Friend
Professional
- Messages
- 2,653
- Reaction score
- 841
- Points
- 113
В этой теме я бы хотел рассмотреть как можно идентифицировать пользователя, работу оператора, как нужно анализировать шоп.
1) Начнём с методов идентификации пользователей.
Зачем нужна идентификация? В общем случае - чтобы понять, был ли этот человек на сайте, на каких сайтах он был, чтобы давать контекстную рекламу. В частном случае - чтобы не давать кардерам делать их чёрные дела.
Многие слышали, об идентификации Canvas Fingerprint.
Вот его критерии:
[+] Canvas Fingerprinting
Какие параметры нужно изменять, чтобы добиться изменения фингерпринта?
1) Версию браузера
2) Сам браузер, с хрома на фаерфокс к примеру
3) Версию винды
4) Шрифты (пакет офиса)
5) Плагины.
Каждый из первых трёх параметров изменяет фингерпринт, остальные два лишь в совокупности (не считая языка, таймзоны, разрешения экрана, глубины цвета и т.д. которые вносят очень маленький % в отпечаток и по сути он вряд ли будет изменяться)
Ещё я бы хотел сказать пару слов о WebGl, многие в курсе, что он способен определить имя драйвера графической карты, но не все в курсе, как его изменить.
Сайт https://www.browserleaks.com/webgl
Не очень, правда? Так могут легко узнать, что мы сидим с виртуалки.
Изменить это несложно, пишем в поиске regedit.
Пишем в поиске название нашей видеокарты, в моём случае SVGA 3D
Затем ищем параметр DriverDesc и изменяем его правой кнопкой мыши, Modify
Пишем, что хотим ) Но лучше реальную модель
После этого перезагружаемся и вуаля
По идентификации я упомяну ещё в конце этой статьи, когда будем разбирать анализ сайта.
2) Работа оператора
После того, как мы всё сделали и видим надпись order processing есть два пути развития событий, в зависимости от того, сколько у нас RiskScore 1) автоматическое подтверждение 2) подтверждение оператором.
В первом случае радуемся. Во втором случае оператор будет смотреть что мы купили (товары в зоне риска), нашу историю (когда мы заходили), дату регистрации, активность (тот самый разогрев шопа), правильность адреса (как написан и что там вообще стоит на карте), время покупки (ночь или рабочее время), совпадение OS, чистоту IP, расстояние между IP и адресом холдера и много других параметров. Параметры могут разниться в зависимости от шопа, вот примерный список.
[+] Potential fraud
Теоретически можно посмотреть на какие сайты заходил пользователь, по запросу Js. Допустим, если мы логинились на Facebook'e, то это вызовет большее доверие, несомненно. Но эта инфа недостоверная, поэтому заморачиваться или нет дело только Ваше.
Сам оператор тоже человек и безусловно может распознать поведение присущее кардеру, как уже много раз говорили, стоит вести себя как обычный покупатель и продумывать всё до мелочей, даже пожелание к покупке стоит писать.
3)После того, как мы нашли шоп, с которым хотим "работать", желательно узнать, какие запросы он отправляет. Для этого нам поможет расширение Chameleon (ссылка https://github.com/ghostwords/chameleon)
Устанавливаем его и проходим все этапы от регистрации до покупки, и смотрим, какие запросы он отправляет.
Это нам поможет узнать, что же от нас хочет шоп, и как под него подстроиться и узнать наличие фингерпринта.
Я попытался кратко рассмотреть фингерпринт, идентификацию пользователя как таковую и операторскую работу, конечно всё это может разниться в зависимости от шопа, в некоторых фингерпринта и вовсе нет.
Все эти технические составляющие, такие как настройка системы. замыкание на себя (webrtc), поиск чистого туннеля, важны, но так же на успешность вбива безусловно большое влияние оказывает сам банк. Есть бины, которые находятся в "чёрном списке"(неактуальные). Так же сам банк может отменить оплату, если, допустим, заметит подозрительную активность.
Главное быть не как все (кардеры), но одновременно как все (обычные покупатели).
1) Начнём с методов идентификации пользователей.
Зачем нужна идентификация? В общем случае - чтобы понять, был ли этот человек на сайте, на каких сайтах он был, чтобы давать контекстную рекламу. В частном случае - чтобы не давать кардерам делать их чёрные дела.
Многие слышали, об идентификации Canvas Fingerprint.
Вот его критерии:
[+] Canvas Fingerprinting
- UserAgent
- Language
- Color Depth
- Screen Resolution
- Timezone
- Has session storage or not
- Has local storage or not
- Has indexed DB
- Has IE specific 'AddBehavior'
- Has open DB
- CPU class
- Platform
- DoNotTrack or not
- Full list of installed fonts (maintaining their order, which increases the entropy), implemented with Flash.
- A list of installed fonts, detected with JS/CSS (side-channel technique) - can detect up to 500 installed fonts without flash
- Canvas fingerprinting
- WebGL fingerprinting
- Plugins (IE included)
- Is AdBlock installed or not
- Has the user tampered with its languages 1
- Has the user tampered with its screen resolution 1
- Has the user tampered with its OS 1
- Has the user tampered with its browser 1
- Touch screen detection and capabilities
- Pixel Ratio
Какие параметры нужно изменять, чтобы добиться изменения фингерпринта?
1) Версию браузера
2) Сам браузер, с хрома на фаерфокс к примеру
3) Версию винды
4) Шрифты (пакет офиса)
5) Плагины.
Каждый из первых трёх параметров изменяет фингерпринт, остальные два лишь в совокупности (не считая языка, таймзоны, разрешения экрана, глубины цвета и т.д. которые вносят очень маленький % в отпечаток и по сути он вряд ли будет изменяться)
Ещё я бы хотел сказать пару слов о WebGl, многие в курсе, что он способен определить имя драйвера графической карты, но не все в курсе, как его изменить.
Сайт https://www.browserleaks.com/webgl
Не очень, правда? Так могут легко узнать, что мы сидим с виртуалки.
Изменить это несложно, пишем в поиске regedit.
Пишем в поиске название нашей видеокарты, в моём случае SVGA 3D
Затем ищем параметр DriverDesc и изменяем его правой кнопкой мыши, Modify
Пишем, что хотим ) Но лучше реальную модель
После этого перезагружаемся и вуаля
По идентификации я упомяну ещё в конце этой статьи, когда будем разбирать анализ сайта.
2) Работа оператора
После того, как мы всё сделали и видим надпись order processing есть два пути развития событий, в зависимости от того, сколько у нас RiskScore 1) автоматическое подтверждение 2) подтверждение оператором.
В первом случае радуемся. Во втором случае оператор будет смотреть что мы купили (товары в зоне риска), нашу историю (когда мы заходили), дату регистрации, активность (тот самый разогрев шопа), правильность адреса (как написан и что там вообще стоит на карте), время покупки (ночь или рабочее время), совпадение OS, чистоту IP, расстояние между IP и адресом холдера и много других параметров. Параметры могут разниться в зависимости от шопа, вот примерный список.
[+] Potential fraud
- IP address checks (Проверка IP адреса на блек)
- Country Match (Совпадает ли страна, указанная в Биллинге с IP?)
- High Risk Country (Страна с выс. уровнем фрода? Индия, Россия например)
- Distance between IP and billing locations (Расстояние между IP и адресом Биллинга)
- City Name
- Region Code
- Region Name
- Country Code
- Country Name
- Continent Code
- Latitude/Longitude (Гео координаты)
- US Postal Code
- Time Zone
- AS Number (Не знаю что это)
- User Type (Браузер)
- Connection Type (Тип соединения - прокси например)
- Domain Name (Домен)
- ISP/Organization (Провайдер)
- Accuracy Radius (Точность определения)
- Country Confidence Factor (Проверка совпадения страны)
- Region Confidence Factor (То же самое по региону
- City Confidence Factor (Совпадения города)
- Postal Code Confidence Factor (Почтового кода)
- Proxy Detection
- Anonymous Proxy
- Open Proxy
- Corporate Proxy
- Email Checks
- Free Email (Указана бесплатная почта?)
- High Risk Email (Почта в спам листе?)
- Issuing Bank Number (BIN) Checks
- BIN Country Match
- BIN Country Output
- BIN Name Match (Проверка совпадения имени КХ)
- BIN Name Output
- BIN Phone Match (Проверка номера телефона)
- BIN Phone Output
- BIN Prepaid Output (Предоплаченная карта?)
- Address Check (Проверка AVS)
- High-risk shipping address (Адрес посреда?)
- Risk Score
Теоретически можно посмотреть на какие сайты заходил пользователь, по запросу Js. Допустим, если мы логинились на Facebook'e, то это вызовет большее доверие, несомненно. Но эта инфа недостоверная, поэтому заморачиваться или нет дело только Ваше.
Сам оператор тоже человек и безусловно может распознать поведение присущее кардеру, как уже много раз говорили, стоит вести себя как обычный покупатель и продумывать всё до мелочей, даже пожелание к покупке стоит писать.
3)После того, как мы нашли шоп, с которым хотим "работать", желательно узнать, какие запросы он отправляет. Для этого нам поможет расширение Chameleon (ссылка https://github.com/ghostwords/chameleon)
Устанавливаем его и проходим все этапы от регистрации до покупки, и смотрим, какие запросы он отправляет.
Это нам поможет узнать, что же от нас хочет шоп, и как под него подстроиться и узнать наличие фингерпринта.
Я попытался кратко рассмотреть фингерпринт, идентификацию пользователя как таковую и операторскую работу, конечно всё это может разниться в зависимости от шопа, в некоторых фингерпринта и вовсе нет.
Все эти технические составляющие, такие как настройка системы. замыкание на себя (webrtc), поиск чистого туннеля, важны, но так же на успешность вбива безусловно большое влияние оказывает сам банк. Есть бины, которые находятся в "чёрном списке"(неактуальные). Так же сам банк может отменить оплату, если, допустим, заметит подозрительную активность.
Главное быть не как все (кардеры), но одновременно как все (обычные покупатели).
Last edited by a moderator:
