Как работают базы GeoIP

[Mutt]

Базы GeoIP — это специализированные базы данных, которые сопоставляют IP-адреса с географической и сетевой информацией, такой как страна, регион, город, интернет-провайдер, тип подключения (например, резидентный, дата-центр, VPN) и координаты (широта/долгота). Они широко используются антифрод-системами (например, Stripe Radar, Adyen RevenueProtect) для выявления мошенничества, включая кардинг с использованием Non-VBV, Auto-VBV или Non-MCSC бинов, путём анализа соответствия IP-адреса региону карты или выявления подозрительных сетей, таких как VPN или Tor. В образовательных целях я подробно опишу, как работают базы GeoIP, их структура, процесс обновления, методы использования и влияние на предотвращение кардинга, а также ограничения.

1. Что такое базы GeoIP и их назначение​

GeoIP (Geolocation by IP) — это технология, которая позволяет определить географическое местоположение и характеристики устройства по его IP-адресу. Основные провайдеры баз GeoIP включают MaxMind (GeoLite, GeoIP2), IP2Location, IPinfo, Neustar и Digital Element. Эти базы используются для:

• Антифрод-анализа: Выявление несоответствий между IP-адресом и регионом карты (например, американская карта с IP из России).
• Обнаружения VPN/прокси: Идентификация IP, связанных с VPN, Tor или дата-центрами.
• Персонализации: Адаптация контента (например, язык сайта) в зависимости от региона.
• Безопасности: Блокировка IP из регионов с высоким уровнем мошенничества.

В контексте кардинга: GeoIP помогает антифрод-системам выявлять подозрительные транзакции, когда кардер использует VPN или IP из несоответствующего региона, что особенно важно для защиты от использования украденных данных карт.

2. Как работают базы GeoIP​

Базы GeoIP собирают, обрабатывают и предоставляют данные об IP-адресах, используя сложные процессы сбора информации и алгоритмы. Вот основные этапы их работы:

a) Сбор данных​

• Источники данных:
  • Регистраторы IP: Региональные интернет-регистраторы (RIR), такие как ARIN, RIPE NCC, APNIC, предоставляют информацию о распределении IP-адресов и их владельцах (провайдерах, дата-центрах).
  • Интернет-провайдеры (ISP): Предоставляют данные о географическом распределении своих IP.
  • Сетевые сканеры: Сбор данных о сетевой активности, включая геолокацию серверов и устройств.
  • Партнёрства: GeoIP-провайдеры сотрудничают с CDN (например, Cloudflare), VPN-провайдерами и антифрод-системами для получения информации о типах IP (VPN, прокси).
  • Краудсорсинг: Пользовательские данные (например, GPS с мобильных устройств) помогают уточнить геолокацию.
• Пример: MaxMind собирает данные от RIPE NCC о диапазоне IP 104.28.0.0/16, определяя, что он принадлежит Cloudflare (США) и часто используется для VPN.

b) Структура базы данных​

• Формат:
  • Базы GeoIP хранятся в виде таблиц или файлов (например, CSV, MMDB для MaxMind), где каждый диапазон IP сопоставлен с метаданными.
  • Пример записи в базе GeoIP2 (MaxMind):
    

    {
      "ip_range": "104.28.12.0/24",
      "country_code": "US",
      "region": "California",
      "city": "San Francisco",
      "latitude": 37.7749,
      "longitude": -122.4194,
      "isp": "Cloudflare, Inc.",
      "asn": "AS13335",
      "connection_type": "datacenter",
      "proxy_type": "VPN"
    }

• Ключевые поля:
  • Диапазон IP: Блок адресов (например, 104.28.12.0–104.28.12.255).
  • Геолокация: Страна, регион, город, координаты.
  • Сетевые данные: ASN (Autonomous System Number), провайдер, тип подключения (резидентный, дата-центр, VPN, Tor).
  • Рисковые метки: Индикаторы, указывающие на VPN, прокси или анонимайзеры.
• Формат хранения:
  • Бинарный формат (MMDB) для быстрого поиска.
  • Размер базы: от десятков МБ (GeoLite2) до сотен МБ (GeoIP2 Precision).

c) Процесс поиска​

• Механизм:
  • Антифрод-система отправляет запрос с IP-адресом (например, 104.28.12.45) в базу GeoIP через API или локальную копию базы.
  • База использует алгоритмы поиска (например, бинарное дерево или хэш-таблицы) для сопоставления IP с диапазоном и возврата метаданных.
• Пример API-запроса (MaxMind GeoIP2):
  

  GET https://geoip.maxmind.com/geoip/v2.1/city/104.28.12.45
  Authorization: Basic <license_key>

  
  Ответ:
  

  {
    "ip_address": "104.28.12.45",
    "country": {
      "iso_code": "US",
      "name": "United States"
    },
    "city": {
      "name": "San Francisco"
    },
    "location": {
      "latitude": 37.7749,
      "longitude": -122.4194
    },
    "network": {
      "asn": "AS13335",
      "organization": "Cloudflare, Inc.",
      "proxy_type": "VPN"
    }
  }

• Скорость: Поиск занимает <1 мс благодаря оптимизированным структурам данных (например, MMDB).

d) Обновление баз​

• Частота обновления:
  • Базы обновляются ежедневно или еженедельно, чтобы учитывать новые диапазоны IP, изменения провайдеров и появление новых VPN.
  • MaxMind, например, публикует обновления GeoLite2 еженедельно, а GeoIP2 Precision — ежедневно.
• Процесс:
  • Сбор новых данных от RIR, ISP и партнёров.
  • Анализ активности VPN-провайдеров (например, NordVPN, ExpressVPN) для добавления их IP в списки.
  • Исправление ошибок геолокации на основе обратной связи от пользователей.
• Пример: Новый диапазон IP NordVPN (например, 172.67.0.0/16) добавляется в базу как VPN после его регистрации в RIPE NCC.

e) Интеграция с антифрод-системами​

• Механизм:
  • Антифрод-системы (Stripe Radar, Sift) интегрируют базы GeoIP через API или локальные копии для анализа транзакций в реальном времени.
  • Пример: Stripe Radar запрашивает данные об IP клиента при создании Payment Intent и использует их для расчёта рискового скора.
• Применение:
  • Проверка соответствия IP региону карты.
  • Выявление VPN, прокси или Tor.
  • Блокировка транзакций из регионов с высоким уровнем мошенничества (например, Нигерия, Россия).
• Технические детали:
  • API-интеграция: GET /geoip/104.28.12.45 возвращает данные для анализа.
  • Локальная база: Антифрод-система загружает MMDB-файл и выполняет поиск на сервере для ускорения.

3. Как базы GeoIP помогают в антифрод-анализе​

Базы GeoIP играют ключевую роль в предотвращении кардинга, особенно при использовании VPN или несоответствующих IP:

a) Проверка географического соответствия​

• Механизм:
  • Антифрод-система сравнивает страну/регион IP (из GeoIP) с регионом карты (на основе BIN — первых 6 цифр карты).
  • Пример: Карта с BIN 479126 (ESL F.C.U., США) и IP из России (GeoIP: country_code=RU) вызывает высокий рисковый скор.
• Влияние на кардинг:
  • Кардеры, использующие Non-VBV или Auto-VBV бины, часто применяют VPN для имитации региона карты. GeoIP выявляет VPN (например, IP Cloudflare) и повышает риск.

b) Выявление VPN и прокси​

• Механизм:
  • GeoIP помечает IP как VPN, если они принадлежат дата-центрам или известным провайдерам (NordVPN, ExpressVPN).
  • Пример: IP 104.28.12.45 (Cloudflare, ASN AS13335) помечен как VPN, что инициирует 3DS или блокировку.
• Влияние на кардинг:
  • Кардеры, использующие популярные VPN, легко обнаруживаются, так как их IP находятся в базах GeoIP.
  • Даже резидентные прокси (имитирующие домашние IP) могут быть помечены как подозрительные, если их ASN связан с прокси-провайдерами (например, Luminati).

c) Обнаружение Tor и анонимайзеров​

• Механизм:
  • GeoIP содержит списки Tor exit nodes (около 1000–2000 IP), которые обновляются ежедневно.
  • Пример: IP 185.220.101.10 (Tor exit node) автоматически блокируется антифрод-системами.
• Влияние на кардинг:
  • Кардеры, использующие Tor для анонимизации, сразу выявляются, так как Tor exit nodes находятся в чёрных списках.

d) Анализ рисковых регионов​

• Механизм:
  • GeoIP позволяет антифрод-системам помечать IP из регионов с высоким уровнем мошенничества (например, Нигерия, Индонезия).
  • Пример: Транзакция с IP из Нигерии (country_code=NG) получает высокий рисковый скор, даже если карта из США.
• Влияние на кардинг:
  • Кардеры из регионов с высоким риском блокируются, даже если используют VPN, так как антифрод-системы анализируют дополнительные сигналы (устройство, поведение).

e) Поведенческий анализ с GeoIP​

• Механизм:
  • GeoIP данные комбинируются с поведенческим анализом (например, смена IP, часовой пояс).
  • Пример: IP из США, но часовой пояс UTC+3 (Россия) указывает на VPN.
• Влияние на кардинг:
  • Кардеры не могут идеально подделать все параметры (IP, часовой пояс, устройство), что приводит к выявлению.

4. Практические примеры в контексте кардинга​

• Сценарий 1: Non-VBV бин с VPN:
  • Кардер использует Non-VBV бин (479126, ESL F.C.U.) и NordVPN (IP 104.28.12.45).
  • Stripe Radar запрашивает GeoIP2: IP помечен как VPN (Cloudflare, ASN AS13335). Транзакция блокируется или требует 3DS.
  • Результат: Кардер не может обойти 3DS без OTP.
• Сценарий 2: Auto-VBV бин с резидентным прокси:
  • Кардер использует Auto-VBV бин (440393, Bank of America) и резидентный прокси (IP 192.168.1.1).
  • GeoIP2 показывает, что IP принадлежит ASN Luminati (прокси-провайдер). Radar инициирует 3DS, требуя OTP.
  • Результат: Транзакция отклоняется из-за отсутствия OTP.
• Сценарий 3: Tor для card testing:
  • Кардер тестирует Non-MCSC бин (523236, Santander) через Tor (IP 185.220.101.10).
  • GeoIP помечает IP как Tor exit node. Radar блокирует транзакцию после первой попытки.
  • Результат: Карта добавляется в чёрный список.
• Сценарий 4: Несоответствие региона:
  • Кардер использует карту из США (BIN 455620) с IP из Нигерии.
  • GeoIP2 возвращает country_code=NG, что повышает рисковый скор. Транзакция блокируется.
  • Результат: Даже без VPN несоответствие региона выявляется.

5. Ограничения баз GeoIP​

• Точность геолокации:
  • На уровне страны точность >95%, но на уровне города может быть ниже (70–80%) из-за динамического распределения IP.
  • Пример: IP может быть помечен как Сан-Франциско, хотя пользователь в Лос-Анджелесе.
• Обновления:
  • Новые VPN или прокси могут отсутствовать в базе до следующего обновления (1–7 дней).
  • Резидентные прокси сложнее идентифицировать, так как они имитируют домашние IP.
• Ложные срабатывания:
  • Легитимные пользователи, использующие VPN для конфиденциальности, могут быть помечены как подозрительные.
  • Антифрод-системы должны балансировать, чтобы не блокировать таких пользователей.
• Динамические IP:
  • Мобильные операторы часто меняют IP, что усложняет точное определение региона.

6. Как антифрод-системы усиливают GeoIP​

• Комбинация с Device Fingerprinting:
  • GeoIP данные дополняются отпечатком устройства (браузер, ОС, шрифты), что повышает точность выявления VPN.
  • Пример: IP из США, но устройство с русским языком и UTC+3 вызывает подозрения.
• Поведенческий анализ:
  • GeoIP сочетается с анализом поведения (скорость ввода, навигация), чтобы выявить ботов или неестественные действия.
• Машинное обучение:
  • Алгоритмы (например, в Stripe Radar) обучаются на исторических данных, чтобы выявлять новые VPN, не включённые в базы GeoIP.
• Чёрные списки:
  • IP, связанные с мошенничеством (по данным Visa TC40, MasterCard SAFE), добавляются в чёрные списки, усиливая GeoIP.

7. Заключение​

Базы GeoIP работают, сопоставляя IP-адреса с географической и сетевой информацией (страна, город, ASN, тип подключения) через сбор данных от RIR, ISP и партнёров. Они используют оптимизированные форматы (MMDB) и API для быстрого поиска (<1 мс), интегрируясь с антифрод-системами, такими как Stripe Radar, для выявления VPN, Tor и несоответствий региона. В контексте кардинга GeoIP делает использование Non-VBV, Auto-VBV и Non-MCSC бинов сложным, так как выявляет подозрительные IP (VPN, дата-центры) и инициирует 3DS или блокировку. Несмотря на ограничения (неточность на уровне города, резидентные прокси), комбинация с Device Fingerprinting, поведенческим анализом и чёрными списками делает GeoIP мощным инструментом против мошенничества.

Если вы хотите углубиться в конкретный аспект, например, как создавать кастомные правила в Stripe Radar на основе GeoIP или как работают резидентные прокси, дайте знать!