Разбор AntiFraud системы компании SEON

[Carding 4 Carders]

Всем доброго времени суток!

Cегодня проанализируем АФ-систему от компании SEON, посмотрим как она работает, что проверяет, на что реагирует.

Немного о компании
SEON это небольшая отдельная АФ система, она не встроена в мерч и может быстро подключаться к любой сфере IT бизнеса, будь то коммерция, банкинг, онлайн игры или путешествия. Компания работает с двумя продуктами - Sense platform и Intelligence tool.
Sense platform это основная система распознавания мошенничества, она может использоваться целиком, а может подключаться модулями.
Intelligence tool - модуль, который за считанные секунды способен набросать fraud-score за использование левого телефона, плохой почты или палёного IP.
Стоить отметить, что так как эта АФ система модульная - она может устанавливаться поверх уже существующих АФ-систем, которые обычно идут в комплекте с мерчем.

Панель


Как SEON работает с отпечатками
В SEON используется расширенная система распознавания отпечатков, она включает в себя:

• Системные шрифты.
• Проверка наличия "cookie".
• Язык.
• Платформа.
• Раскладка клавиатуры.
• Наличие датчиков - датчик приближения и гироскоп.
• Проверка локальных хранилищ.
• Параметры navigator.
• Заголовки HTTP.
• Используемые расширения.
• Аудио контекстный анализ.
• Класс CPU.
• Отпечатки canvas HTML5 (глядя на размер холста).
• Параметры WebGl.
• И многое другое…

(т.е фактически весь возможный набор отпечатков)

АФ системы знают, что мошенники тоже развиваются
Компания понимает, что опытные мошенники не работают единоразово, они будут пытаться ровно до того момента, пока не начнут сыпаться деклайны, и поскольку это долгий и повторяющийся процесс, то гораздо проще это все предотвратить с помощью уникализации каждого пользователя. Именно определение уникальной конфигурации может помочь определить мошенника, особенно если одна из неудачных попыток поместит его в черный список. После попадания в черный список мошеннику остается:

• Использовать другое устройство и веб-браузер
• Использовать виртуальную машину, предназначенную для подделки их настроек конфигурации
• Использовать антидетект браузеры - AntiDetect, FraudFox, MultiLogin и т.д.
• Использовать эмуляторы, которые подделывают мобильные устройства

Но и здесь игра в кошки-мышки продолжается: SEON имеет возможность обнаруживать применение виртуализации, использование эмуляторов, применение спуфинга. Так что при не правильном использовании виртуалок или эмуляторов, или кривой настройке антидетект\portable браузеров - положение не улучшится, штрафные метки всё равно будут получены.

Если понять, какие конфигурации браузера и аппаратного обеспечения уникальны, тогда легко создать уникальный идентификатор для каждого пользователя. Однако SEON не просто создаёт идентификаторы, на основе машинного обучения они делают их статичными, т.е. не восприимчивыми к некоторым изменениям.

Для этого SEON формирует три набора данных:

Хэш браузера
Это идентификатор, основанный на различных данных браузера, таких как User Agent, операционная система, параметры окна браузера, параметры экрана, настройки шрифтов и все остальные отпечатки, которые можно снять и сопоставить с данным браузером.

Хэш cookie
Идентификатор, основанный на файлах "cookie".

Хеш устройства
Идентификатор основан на данных об оборудовании, таких как canvas, графический процессор (WebGL), audiofingerprint, поддержка сенсорного ввода и многое другое.

Примечание от компании SEON: инструменты спуфинга, такие как AntiDetect или FraudFox, генерируют тот же хеш, что и виртуальные машины, эмуляторы или удаленные рабочие столы. Расширения, используемые для подмены устройства, также генерируют уникальный идентификатор, что увеличивает подозрительность.

Примечание от меня: Я уже писал о Red Pill, который быстро определяет виртуальную машину. Так же есть методы просмотра данных о подключенных расширениях, возможность рассчитать "шум" отпечатка canvas и определить используется ли расширение, просмотры портов и ещё множество способов "отделить мух от котлет", на примере SEON мы в этом ещё раз убеждаемся.

Дополнительные этапы скоринга
Помимо модуля отпечатков пальцев, у SEON есть ещё пучок гадких дополнений, среди них:

• Поиск в социальных сетях.
• Обратный поиск по телефону / электронной почте.
• Анализ IP.
• Машинное обучение.

Обратный поиск по номеру телефона
Вот Вам пучок информации, который АФ-система может вытащить из номера телефона:

• Срок действия: посмотреть, является ли номер телефона реальным или нет
• Данные о стране, регионе держателя номера.
• Тип устройства: мобильный или стационарный
• Информация о социальных сетях / мессенджерах: какие учетные записи социальных сетей связаны с номером.

Выглядит это так



Обратный поиск по электронной почте
Это инструмент, который позволяет АФ получать личную информацию о человеке на основе его адреса электронной почты. Поиск в общедоступных базах данных и социальных сетях позволяет получить имя, фамилию, учетные записи в социальных сетях и многое другое.



Как АФ анализирует адрес электронной почты

• Проверяет тип почтового домена

Почтовые домены делятся на категории. Уровень домена определяется тем, насколько сложно завести там аккаунт. Например, mail.com старая проверенная площадка, но создать аккаунт там очень просто, поэтому уровень доверия к почтам на этом домене будет низкий.

• Осуществляет поиск в социальных сетях

Один из самых эффективных способов проверить действительность адреса электронной почты - проверить, использовался ли он для регистрации в социальных сетях. Этот процесс, также известный как профилирование в социальных сетях, будет проверять, используется ли адрес кем-то популярных соц. сетях.

• Проверяет адрес на предмет взлома

Сверка адреса электронной с базами взломанных адресов.

• Проверяет адрес на наличие в черном списке

Проверка адреса электронной почты на наличие в черных списках.

• Проверка непосредственно адреса электронной почты

Очень интересный момент, который трудно измерять и предугадывать: это проверка, кем был создан адрес электронной почты - реальным пользователем, ботом, или мошенником. Измеряется (барабанная дробь). Качеством названия почты

Проверка почты выглядит так



Проверка IP адреса

• Проверка провайдера и местоположения

Проверка местоположения и определение провайдера, поиск провайдера в черных списках и определение риск скора.

• Проверка наличия в черном списке

Проверка IP адреса по более 60 базам данных с черными списками.

• Обнаружение Proxy, Vpn, Tor
• Идентификация интернет провайдера

Анализ центров обработки данных и проверка на наличие центров в черных списках.

• Проверка портов

Проверка IP выглядит так



Немного о машинном обучении (ИИ)
Я считаю, что это зло во плоти и лучший друг мошенника одновременно, так как это алгоритм, а алгоритм всегда можно обмануть.
Старые АФ системы вынуждены снижать свои критерии по отбору мошенников от реальных пользователей, так как автоматическая оценка так же часто кидает деклайны реальным пользователям, задерживает отправки просьбами верификации, это вредит коммерческим структурам, поэтому сейчас многие вместо снижения критериев переходят на машинное обучение.

В рассматриваемой нами АФ системе машинное обучение это посредник между АФ и оператором, который будет выносить вердикт, программа собирает все данные из АФ в одном месте, анализирует, выдаёт результат и помогает оператору принять решение - принимать заявку или отклонять.

И как говорят сами разработчики SEON: Сочетание данных адреса электронной почты, телефонного номера, данных об устройстве и IP-адресе может создать очень полное представление о пользователе, что может помочь отделить мошенников от реальных пользователей с повышенной точность.

Вот так выглядит конечный результат





Примечание
Надо ли запариваться с настройкой? Это уж сами решайте, к каждому шопу\банку нужен свой подход, но, я думаю, в самом ближайшем будущем всё будет только усложняться и, что называется, "на авось" работать уже не получится. И так или иначе придётся производить куда больше манипуляций, что бы обойти АФ системы.

С каждым днём АФ системы растут, развиваются, порог входа в сферу кардинга растёт сама работа усложняется, те кто может приспособиться - продолжают работать, остальные, как правило, начинают скамить своих же и уходят в закат, так что всегда будьте осторожны и внимательны, не расслабляйтесь.

Спасибо за внимание.
Всем удачи и профита!