این ترجمه به‌صورت ماشینی تولید شده و در انتظار بازبینی است. تغییر به انگلیسی
داشبورد

موارد استفاده

موفقیت چه شکلی است، در سه برش از ترافیک تولید واقعی.

اعداد در بخش نتایج ما — کاهش حدوداً ۴۷ درصدی میانه بازپرداخت‌ها، نرخ مثبت کاذب زیر نیم درصد، تأیید در چند میلی‌ثانیه — از یکپارچه‌سازی‌هایی مثل موارد زیر می‌آیند. موارد اینجا ترکیب‌های ناشناس‌سازی‌شده هستند؛ الگوها واقعی هستند.

مارکت‌پلیس‌ها

مشکل: حلقه‌های حساب جعلی که ده‌ها حساب می‌سازند تا نقدها را بمب‌گذاری کنند، رتبه‌بندی فروشندگان را دستکاری کنند، یا پروموشن‌های خوش‌آمدگو را سوءاستفاده کنند.

سیگنال: دوازده حساب ساخته‌شده ظرف دو ساعت، همه از اتصال‌های مختلف — اما با نشانه‌های مرورگر و دستکاری که به یک خوشه خودکار واحد اشاره می‌کنند.

چگونه سیگنال ترکیب می‌شود

یک ثبت‌نام منفرد از یک اتصال خانگی روی یک مرورگر واقعی قابل توجه نیست. دوازده ثبت‌نام از دوازده اتصال خانگی مختلف، روی چیزی که مثل همان مرورگر خودکار با همان امضای دستکاری به نظر می‌رسد، یک حلقه حساب جعلی است.

دسته‌هایی که اینجا با هم فعال می‌شوند:

  • اتوماسیون و ربات‌ها (۰۱) — امضاهای مرورگر بدون رابط کاربری در هر حساب.
  • دستکاری اثرانگشت (۰۲) — آزمون‌های رندر که با نسخه مرورگر ادعایی مطابقت ندارند.
  • سوءاستفاده از زیرساخت (۰۳) — پروکسی‌های مسکونی فروخته‌شده توسط یک اپراتور تقلب شناخته‌شده.
  • ناهنجاری‌های رفتاری (۰۶) — فرم‌های ثبت‌نام پر شده در الگوهای یکسان، با همان زمان‌بندی.

هیچ دسته منفردی حلقه را پرچم‌گذاری نمی‌کند. امتیاز ریسک ترکیبی این کار را می‌کند.

سیاست

مارکت‌پلیس در درجه بالا مسدود می‌کند — حلقه، نه مشتریان — و برای تأیید تلفنی قدم بالاتر می‌رود وقتی ریسک بالا و اطمینان قوی است. همه چیز دیگر بدون لمس عبور می‌کند. در عمل کل سیاست چند خط کد است که سطح ریسکی که Noxtica برمی‌گرداند را می‌خواند.

نتیجه

ثبت‌نام‌های جعلی ظرف یک ماه از یکپارچه‌سازی حدوداً ۷۰ درصد کاهش می‌یابند. نرخ تبدیل ثبت‌نام مشتری واقعی بدون تغییر می‌ماند.

خدمات مالی

مشکل: تقلب کارت بدون حضور، به‌خصوص حملات تصاحب حساب که مهاجم جزئیات کارت را دارد اما نه دستگاه‌های شناخته‌شده دارنده کارت.

سیگنال: یک نشست که پروفایلش با دستگاه‌های شناخته‌شده دارنده کارت مطابقت ندارد. پاسخ تأیید مرحله‌بالاتر است، نه یک بلاک مستقیم. مشتریان واقعی هیچ اصطکاکی نمی‌بینند؛ حلقه‌های تقلب یک بررسی اضافی در هر تراکنش می‌بینند.

چگونه سیگنال ترکیب می‌شود

تقلب کارت بدون حضور به‌طور فزاینده از جزئیات کارت واقعی و دزدیده‌شده روی دستگاه‌های کنترل‌شده توسط مهاجم استفاده می‌کند. دستگاه متمایزکننده است. ما یک پروفایل به ازای هر مشتری نگه می‌داریم؛ وقتی یک تراکنش از پروفایلی می‌آید که برای آن مشتری ندیده‌ایم، آن را پرچم‌گذاری می‌کنیم.

دسته‌هایی که اینجا با هم فعال می‌شوند:

  • بررسی‌های سخت‌افزاری (۰۵) — دستگاه جدید ممکن است امضای گرافیکی، صوتی، یا حافظه متفاوتی داشته باشد.
  • سوءاستفاده از زیرساخت (۰۳) — حلقه‌های تقلب اغلب پشت مسیرهای مرکز داده حتی وقتی با پروکسی‌های مسکونی پوشش داده شده‌اند قرار دارند.
  • ناهنجاری‌های رفتاری (۰۶) — زمان‌بندی پرداخت که با تاریخچه دارنده کارت مطابقت ندارد.

سیگنال دستگاه جدید به‌خودی‌خود مخرب نیست — مشتریان گوشی می‌خرند، لپ‌تاپ عوض می‌کنند، سیستم‌عامل دوباره نصب می‌کنند. ما آن را در مقابل دسته‌های دیگر وزن می‌کنیم تا «مشتری روی دستگاه جدید» را از «مهاجم با جزئیات کارت دزدیده‌شده» تشخیص دهیم.

سیاست

یک مشتری بازگشتی روی یک دستگاه شناخته‌شده، زیر درجه بالا، مستقیم بدون هیچ اصطکاکی عبور می‌کند. وقتی ریسک بالا است — یا یک دستگاه جدید روی یک تراکنش غیرمعمولاً بزرگ ظاهر می‌شود — نشست تأیید مرحله‌بالاتر به جای یک بلاک مستقیم دریافت می‌کند. تعصب همیشه به سمت اجازه دادن به مشتریان واقعی برای تکمیل خرید است.

نتیجه

ضررهای بازپرداخت ظرف سه ماه حدوداً ۴۵ تا ۵۰ درصد کاهش می‌یابند. تأیید مرحله‌بالاتر فقط در بخش کوچکی از تراکنش‌ها دیده می‌شود، و اکثریت آن‌ها با موفقیت تکمیل می‌شوند — مشتریان واقعی که بررسی را پشت سر می‌گذارند.

پلتفرم‌های حساس به هویت

مشکل: پلتفرم‌های بدون رمز عبور و تک‌ورود باید تأیید کنند که موجودی که روی یک لینک ورود کلیک می‌کند همان است که آن را درخواست کرد. کیت‌های فیشینگ و سرویس‌های رله لینک این فرض را می‌شکنند.

سیگنال: یک لینک کلیک‌شده از پروفایل متفاوتی از آنچه درخواستش را کرد یک مرحله تأیید اضافی ایجاد می‌کند. کیت‌های فیشینگ و سرویس‌های رله لینک در این دروازه گرفته می‌شوند.

چگونه سیگنال ترکیب می‌شود

وقتی یک لینک ورود درخواست می‌شود، پروفایل درخواست‌کننده را ثبت می‌کنیم. وقتی لینک کلیک می‌شود، پروفایل را دوباره بررسی و مقایسه می‌کنیم. اگر مطابقت داشتند — همان مرورگر، همان دستگاه — لینک به‌طور خودکار احراز هویت می‌کند. اگر نداشتند، کلیک را به‌عنوان یک نشست متفاوت در نظر می‌گیریم و یک مرحله تأیید اضافی نیاز داریم.

دسته‌هایی که اینجا با هم فعال می‌شوند:

  • دستکاری اثرانگشت (۰۲) — کیت‌های فیشینگ اغلب مرورگرهای بدون رابط کاربری اجرا می‌کنند که پروفایل‌هایشان با دستگاه واقعی کاربر مطابقت ندارد.
  • ناهنجاری‌های رفتاری (۰۶) — زمان بین درخواست و کلیک، منبع ترافیک، و نحوه تغییر نشست همه مهم هستند.
  • سوءاستفاده از زیرساخت (۰۳) — سرویس‌های رله لینک معمولاً از زیرساخت ابری اجرا می‌شوند.

سیاست

اگر دستگاه کلیک‌کننده با دستگاهی که لینک را درخواست کرد مطابقت داشت، لینک ورود به‌طور خودکار کار می‌کند. اگر نه، پلتفرم قبل از عبور نشست یک عامل دوم نیاز دارد. بررسی تطابق یک مقایسه ساده در مقابل پروفایل ثبت‌شده هنگام صدور لینک است.

نتیجه

موفقیت فیشینگ علیه کمپین‌های لینک ورود به‌شدت کاهش می‌یابد — معمولاً کاهش بیش از ۹۰ درصدی در حملات رله اعتبارنامه موفق. کاربران واقعی که قانوناً دستگاه عوض می‌کنند یک مرحله تأیید اضافی می‌بینند، سپس برای لینک‌های آینده به لیست دستگاه‌های معتمد اضافه می‌شوند.

الگو: چه زمانی بلاک، چه زمانی چالش

در هر سه مورد استفاده، ساختار سیاست یکسان است:

۱. ریسک بحرانی — با لاگ مسدود کنید. این نشست‌ها ارزش هزینه یک چالش را ندارند. ۲. ریسک بالا — چالش بدهید: تأیید مرحله‌بالاتر، یک عامل دوم، یا بررسی دستی. مشتریان واقعی رد می‌شوند؛ ربات‌ها نه. ۳. ریسک متوسط — مشاهده کنید. نشست را لاگ کنید و در داشبورد نمایش دهید، اما هیچ اصطکاکی اضافه نکنید. ۴. ریسک پایین یا حداقل — اجازه دهید. اکثریت قاطع ترافیک.

این چهار اقدام روی مدل ریسک پنج‌سطحی نگاشت می‌شوند: دو درجه پایین‌تر هر دو برای تقریباً همه به «اجازه» تقلیل می‌یابند، اما جدا نگه داشتنشان در داشبورد برای درک اینکه جمعیت شما کجا قرار دارد مفید است.

مطالعه بیشتر