The Rise of Passive Biometrics: как скорость скролла + угол наклона телефона = ваш ID

[BadB]

Как комбинация данных с акселерометра и поведения создаёт биометрический ключ без вашего ведома

Введение: Ваше тело — ваш пароль​

Вы заходите на сайт с телефона. Прокручиваете ленту. Наклоняете устройство, чтобы лучше видеть. Касаетесь экрана, чтобы остановить видео.

Вы думаете: «Это просто действия».

Но на самом деле каждое движение записывается — не для удобства, а для создания уникального биометрического ключа.

Современные фрод-движки (Forter, Sift, Riskified) больше не ждут, пока вы введёте отпечаток пальца. Они тихо собирают данные с акселерометра, гироскопа и сенсорного экрана, чтобы построить пассивный биометрический профиль — без вашего ведома и согласия.

В этой статье мы разберём, как работает пассивная биометрия, почему она необратима, и как даже угол наклона телефона может выдать вас.

Часть 1: Что такое Passive Biometrics?​

Техническое определение​

Пассивная биометрия — это сбор и анализ уникальных паттернов поведения и физиологии пользователя без активного участия:

• Скорость и ускорение скролла,
• Угол наклона устройства,
• Давление на экран (3D Touch),
• Микродрожание руки,
• Паттерны касаний.

Ключевой факт:
Эти данные собираются через DeviceMotion, Touch Events и Orientation API — и не требуют разрешений.

Часть 2: Как создаётся биометрический ключ​

Три уровня анализа​

Уровень 1: Моторные паттерны

• Скролл: Ускорение, замедление, остановки,
• Тапы: Сила нажатия, длительность, площадь контакта,
• Свайпы: Угол, скорость, кривизна траектории.

Уровень 2: Физиологические сигналы

• Акселерометр: Микроколебания при удержании (±0.05g),
• Гироскоп: Угловая скорость при повороте (±0.1°/с),
• Магнитометр: Ориентация относительно магнитного поля Земли.

Уровень 3: Контекстуальная корреляция

• Время суток: Ночью движения медленнее,
• Тип контента: На видео — больше наклона, на тексте — больше скролла,
• Поза: Лёжа — другой угол, чем стоя.

Энтропия:
Комбинация этих данных даёт энтропию 45–60 бит → 1 из 10²⁰.

Часть 3: Как фрод-движки используют пассивную биометрию​

Процесс анализа (Forter, Sift)​

Шаг 1: Сбор эталонного профиля

• При первом успешном входе система записывает:
  • Средний угол наклона: 22.3°,
  • Скорость скролла: 320 px/сек,
  • Давление на экран: 0.78.

Шаг 2: Сравнение при последующих сессиях

• Если новый профиль:
  • Угол: 5.1°,
  • Скорость: 850 px/сек,
  • Давление: 0.32,
• Система видит: «Это другой человек» → fraud score = 95+.

Пример:
Реальный пользователь держит телефон под углом 20–30°,
Кардер кладёт телефон на стол → угол 0–5° → мгновенный бан.

Часть 4: Почему пассивная биометрия необратима​

Три причины​

1. Невозможно подделать физиологию

• Вы можете изменить IP, User-Agent, Canvas,
• Но не можете изменить свой стиль скролла или дрожание руки.

2. Работает без разрешений

• DeviceMotion API не требует разрешений на iOS/Android,
• Данные доступны любому сайту.

3. Накапливается со временем

• Чем больше сессий, тем точнее профиль,
• После 3–5 сессий точность идентификации — 99.2%.

Полевые данные (2026):
Пассивная биометрия снижает false positive rate на 50%, но увеличивает детекцию кардеров на 75%.

Часть 5: Как проверить свою уязвимость​

Шаг 1: Используйте тестовые сайты​

• https://browserleaks.com/sensors — показывает данные сенсоров,
• https://amiunique.org — анализирует биометрическую энтропию.

Шаг 2: Запустите локальный тест​

js:

// Акселерометр
window.addEventListener('devicemotion', e => {
  console.log('Acceleration:', e.acceleration);
});

// Гироскоп
window.addEventListener('deviceorientation', e => {
  console.log('Alpha/Beta/Gamma:', e.alpha, e.beta, e.gamma);
});

// Скролл
let lastScroll = 0;
window.addEventListener('scroll', () => {
  const now = performance.now();
  const speed = (window.scrollY - lastScroll) / (now - lastTime);
  console.log('Scroll speed:', speed);
  lastScroll = window.scrollY;
  lastTime = now;
});

Правило:
Если угол наклона менее 10° — вас уже выдали (вы используете стол, а не руки).

Часть 6: Как защититься от пассивной биометрии​

Уровень устройства​

iOS / Android

• Нет способа отключить DeviceMotion API — он встроен в браузер,
• Единственный способ — не использовать мобильные устройства для операций.

Рекомендация

• Используйте только десктоп (laptop + мышь),
• На десктопе нет акселерометра/гироскопа → пассивная биометрия не работает.

Уровень браузера​

Dolphin Anty

• Настройте только десктопные профили,
• Отключите Device Motion в настройках.

Жёсткая правда:
На мобильных устройствах защита невозможна.
Пассивная биометрия — это конец мобильного кардинга.

Часть 7: Почему большинство кардеров терпят неудачу​

Распространённые ошибки​

Ошибка	Последствие
Использование телефона для операций	Угол наклона = 0° → аномалия
Лежачая поза	Угол отличается от эталона → флаг
Игнорирование DeviceMotion	Думают, что это "просто сенсоры" → провал

Полевые данные (2026):
82% провалов на мобильных устройствах связаны с пассивной биометрией.

Часть 8: Практическое руководство — безопасный вбив​

Шаг 1: Используйте только десктоп​

• Laptop + мышь,
• Никаких планшетов или телефонов.

Шаг 2: Настройте Dolphin Anty​

• Профиль: Windows 10 + Chrome 125,
• Отключите: Device Motion, Gyroscope, Accelerometer.

Шаг 3: Имитируйте человеческое поведение​

• Скролльте с естественной скоростью (200–500 px/сек),
• Делайте паузы для чтения,
• Используйте мышь, а не трекпад.

Результат:
Полное отсутствие пассивной биометрии → низкий fraud score.

Заключение: Тело не обманешь​

Пассивная биометрия — это не просто «ещё один API». Это физический отпечаток вашего тела, который невозможно подделать.

Финальная мысль:
Настоящая анонимность начинается не с маскировки, а с отказа от раскрытия.
Потому что в мире биометрии, даже угол наклона — это ваш ID.

Оставайтесь на десктопе. Оставайтесь физически незаметными.
И помните: в мире безопасности, ваше тело — главный предатель.