هذه الترجمة مُولَّدة آليًا وفي انتظار المراجعة. التبديل إلى الإنجليزية
لوحة التحكم

فئات التهديد

ست فئات من التهديد. كل منها مضبوطة لالتقاط الأتمتة والاحتيال والإساءة — دون تحدّي العملاء الحقيقيين عن خطأ.

الكشف ليس فحصاً واحداً. الاحتيال في العالم الواقعي يمزج بين الأتمتة والبنية التحتية والسلوك. نُطابق كل فئة مع نوع القرار الذي يتخذه فريقك فعلياً — حظر، تحدٍّ، سماح، مراقبة.

الفئات مرتّبة تقريباً من “الصاخبة” — أتمتة خبيثة بوضوح — إلى “الهادئة” — إشارات سلوكية دقيقة. وهي مدخلات مستقلة إلى درجة الخطر المُعايَرة نفسها. يمكن أن تُعلَّم جلسة بفئة واحدة أو عدة فئات أو لا شيء.

01. الأتمتة والبوتات

المتصفحات الخفية، وأطر أتمتة المتصفح، والإساءة المُبرمَجة — بما في ذلك المتغيّرات “الخفية” المصمَّمة للتهرب من الكشف. يُلتقَط المسار السريع والمسار البطيء كلاهما.

ما الذي نبحث عنه

  • المتصفحات الخفية وعائلة التصحيحات الخفية التي تحاول إخفاءها.
  • البصمات التي تتركها أطر الأتمتة خلفها، حتى بعد إخبارها بتغطية آثارها.
  • علامات أن الجلسة تُقاد بأداة تحكم عن بُعد لا بشخص.
  • التناقضات الداخلية التي تفضح سكربتاً يتظاهر بأنه متصفح حقيقي.

النتيجة

التعرف على حركة المرور الآلية قبل أن تصل إلى تسجيل الدخول أو التسجيل أو الدفع.

الضبط

الترجيح الافتراضي هنا ثقيل — حركة المرور الآلية التي تنجو من فحوصنا هي الإشارة الأكثر موثوقية على النية الخبيثة في النموذج بأكمله. إذا كان لديك حالة استخدام مشروعة للأتمتة كمراقبة الاستمرارية أو التقارير المجدولة، فأضِفها إلى قائمة السماح حسب المفتاح بدلاً من تخفيف الأوزان للجميع.

02. التلاعب بالبصمة

الجلسات التي يكذب فيها المتصفح بشأن نفسه. اختبارات رسم مزيّفة، سلوك متصفح مُتلاعَب به، أدوات مضادة للبصمة تُشغّل إجراءات مضادة عدوانية.

ما الذي نبحث عنه

  • نتيجة اختبار رسم لا تطابق المتصفح ونظام التشغيل الذي تدّعي الجلسة أنه عليها.
  • توقيع رسوميات يناقض بقية ما يُبلّغه الجهاز.
  • هوية المتصفح المُعلَنة تختلف عما يُقدّمه فعلاً.
  • الآثار التي تتركها أدوات البصمة المضادة العدوانية.

النتيجة

إبراز محاولات التهرب المتعمّدة دون حجب خيارات الخصوصية الصادقة.

الضبط

نفصل بين الكذب والحماية. مستخدم متصفح الخصوصية لديه ملف شخصي متسق ومُعلَن — هذا يُنتج إشارة متصفح خصوصية (راجع 04) لا إشارة تلاعب. التلاعب يعني أن الجلسة تدّعي أنها شيء بينما كل شيء آخر يقول إنها شيء مختلف.

03. إساءة استخدام البنية التحتية

حركة المرور من مراكز البيانات، والوكلاء المُخفِّين، وسلوك الشبكة القديم، والنطاقات المعروفة بسوئها. نُعلّم الأنماط دون حجب المستخدمين الحقيقيين الذين يصادف أنهم على VPN مؤسسي.

ما الذي نبحث عنه

  • حركة مرور من مزودي السحابة الكبار — مسارات الاحتيال بالجملة.
  • نطاقات معروفة بسوئها من خلاصات استخبارات التهديد، بما في ذلك الوكلاء السكنيون المباعون لحلقات الاحتيال.
  • سلوك شبكة قديم أو مُخفَّض يلمّح إلى تسلسل وكلاء.
  • إشارات المنطقة الزمنية واللغة والموقع تتناقض مع بعضها — علامة على أن وكيلاً يُعيد كتابة الطبقة السطحية لا الجلسة الكامنة.

النتيجة

تحديد إشارة الاحتيال بالجملة — دون إطلاق تنبيهات خاطئة على العاملين عن بُعد.

الضبط

حركة مرور مراكز البيانات ليست خبيثة تلقائياً. VPN مؤسسي، أو موظف على مساحة عمل سحابية، أو صحفي خلف مُرحِّل مستضاف — كل هذه يمكن أن تبدو كـ “بنية تحتية مُعلَّمة” دون أن تكون خبيثة. نعاملها كإشارة ضعيفة تتصاعد فقط حين تقترن بفئات أخرى.

04. التعامل مع متصفحات الخصوصية

متصفحات الخصوصية المعروفة، مُعامَلة بتساهل مُعايَر. المستخدمون الواعون بالخصوصية يبقون مرحَّباً بهم؛ البوتات المختبئة خلف متصفحات الخصوصية لا تبقى.

ما الذي نبحث عنه

  • الأشكال المعروفة لمتصفحات الخصوصية الشائعة.
  • الاتساق لا التلاعب — متصفح الخصوصية الحقيقي يُنتج ملفاً شخصياً مستقراً يمكننا التعرف عليه.
  • تحقق مزدوج مع إشارات العتاد (05) والسلوك (06) للتمييز بين إنسان واعٍ بالخصوصية وبوت يختبئ خلف المتصفح نفسه.

النتيجة

الترحيب بمستخدمي الخصوصية المشروعين مع الاستمرار في التقاط الفاعلين المختبئين بينهم.

الضبط

هذه واحدة من أهم الفئات لمنع الإيجابيات الكاذبة. السياسة الافتراضية هي السماح لمتصفحات الخصوصية المعروفة. تظل درجة الشبكة والبنية التحتية سارية، لكننا نُعطّل إشارات “التفاصيل القليلة” التي كانت ستطلق تنبيهاً خاطئاً على ملف متصفح الخصوصية المتعمَّد التوحيد.

05. فحوص العتاد

تلتقط فحوص الجهاز المحاكياتِ والبيئاتِ الافتراضية وهجماتِ إعادة التشغيل. البوتات التي تتغلب على الفحوص المعتمِدة على المتصفح فقط تفشل في فحص العتاد.

ما الذي نبحث عنه

  • توقيعات الرسومات الكاشفة عن التصيير البرمجي — غالباً آلة افتراضية أو محاكٍ لا جهاز حقيقي.
  • قدرات الرسومات التي لا تطابق العتاد الذي يدّعيه الجهاز.
  • توقيعات الصوت الكاشفة عن مسار صوت حقيقي مقابل مسار مُحاكى.
  • الخصائص اليومية التي يملكها الجهاز الحقيقي لكن الحاوية الجديدة والمؤقتة غالباً لا تملكها.

النتيجة

التحقق من أن الجهاز هو ما يدّعيه — لا فقط المتصفح الذي يعمل عليه.

الضبط

العتاد أقوى إشارة لدينا وأغلاها تزويراً على نطاق واسع. يمكن لحلقات الاحتيال استئجار وكلاء سكنيين بثمن بخس؛ لكنها لا تستطيع استئجار ملايين الأجهزة الحقيقية بثمن بخس. نُرجّح عدم تطابق العتاد وفقاً لذلك.

06. الشذوذات السلوكية

أنماط الفأرة ولوحة المفاتيح والتمرير وتوقيت ما بعد التحدي. شكل المستخدم الحقيقي — وشكل المؤتمت — مختلفان حتى على مستوى المللي ثانية.

ما الذي نبحث عنه

  • حركة الفأرة: للبشر ارتجاف وتصحيحات دقيقة وحدود طبيعية للسرعة. السكربتات غالباً ترسم خطوطاً مستقيمة ناعمة تماماً.
  • إيقاع الكتابة: الكتابة الحقيقية تتفاوت؛ الإدخال البرمجي يميل للوقوع في نافذة ضيقة بشكل مريب.
  • التمرير: التمرير الحقيقي يتباطأ بشكل طبيعي؛ التمرير البرمجي غالباً لا يفعل.
  • التوقيت بعد التحدي: البشر يتوقفون لحظة؛ السكربتات تواصل فوراً.

النتيجة

التقاط الجلسات التي تبدو بشرية على الورق لكنها لا تتصرف كشخص.

الضبط

الإشارات السلوكية هي الأهدأ في النموذج. إنها الفارق بين جلسة تجتاز كل فئة أخرى وجلسة لا تزال تبدو خاطئة. نستخدمها لتصعيد الجلسات النظيفة في الفئات الأخرى، لا كإشارة حجب أساسية — الإيجابيات الكاذبة المبنية على الإشارات السلوكية وحدها ستكون عقابية للمستخدمين ذوي الاختلافات الحركية أو التقنيات المساعِدة أو مجرد العادات غير المعتادة.

كيف تتجمّع الفئات

كل فئة تُنتج درجة خطر مُعايَرة ومقياس ثقة — لا حُكماً. فريقك يمتلك السياسة النهائية. نحن فقط نحرص على أن تكون المدخلات صادقة.

المسار بسيط: يجمع المتصفح الملف الشخصي، وتُسهم الفئات الست كل منها بوزنها، وتتجمع تلك المدخلات الموزونة في مستوى خطر مُعايَر واحد، وتقرر شيفرتك ماذا تفعل — حجب، تحدٍّ، أو سماح.

تعكس درجة الثقة كمية ما أتاحته لنا الجلسة فعلاً. الجلسة التي قضت بضع ثوانٍ على الصفحة تُخبرنا أقل من جلسة تفاعلت دقيقة كاملة، بغض النظر عن مستوى خطرها.

قراءات ذات صلة