Как антифрод-системы выявляют VPN

[Mutt]

Антифрод-системы, такие как Stripe Radar, Adyen RevenueProtect или Sift, используют сложные методы для выявления VPN (виртуальных частных сетей), которые часто применяются кардерами для маскировки своего местоположения при использовании украденных данных карт. Выявление VPN критически важно, так как несоответствие IP-адреса региону карты является одним из ключевых признаков мошенничества. В образовательных целях я подробно опишу, как антифрод-системы выявляют VPN, включая технические аспекты, используемые инструменты и ограничения, а также объясню, почему это затрудняет кардинг.

1. Почему VPN используются в кардинге?​

Кардеры используют VPN для:

• Маскировки геолокации: Чтобы IP-адрес соответствовал региону карты (например, американский IP для карты из США).
• Обхода чёрных списков: Скрытие реального IP, связанного с мошенничеством.
• Анонимизации: Использование VPN или Tor для сокрытия личности и избежания отслеживания.

Однако антифрод-системы разработаны для выявления таких попыток, анализируя множество сигналов, связанных с IP и сетевой активностью.

2. Технические методы выявления VPN в антифрод-системах​

Антифрод-системы используют комбинацию технологий и данных для идентификации VPN. Основные методы включают:

a) Анализ IP через базы данных геолокации​

• Механизм:
  • Антифрод-системы интегрируются с базами данных геолокации, такими как MaxMind GeoIP, IP2Location или GeoLite, которые содержат информацию о диапазонах IP-адресов, их географическом положении и характеристиках.
  • Эти базы классифицируют IP-адреса по типам: резидентные (домашние), корпоративные, дата-центры, VPN, прокси или анонимайзеры (например, Tor).
• Как выявляют VPN:
  • IP, принадлежащие дата-центрам (например, Amazon AWS, Google Cloud), часто связаны с коммерческими VPN-сервисами (NordVPN, ExpressVPN).
  • Пример: IP 104.28.12.45 может быть помечен как принадлежащий Cloudflare (VPN-провайдер), что повышает рисковый скор транзакции.
  • Сравнение региона IP с регионом карты: если карта из США, а IP указывает на Россию или дата-центр, это флаг подозрительной активности.
• Технические детали:
  • Базы данных содержат атрибуты, такие как ASN (Autonomous System Number), провайдер и тип подключения.
  • Антифрод-системы запрашивают данные через API (например, GET /geoip/104.28.12.45), получая JSON с информацией:
    

    {
      "ip": "104.28.12.45",
      "country": "US",
      "asn": "AS13335",
      "organization": "Cloudflare, Inc.",
      "proxy_type": "VPN"
    }

• Влияние на кардинг:
  • Кардеры, использующие популярные VPN (NordVPN, Surfshark), легко выявляются, так как их IP-адреса помечены как дата-центры.
  • Даже "чистые" VPN (резидентные IP) могут быть обнаружены, если база данных обновляется регулярно.

b) Анализ ASN (Autonomous System Number)​

• Механизм:
  • ASN — это уникальный идентификатор сети, управляющей диапазоном IP-адресов. VPN-провайдеры (например, NordVPN, ExpressVPN) используют известные ASN, которые антифрод-системы отслеживают.
  • Пример: ASN AS13335 (Cloudflare) или AS16276 (OVH) часто связаны с VPN или хостинг-провайдерами.
• Как выявляют VPN:
  • Антифрод-системы сопоставляют ASN IP-адреса с базами данных, чтобы определить, принадлежит ли он известному VPN-провайдеру.
  • Если ASN связан с дата-центром или облачным провайдером, а не с резидентным интернет-провайдером (например, Comcast, Verizon), это повышает рисковый скор.
• Технические детали:
  • Запросы к базам данных (например, MaxMind) возвращают ASN и организацию:
    

    {
      "ip": "192.168.1.1",
      "asn": "AS16276",
      "organization": "OVH SAS",
      "type": "hosting"
    }

  • Антифрод-системы используют чёрные списки ASN, связанных с VPN.
• Влияние на кардинг:
  • Кардеры, использующие VPN с известными ASN (например, NordVPN — AS208877), автоматически помечаются как подозрительные.
  • Даже резидентные прокси (имитирующие домашние IP) могут быть связаны с ASN дата-центров, что выявляется системами.

c) Поведенческий анализ сетевой активности​

• Механизм:
  • Антифрод-системы анализируют паттерны сетевой активности, характерные для VPN:
    • Частая смена IP: Пользователь, переключающий IP-адреса между транзакциями, может указывать на использование VPN.
    • Несоответствие часового пояса: Часовой пояс устройства (определяемый через JavaScript) не совпадает с регионом IP.
    • Многократные попытки: Повторные транзакции с разных IP, но одного устройства (Device Fingerprinting).
• Как выявляют VPN:
  • Если пользователь использует IP из США, но часовой пояс устройства указывает на Азию, это флаг подозрительной активности.
  • Многократные попытки с IP, принадлежащими одному VPN-провайдеру, увеличивают рисковый скор.
• Технические детали:
  • JavaScript SDK (например, stripe.js) собирает данные о часовом поясе, языке браузера и других характеристиках.
  • Антифрод-системы сопоставляют эти данные с IP через API геолокации.
• Влияние на кардинг:
  • Кардеры, использующие VPN для маскировки, часто не могут подделать часовой пояс или другие параметры устройства, что приводит к блокировке транзакции.

d) Device Fingerprinting​

• Механизм:
  • Антифрод-системы собирают уникальные характеристики устройства (браузер, версия ОС, разрешение экрана, шрифты, плагины) через JavaScript SDK.
  • Эти данные создают "отпечаток" устройства, который сопоставляется с IP и историей транзакций.
• Как выявляют VPN:
  • Если устройство использует IP, связанный с VPN, но ранее было замечено с другим IP (например, реальным), это повышает риск.
  • Устройства, использующие VPN, часто имеют нестандартные конфигурации (например, отключённые плагины, минималистичные браузеры), что выделяет их.
• Технические детали:
  • Пример отпечатка устройства:
    

    {
      "device_id": "device_123456",
      "browser": "Chrome 120",
      "os": "Windows 10",
      "screen_resolution": "1920x1080",
      "timezone": "UTC+3",
      "ip": "104.28.12.45"
    }

  • Если IP помечен как VPN, а отпечаток устройства не соответствует истории владельца карты, транзакция помечается как подозрительная.
• Влияние на кардинг:
  • Кардеры, использующие VPN через виртуальные машины или Tor Browser, создают отпечатки, отличные от типичных пользовательских устройств, что легко выявляется.

e) Списки известных VPN и прокси​

• Механизм:
  • Антифрод-системы поддерживают обновляемые списки IP-адресов, связанных с популярными VPN-провайдерами (NordVPN, ExpressVPN, Surfshark) и анонимайзерами (Tor, I2P).
  • Эти списки получают от специализированных сервисов, таких как IPQualityScore, IPinfo или AbuseIPDB.
• Как выявляют VPN:
  • IP проверяется на принадлежность к известным VPN-провайдерам через API:
    

    {
      "ip": "104.28.12.45",
      "vpn": true,
      "provider": "NordVPN",
      "risk_score": 85
    }

  • IP, связанные с Tor (exit nodes), автоматически помечаются как высокорисковые.
• Влияние на кардинг:
  • Популярные VPN-сервисы легко обнаруживаются из-за широко известных диапазонов IP.
  • Tor exit nodes (около 1000–2000 IP) полностью заблокированы большинством антифрод-систем.

f) Анализ сетевых заголовков​

• Механизм:
  • Антифрод-системы анализируют HTTP-заголовки, передаваемые браузером, для выявления признаков VPN:
    • X-Forwarded-For: Может указывать на использование прокси.
    • Via: Указывает на прокси-серверы.
    • MTU/MSS: Размер пакетов TCP может отличаться для VPN.
• Как выявляют VPN:
  • Наличие заголовков, характерных для прокси (например, X-Forwarded-For: 192.168.1.1), указывает на использование VPN.
  • Аномалии в сетевых параметрах (например, низкая задержка для дата-центра) повышают подозрения.
• Влияние на кардинг:
  • Кардеры, использующие дешёвые или неправильно настроенные VPN, часто оставляют следы в заголовках, что приводит к блокировке.

g) Поведение и корреляция транзакций​

• Механизм:
  • Антифрод-системы анализируют историю транзакций, связанных с IP или устройством.
  • Если IP используется для множества карт или транзакций из разных регионов, это указывает на VPN.
• Как выявляют VPN:
  • Пример: IP 104.28.12.45 используется для транзакций с картами из США, России и Нигерии за короткий период — явный признак VPN.
  • Многократные отказы или chargebacks с одного IP добавляют его в чёрный список.
• Влияние на кардинг:
  • Кардеры, использующие один VPN для нескольких транзакций, быстро выявляются из-за паттернов активности.

3. Практические примеры​

• Сценарий 1: Популярный VPN:
  • Кардер использует NordVPN (IP 104.28.12.45, ASN AS208877) для покупки с Non-VBV бином.
  • Stripe Radar проверяет IP через MaxMind и обнаруживает, что он принадлежит VPN. Транзакция получает высокий рисковый скор (>80) и блокируется или требует 3DS.
• Сценарий 2: Резидентный прокси:
  • Кардер покупает резидентный прокси, имитирующий домашний IP (например, 192.168.1.1).
  • Radar сопоставляет ASN (например, OVH) и замечает несоответствие часового пояса (устройство в UTC+3, IP в UTC-5). Транзакция помечается как подозрительная.
• Сценарий 3: Tor:
  • Кардер использует Tor exit node (IP 185.220.101.10) для транзакции.
  • Антифрод-система немедленно блокирует IP, так как Tor exit nodes находятся в чёрных списках.
• Сценарий 4: Частая смена IP:
  • Кардер меняет IP через VPN для каждой транзакции, но использует одно устройство.
  • Device Fingerprinting выявляет одинаковый отпечаток устройства, а смена IP повышает рисковый скор, вызывая блокировку.

4. Ограничения методов выявления VPN​

• Резидентные прокси:
  • Некоторые провайдеры (например, Luminati, Oxylabs) предлагают резидентные IP, которые сложнее идентифицировать как VPN. Однако они дорогие, и антифрод-системы могут выявить их через поведенческий анализ или несоответствие ASN.
• Обновление баз данных:
  • Базы GeoIP могут отставать от новых VPN-сервисов, но крупные платформы (Stripe, Adyen) обновляют их ежедневно.
• Ложные срабатывания:
  • Легитимные пользователи, использующие VPN для конфиденциальности, могут быть помечены как подозрительные, что требует балансировки в настройке антифрод-систем.

5. Меры противодействия со стороны антифрод-систем​

• Ежедневное обновление баз: MaxMind и IPQualityScore регулярно добавляют новые IP VPN-провайдеров.
• Машинное обучение: Алгоритмы выявляют новые VPN через анализ паттернов (например, многократные транзакции с одного ASN).
• Интеграция с платёжными системами: Данные от Visa (TC40), MasterCard (SAFE reports) помогают идентифицировать IP, связанные с мошенничеством.
• Поведенческий анализ: Даже если VPN маскирует IP, неестественное поведение (боты, отсутствие навигации) вызывает подозрения.

6. Заключение​

Выявление VPN значительно усложняет кардинг, особенно с использованием Non-VBV, Auto-VBV и Non-MCSC бинов. Антифрод-системы выявляют VPN через анализ IP (GeoIP, ASN), Device Fingerprinting, поведенческий анализ, сетевые заголовки и корреляцию транзакций. Эти методы делают использование VPN в кардинге крайне рискованным, так как популярные VPN (NordVPN, ExpressVPN) легко обнаруживаются, а резидентные прокси требуют значительных затрат и не гарантируют успеха из-за дополнительных проверок (поведение, устройство). В Европе PSD2 усиливает защиту через обязательный 3DS, а вне ЕЭЗ антифрод-системы, такие как Stripe Radar, блокируют подозрительные транзакции с VPN. Это значительно увеличивает затраты и риски для кардеров, снижая прибыльность мошенничества.

Если вы хотите углубиться в конкретный аспект, например, как работают базы GeoIP или как настроить кастомные правила для блокировки VPN в Stripe Radar, дайте знать!