Как кардеры пытаются обойти Device Fingerprinting?

[Mutt]

Для образовательных целей я предоставлю более подробное объяснение того, как антифрод-системы собирают отпечатки устройств (Device Fingerprinting), как кардеры пытаются их обойти, и почему эти попытки часто выявляются через аномалии. Я сосредоточусь на технических аспектах, методах кардеров и механизмах защиты, сохраняя при этом акцент на контексте кардинга (мошенничества с банковскими картами). Важно отметить, что эта информация предназначена исключительно для понимания механизмов защиты.

1. Как антифрод-системы собирают отпечатки устройств​

Device Fingerprinting — это процесс создания уникального идентификатора устройства или браузера на основе множества параметров, которые собираются как пассивно (без взаимодействия с пользователем), так и активно (через JavaScript, API и другие технологии). Антифрод-системы, используемые банками, платежными системами и интернет-магазинами, собирают данные для идентификации пользователей и выявления подозрительной активности. Вот подробный разбор, какие данные собираются и как:

1.1. Браузерные характеристики​

• User-Agent: Строка, отправляемая браузером в HTTP-заголовках, содержит информацию о типе браузера (Chrome, Firefox, Safari), его версии, операционной системе (Windows, macOS, Linux, Android) и иногда о типе устройства (мобильное, настольное). Например: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.81 Safari/537.36.
• Языковые настройки: Язык браузера (например, en-US, ru-RU) и региональные настройки (формат даты, времени, чисел), доступные через JavaScript (navigator.language или navigator.languages).
• Разрешение экрана и окна: Размер экрана (screen.width, screen.height), глубина цвета (screen.colorDepth), размер окна браузера (window.innerWidth, window.innerHeight). Эти параметры зависят от устройства и его настроек.
• Плагины и расширения: Через navigator.plugins антифрод-системы могут получить список установленных плагинов (например, Adobe Flash, Java). Отсутствие плагинов или их необычная комбинация также учитывается.
• Шрифты: Список шрифтов, доступных в системе, собирается через JavaScript (например, API FontFaceSet или проверка рендеринга текста). Разные ОС и устройства имеют уникальные наборы шрифтов, что делает этот параметр важным для идентификации.
• Canvas Fingerprinting: Антифрод-системы используют HTML5 <canvas> для рендеринга изображений или текста, которые зависят от видеокарты, драйверов и ОС. Даже небольшие различия в рендеринге создают уникальный хэш. Например, тест может включать рисование сложной фигуры с градиентами и текстом.
• WebGL Fingerprinting: Аналогично canvas, API WebGL используется для рендеринга 3D-графики. Результат зависит от видеокарты, драйверов и их настроек, что делает отпечаток уникальным.
• AudioContext Fingerprinting: API AudioContext генерирует уникальный отпечаток на основе обработки звука (например, генерация синусоидального сигнала), зависящей от аудиодрайверов и оборудования.
• HTTP-заголовки: Порядок и значения заголовков (например, Accept, Accept-Encoding, Accept-Language) могут отличаться в зависимости от браузера и его настроек.

1.2. Аппаратные характеристики​

• Операционная система: Определяется через User-Agent или специфические API, такие как navigator.platform.
• Аппаратное обеспечение: Производительность процессора, объем оперативной памяти и другие параметры могут быть оценены через JavaScript-бенчмарки (например, выполнение вычислений или рендеринга). Некоторые системы используют API, такие как navigator.hardwareConcurrency, для определения числа ядер процессора.
• Сетевые параметры: IP-адрес, геолокация (по базам данных GeoIP), тип соединения (Wi-Fi, мобильный интернет, проводное соединение), провайдер. Также анализируется задержка сети (latency) через серверные запросы.
• Батарея (реже): Если доступно через Battery API, антифрод-системы могут собирать данные об уровне заряда батареи или времени работы устройства.

1.3. Поведенческие данные​

• Паттерны ввода: Скорость набора текста, интервалы между нажатиями клавиш, движения мыши (траектория, скорость, ускорение), прокрутка страниц. Эти данные собираются через JavaScript-события (mousemove, keydown, scroll).
• Паттерны навигации: Последовательность переходов по страницам, время, проведенное на сайте, взаимодействие с формами (например, заполнение полей, клики по кнопкам).
• История активности: Антифрод-системы могут анализировать, как часто устройство взаимодействует с сайтом, какие страницы посещаются, и сравнивать это с типичным поведением.

1.4. Дополнительные параметры​

• Куки и локальное хранилище: Уникальные идентификаторы, сохраненные в браузере через cookies, localStorage или sessionStorage.
• Часовой пояс и время: Сравниваются с геолокацией по IP для выявления несоответствий.
• TLS Fingerprinting: Анализ параметров TLS-соединения (например, версия протокола, набор шифров), которые зависят от браузера и ОС.

1.5. Как данные объединяются​

Антифрод-системы, такие как ThreatMetrix, Forter или Sift, создают уникальный хэш или идентификатор на основе комбинации всех этих параметров. Например, даже если два устройства используют одинаковый браузер и ОС, различия в шрифтах, canvas fingerprint, поведении или геолокации делают их отпечатки уникальными. Эти данные хранятся в базах данных и сравниваются при каждом входе пользователя, чтобы выявить изменения или подозрительные активности.

2. Как кардеры пытаются обойти Device Fingerprinting​

Кардеры, занимающиеся мошенничеством с банковскими картами, стремятся либо полностью скрыть свой отпечаток, либо подделать его так, чтобы он выглядел как отпечаток легитимного пользователя (например, владельца карты). Вот подробный обзор их методов:

2.1. Использование виртуальных машин (VM)​

• Метод: Кардеры создают виртуальные машины (например, VirtualBox, VMware, QEMU) с "чистой" операционной системой (обычно Windows или Linux), чтобы эмулировать новое устройство без истории. После каждой мошеннической операции виртуальная машина может быть сброшена или удалена.
• Пример: Использование образа Windows 10 с предустановленным браузером и минимальными настройками, чтобы минимизировать уникальные параметры.
• Цель: Избежать накопления истории (куки, кэш) и создать видимость нового устройства.

2.2. Манипуляция User-Agent​

• Метод: Кардеры изменяют строку User-Agent через расширения браузера (например, User-Agent Switcher), настройки разработчика или специализированные инструменты. Они выбирают популярные комбинации, такие как Chrome на Windows 10, чтобы не выделяться.
• Пример: Подмена User-Agent на Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.81 Safari/537.36.
• Цель: Имитация популярного устройства и браузера, чтобы соответствовать профилю типичного пользователя.

2.3. Сети анонимизации (Tor, VPN, прокси)​

• Метод:
  • Tor: Используется для маскировки IP-адреса и маршрутизации трафика через несколько узлов, что затрудняет определение реального местоположения.
  • VPN: Кардеры выбирают VPN-серверы в той же стране, что и владелец карты, чтобы геолокация соответствовала данным карты.
  • Прокси: Ротация резидентских прокси (IP-адреса, принадлежащие реальным устройствам, а не дата-центрам) для имитации разных пользователей.
• Пример: Использование VPN с сервером в Нью-Йорке для карты, зарегистрированной в США.
• Цель: Скрыть реальный IP-адрес и геолокацию, чтобы избежать выявления по несоответствию местоположения.

2.4. Антидетект-браузеры​

• Метод: Использование специализированных браузеров, таких как Multilogin, Kameleo, Antidetect, которые позволяют подделывать множество параметров устройства:
  • Подмена canvas fingerprint, WebGL, шрифтов, User-Agent, разрешения экрана.
  • Эмуляция различных операционных систем, устройств и геолокаций.
  • Создание уникального профиля для каждой сессии, чтобы избежать связи между транзакциями.
• Пример: Настройка профиля, имитирующего iPhone 13 с iOS 15 и Safari, с определенным набором шрифтов и геолокацией.
• Цель: Создать правдоподобный отпечаток устройства, который не вызывает подозрений.

2.5. Модификация окружения​

• Метод:
  • Отключение JavaScript или блокировка определенных API (Canvas, WebGL, AudioContext) через расширения, такие как uBlock Origin или NoScript.
  • Изменение системных шрифтов, часового пояса, языка системы или других параметров вручную или с помощью скриптов.
  • Использование "чистых" браузеров без истории, кук и кэша.
• Пример: Установка часового пояса, соответствующего стране карты, и удаление всех шрифтов, кроме стандартных для Windows.
• Цель: Минимизировать количество собираемых данных или подделать их так, чтобы они выглядели естественно.

2.6. Эмуляция поведения​

• Метод: Использование автоматизированных инструментов (ботов) для имитации поведения реального пользователя:
  • Генерация естественных движений мыши (случайные траектории, паузы).
  • Имитация прокрутки страниц, заполнения форм, кликов по кнопкам.
  • Задержки между действиями, чтобы действия выглядели "человеческими".
• Пример: Использование Selenium или Puppeteer для автоматизации действий в браузере с заранее заданными сценариями.
• Цель: Обойти поведенческий анализ, который проверяет паттерны взаимодействия с сайтом.

2.7. Использование реальных устройств​

• Метод: Кардеры могут использовать украденные или арендованные устройства (например, через даркнет) для проведения транзакций. Это позволяет создать полностью правдоподобный отпечаток, так как используется реальное оборудование.
• Пример: Покупка доступа к удаленному рабочему столу (RDP) на устройстве, зарегистрированном в нужной стране.
• Цель: Избежать подозрений, связанных с виртуальными машинами или поддельными отпечатками.

2.8. Ротация профилей​

• Метод: Кардеры создают множество профилей (комбинаций устройств, IP-адресов, браузеров) и используют их по очереди, чтобы избежать связи между транзакциями.
• Пример: Проведение одной транзакции с профилем, имитирующим MacBook с macOS, а следующей — с профилем Android-устройства.
• Цель: Затруднить отслеживание и связывание мошеннических операций.

3. Почему попытки подделки выявляются через аномалии​

Антифрод-системы используют сложные алгоритмы, включая машинное обучение, для анализа отпечатков устройств и выявления аномалий. Даже если кардеры используют продвинутые методы подделки, их действия часто обнаруживаются по следующим причинам:

3.1. Несоответствия в параметрах​

• Геолокация и часовой пояс: Если IP-адрес указывает на США, а часовой пояс настроен на Москву, это вызывает подозрения. Антифрод-системы сравнивают геолокацию (по GeoIP) с настройками устройства.
• User-Agent и другие параметры: Поддельный User-Agent может не соответствовать другим характеристикам. Например, если User-Agent указывает на Windows, но шрифты или canvas fingerprint характерны для Linux, это аномалия.
• Canvas/WebGL несоответствия: Подделка canvas fingerprint сложна, так как рендеринг зависит от комбинации видеокарты, драйверов и ОС. Антидетект-браузеры могут генерировать "правдоподобные" отпечатки, но они часто не совпадают с реальными устройствами в базе данных антифрод-систем.
• TLS Fingerprinting: Параметры TLS-соединения (например, порядок шифров) уникальны для каждого браузера и ОС. Поддельные профили могут использовать нестандартные комбинации, которые выделяются.

3.2. Отсутствие или избыточность данных​

• Отключение JavaScript: Если JavaScript отключен или API (Canvas, WebGL) заблокированы, это подозрительно, так как обычные пользователи редко используют такие настройки.
• "Чистое" устройство: Устройства без кук, кэша или истории выглядят как новые, что нетипично для легитимных пользователей, которые обычно имеют накопленные данные.
• Одинаковые отпечатки: Если несколько транзакций используют идентичные отпечатки (например, из-за массового использования одного профиля в антидетект-браузере), это вызывает тревогу.

3.3. Аномалии в поведении​

• Неестественные паттерны: Боты, используемые для эмуляции поведения, могут иметь слишком линейные траектории мыши, отсутствие пауз или нереалистичную скорость ввода текста.
• Частая смена профилей: Если одно устройство или аккаунт использует разные IP-адреса, браузеры или конфигурации в короткий промежуток времени, это указывает на мошенничество.
• Транзакционные паттерны: Кардеры часто проводят транзакции с высокой скоростью или в необычных объемах (например, покупка дорогих товаров сразу после регистрации), что не соответствует поведению обычных пользователей.

3.4. Характеристики виртуальных машин​

• Ограниченные параметры: Виртуальные машины часто имеют стандартные настройки (например, фиксированное разрешение экрана, отсутствие батареи, ограниченный набор шрифтов), которые отличаются от реальных устройств.
• Драйверы и производительность: Виртуальные машины могут выдавать себя через низкую производительность (например, в JavaScript-бенчмарках) или специфические драйверы (например, VirtualBox Graphics Adapter).
• Отсутствие разнообразия: Если несколько транзакций используют одинаковые параметры виртуальной машины, это становится очевидным для антифрод-систем.

3.5. Tor и прокси​

• Известные IP-адреса: Антифрод-системы имеют базы данных IP-адресов, связанных с Tor, VPN или прокси-серверами. Использование таких IP сразу помечает транзакцию как подозрительную.
• Дата-центры vs резидентские IP: Прокси из дата-центров (а не от реальных провайдеров) легко выявляются, так как их IP-адреса отличаются от типичных пользовательских.
• Частая ротация IP: Слишком частая смена IP-адресов в рамках одной сессии или аккаунта вызывает тревогу.

3.6. Сравнение с историческими данными​

• Изменение отпечатка: Антифрод-системы хранят историю отпечатков для каждого пользователя. Если устройство внезапно меняет параметры (например, смена ОС, браузера или canvas fingerprint), это считается аномалией.
• Связь транзакций: Если один отпечаток устройства используется для множества аккаунтов или транзакций, это указывает на мошенничество.

3.7. Машинное обучение и поведенческий анализ​

• Обучение на больших данных: Антифрод-системы используют алгоритмы машинного обучения для анализа миллионов отпечатков и выявления паттернов, характерных для мошенников. Например, они могут обнаружить, что определенные комбинации параметров (например, редкие шрифты + Tor) встречаются только у кардеров.
• Аномалии в профиле: Даже если отпечаток выглядит правдоподобным, машинное обучение может выявить несоответствия, основываясь на статистических моделях "нормального" поведения.
• Риск-скоринг: Антифрод-системы присваивают каждой транзакции балл риска, основанный на совокупности факторов (отпечаток, поведение, геолокация). Высокий балл приводит к дополнительным проверкам (например, 3D-Secure или запрос дополнительной аутентификации).

4. Почему полная подделка практически невозможна​

Полная подделка Device Fingerprinting чрезвычайно сложна по следующим причинам:

1. Сложность комбинаций:
   • Отпечаток состоит из десятков или сотен параметров, и подделка каждого из них требует глубоких технических знаний. Например, подделка canvas fingerprint требует эмуляции не только браузера, но и видеокарты, драйверов и ОС.
   • Даже небольшие несоответствия (например, редкий порядок HTTP-заголовков) могут выдать подделку.
2. Динамическая адаптация антифрод-систем:
   • Антифрод-системы постоянно обновляют методы сбора данных и алгоритмы анализа. Например, они могут внедрять новые API или тесты (например, проверку сенсорных событий для мобильных устройств), которые кардеры не успевают подделать.
   • Использование машинного обучения позволяет системам адаптироваться к новым методам обхода.
3. Контекстный анализ:
   • Даже если отпечаток выглядит правдоподобным, антифрод-системы анализируют контекст транзакции. Например, покупка дорогого товара с нового устройства в стране, отличной от страны карты, вызывает подозрения.
   • История транзакций (например, попытки многократных покупок с разными картами) может выдать кардера, даже если отпечаток подделан.
4. Ресурсы и затраты:
   • Подделка отпечатка требует значительных ресурсов: покупки резидентских прокси, настройки антидетект-браузеров, использования реальных устройств или сложных виртуальных окружений.
   • Для массового кардинга (например, проверки тысяч карт) такие методы становятся экономически неэффективными.
5. Многоуровневая защита:
   • Антифрод-системы комбинируют Device Fingerprinting с другими методами защиты, такими как 3D-Secure, анализ транзакций, биометрия (например, распознавание лиц) и проверка данных карты. Это создает дополнительные барьеры для кардеров.

5. Примеры реальных сценариев​

1. Сценарий 1: Использование Tor:
   • Кардер использует Tor для маскировки IP и антидетект-браузер для подделки canvas fingerprint. Однако антифрод-система замечает, что IP принадлежит известному Tor-узлу, а canvas fingerprint не совпадает с типичным для заявленной ОС (например, Windows). Транзакция отклоняется.
2. Сценарий 2: Виртуальная машина:
   • Кардер проводит транзакцию с виртуальной машины, настроенной как Windows 10 с Chrome. Антифрод-система обнаруживает отсутствие батареи, низкую производительность и стандартный набор шрифтов, характерный для VirtualBox. Транзакция помечается как подозрительная.
3. Сценарий 3: Ротация IP:
   • Кардер использует резидентские прокси для ротации IP-адресов, чтобы создать видимость разных устройств. Однако антифрод-система замечает, что все IP принадлежат одному провайдеру или используются в течение короткого времени, что не соответствует нормальному поведению.
4. Сценарий 4: Поведенческие аномалии:
   • Кардер использует бот для заполнения формы оплаты. Антифрод-система фиксирует, что движения мыши слишком линейные, а время заполнения формы нереально короткое. Это приводит к дополнительной проверке (например, запросу кода 3D-Secure).

6. Заключение​

Антифрод-системы собирают отпечатки устройств через сложные комбинации браузерных, аппаратных и поведенческих данных, создавая уникальные идентификаторы, которые трудно подделать. Кардеры используют виртуальные машины, антидетект-браузеры, Tor, VPN, прокси и другие методы для обхода Device Fingerprinting, но эти попытки часто выявляются из-за несоответствий в параметрах, аномалий в поведении и анализа больших данных. Машинное обучение и многоуровневая защита делают полную подделку отпечатков практически невозможной, особенно в массовом масштабе. Для образовательных целей важно понимать, что антифрод-системы постоянно совершенствуются, а кардинг остается высокорисковой и незаконной деятельностью, которая влечет серьезные последствия.

 

[kano1]

всё в точку! Спасибо! Знал эту информацию, решил проверить)