Гэты пераклад згенераваны машынай і чакае праверкі. Перайсці на англійскую
Панэль

Выпадкі выкарыстання

Як выглядае поспех — у трох зрэзах рэальнага production-трафіку.

Лічбы ў нашым раздзеле вынікаў — медыяннае скарачэнне chargeback’аў прыкладна на 47%, узровень ілжывых спрацоўванняў ніжэй за палову адсотка, верыфікацыя, якая адказвае за некалькі мілісекунд — паходзяць з інтэграцый накшталт тых, что ніжэй. Прыклады тут — ананімізаваныя кампазіты; шаблоны рэальныя.

Маркетплейсы

Праблема: групы фальшывых уліковых запісаў, якія ствараюць дзясяткі уліковых запісаў, каб засыпаць водгукамі, маніпуляваць рэйтынгамі прадаўцоў або злоўжываць прывітальнымі бонусамі.

Сігнал: дванаццаць уліковых запісаў, створаных на працягу двух гадзін, усе з розных злучэнняў — але з браўзернымі і падробчымі прыкметамі, якія паказваюць на адзін аўтаматызаваны кластар.

Як сігнал нарастае

Адзіночная рэгістрацыя з хатняга злучэння ў рэальным браўзеры — нічым не прыкметная. Дванаццаць рэгістрацый з дванаццаці розных хатніх злучэнняў, на тым, что выглядае як адзін і той жа аўтаматызаваны браўзер з адной і той жа сігнатурай падробкі, — гэта група фальшывых уліковых запісаў.

Катэгорыі, якія спрацоўваюць разам тут:

  • Аўтаматызацыя і боты (01) — сігнатуры безгаловага браўзера на кожным уліковым запісе.
  • Падробка адбіткаў (02) — тэсты малявання, якія не адпавядаюць заяўленай версіі браўзера.
  • Злоўжыванне інфраструктурай (03) — рэзідэнцкія проксі, прададзеныя вядомым махлярскім аператарам.
  • Паводніцкія анамаліі (06) — формы рэгістрацыі, запоўненыя ідэнтычнымі шаблонамі, з аднолькавым таймінгам.

Ні адна асобная катэгорыя не пазначыла б групу. Камбінаваная адзнака рызыкі — пазначае.

Палітыка

Маркетплейс блакуе на верхнім узроўні — групу, а не кліентаў — і пераходзіць да тэлефоннай верыфікацыі, калі рызыка высокая і ўпэўненасць надзейная. Усё астатняе праходзіць бесперашкодна. На практыцы ўся палітыка — гэта некалькі радкоў кода, які счытвае ўзровень рызыкі, які вяртае Noxtica.

Вынік

Фальшывыя рэгістрацыі падаюць прыкладна на 70% на працягу месяца пасля інтэграцыі. Канверсія рэгістрацый рэальных кліентаў застаецца нязменнай.

Фінансавыя сэрвісы

Праблема: махлярства без прад’яўлення карты, асабліва атакі захопу ўліковага запісу, дзе ў зламысніка ёсць дадзеныя карты, але не вядомыя прылады ўладальніка карты.

Сігнал: сесія, профіль якой не адпавядае вядомым прыладам уладальніка карты. Адказ — узмоцненая верыфікацыя, а не прамая блакіроўка. Рэальныя кліенты не бачаць трэння; махлярскія групы бачаць дадатковую праверку на кожнай транзакцыі.

Як сігнал нарастае

Махлярства без прад’яўлення карты ўсё часцей выкарыстоўвае рэальныя скрадзеныя дадзеныя карт на падкантрольных зламысніку прыладах. Прылада — гэта дыферэнцыятар. Мы вядзём профіль на кожнага кліента; калі транзакцыя прыходзіць з профілю, якога мы для гэтага кліента раней не бачылі, мы яе пазначаем.

Катэгорыі, якія спрацоўваюць разам тут:

  • Апаратныя праверкі (05) — у новай прылады можа быць іншая сігнатура графікі, аўдыё або памяці.
  • Злоўжыванне інфраструктурай (03) — махлярскія групы часта сядзяць за маршрутамі дата-цэнтраў, нават калі выкарыстоўваюць рэзідэнцкія проксі.
  • Паводніцкія анамаліі (06) — таймінг аплаты, які не адпавядае гісторыі ўладальніка карты.

Сігнал «новай прылады» сам па сабе не з’яўляецца шкоднасным — кліенты купляюць тэлефоны, мяняюць ноўтбукі, пераўсталёўваюць аперацыйныя сістэмы. Мы ўзважваем яго разам з іншымі катэгорыямі, каб аддзяліць «кліент на новай прыладзе» ад «зламыснік са скрадзенымі дадзенымі карты».

Палітыка

Вяртаючыся кліент на вядомай прыладзе, ніжэй за верхні ўзровень, праходзіць напрамую без трэння. Калі рызыка высокая — або невядомая прылада паяўляецца на незвычайна вялікай транзакцыі — сесія атрымлівае ўзмоцненую верыфікацыю замест прамой блакіроўкі. Ухіл заўсёды ў бок таго, каб рэальныя кліенты завяршылі пакупку.

Вынік

Страты ад chargeback’аў падаюць прыкладна на 45–50% на працягу трох месяцаў. Узмоцненую верыфікацыю бачыць толькі невялікая доля транзакцый, і пераважная большасць з іх паспяхова завяршаецца — рэальныя кліенты праходзяць праверку.

Платформы, чуллівыя да ідэнтычнасці

Праблема: беспарольным і SSO-платформам трэба пацвердзіць, что сутнасць, якая ціскае на спасылку ўваходу, — гэта тая ж сутнасць, що яе запытала. Фішынгавыя наборы і сэрвісы рэтрансляцыі спасылак парушаюць гэтае дапушчэнне.

Сігнал: спасылка, якую ціснуць з іншага профілю, чым той, что яе запытаў, запускае дадатковы крок верыфікацыі. Фішынгавыя наборы і сэрвісы рэтрансляцыі спасылак лоўяцца ля гэтых варот.

Як сігнал нарастае

Калі спасылка ўваходу запытваецца, мы запісваем запытальны профіль. Калі па спасылцы ціснуць, мы паўторна правяраем профіль і параўноўваем. Калі яны супадаюць — той жа браўзер, тая ж прылада — спасылка аўтэнтыфікуецца аўтаматычна. Калі не, мы разглядаем націск як іншую сесію і патрабуем дадатковы крок верыфікацыі.

Катэгорыі, якія спрацоўваюць разам тут:

  • Падробка адбіткаў (02) — фішынгавыя наборы часта выкарыстоўваюць безгаловыя браўзеры, профілі якіх не супадаюць з рэальнай прыладай карыстальніка.
  • Паводніцкія анамаліі (06) — час паміж запытам і ціскам, крыніца трафіку і тое, як мяняецца сесія, — усё мае значэнне.
  • Злоўжыванне інфраструктурай (03) — сэрвісы рэтрансляцыі спасылак звычайна працуюць з воблачнай інфраструктуры.

Палітыка

Калі прылада, якая ціснула, супадае з прыладай, якая запытвала спасылку, спасылка ўваходу спрацоўвае аўтаматычна. Калі не, платформа патрабуе другі фактар перад тым, як прапусціць сесію. Праверка супадзення — гэта просты параўнанне адносна профілю, запісанага пры выдачы спасылкі.

Вынік

Поспех фішынгу ў кампаніях з спасылкамі ўваходу рэзка падае — як правіла, скарачэнне паспяховых атак з рэтрансляцыяй уліковых дадзеных больш чым на 90%. Рэальныя карыстальнікі, якія легітымна змяняюць прылады, бачаць адзін дадатковы крок верыфікацыі, а затым трапляюць у спіс давераных прылад для будучых спасылак.

Шаблон: калі блакаваць, калі выклікаць праверку

Ва ўсіх трох выпадках выкарыстання структура палітыкі аднолькавая:

  1. Крытычная рызыка — блакіроўка з логаваннем. Гэтыя сесіі не вартыя выдаткаў на выклік.
  2. Высокая рызыка — выклік: узмоцненая верыфікацыя, другі фактар або ручны разбор. Рэальныя кліенты праходзяць; боты — не.
  3. Сярэдняя рызыка — назірайце. Запісвайце сесію ў лог і паказвайце на панэлі, але не дадавайце трэнне.
  4. Нізкая або мінімальная рызыка — дазволіць. Пераважная большасць трафіку.

Гэтыя чатыры дзеянні адпавядаюць пяціўзроўневай мадэлі рызыкі: два найніжэйшых узроўні зводзяцца да «дазволіць» амаль для ўсіх, але захаванне іх асобна карыснае на панэлі для разумення, дзе знаходзіцца ваша папуляцыя.

Звязанае чытанне