мерч Cashstar, giftcards, wgiftcard, gap и другие сложные мерчи, а также видел на внутриках(простые шопы).
 
Last edited:
You must log in or register to reply here.

Similar threads

Friend
Злоупотребление Non-AVS картами
Replies
0
Views
139
Friend
Friend
Man
Как работает Антифрод Shopify
Replies
2
Views
424
risktaker42069
risktaker42069
Friend
Рероут Apple.com (перенаправление пака)
Replies
0
Views
211
Friend
Friend
Man
NoFraud - полный разбор антифрод системы
Replies
0
Views
300
Man
Man
MaskaCC
Fraud Forter - фрод детектор.
Replies
0
Views
145
MaskaCC
MaskaCC
Back
Top