Dreigingscategorieën

Zes categorieën dreigingen. Elk afgestemd om automatisering, fraude en misbruik te vangen — zonder echte klanten ten onrechte uit te dagen.

Detectie is geen enkele controle. Fraude in de echte wereld vermengt automatisering, infrastructuur en gedrag. We koppelen elke categorie aan het soort beslissing dat je team daadwerkelijk neemt — blokkeren, uitdagen, toestaan, observeren.

De categorieën zijn grofweg geordend van “luid” — duidelijk kwaadaardige automatisering — naar “stil” — subtiele gedragssignalen. Het zijn onafhankelijke inputs voor dezelfde gekalibreerde risicoscore. Een sessie kan door één categorie, meerdere of geen worden gemarkeerd.

01. Automatisering en bots

Headless browsers, automatiseringsframeworks en gescript misbruik — inclusief de “stealth”-varianten die zijn gebouwd om detectie te ontwijken. Zowel de snelle baan als de langzame baan wordt gevangen.

Waar we naar kijken

• Onzichtbare, headless browsers en de familie van stealth-patches die proberen ze te verbergen.
• De vingerafdrukken die automatiseringsframeworks achterlaten, zelfs nadat ze zijn gevraagd hun sporen te wissen.
• Tekenen dat een sessie wordt aangestuurd door een afstandsbedieningstool in plaats van een persoon.
• Interne tegenstrijdigheden die een script verraden dat zich voordoet als een echte browser.

Uitkomst

Herken geautomatiseerd verkeer voordat het login, aanmelding of de kassa bereikt.

Afstemming

De standaard weging hier is zwaar — geautomatiseerd verkeer dat onze controles overleeft, is het meest betrouwbare teken van kwaadaardige bedoelingen in het hele model. Als je een legitiem automatiseringsscenario hebt, zoals uptime-monitoring of geplande rapportage, zet dat dan op de toegangslijst via de sleutel in plaats van de wegingen voor iedereen te versoepelen.

02. Fingerprint-manipulatie

Sessies waarbij de browser liegt over zichzelf. Vervalste tekentestresultaten, gemanipuleerd browsergedrag, anti-fingerprint-tools die agressieve tegenmaatregelen uitvoeren.

Waar we naar kijken

• Een tekentestresultaat dat niet overeenkomt met de browser en het besturingssysteem die de sessie claimt te zijn.
• Een grafische handtekening die in tegenspraak is met de rest van wat het apparaat rapporteert.
• De opgegeven identiteit van de browser die niet overeenkomt met wat hij daadwerkelijk rendert.
• Het residu dat achtergelaten wordt door agressieve anti-fingerprint-tools.

Uitkomst

Breng bewuste ontwijkingspogingen aan het licht zonder eerlijke privacykeuzes te blokkeren.

Afstemming

We maken onderscheid tussen liegen en beschermen. Een privacybrowsergebruiker heeft een consistent, gedeclareerd profiel — dat produceert een privacybrowsersignaal (zie 04), niet een manipulatiesignaal. Manipulatie betekent dat de sessie beweert iets te zijn terwijl alles erop wijst dat het iets anders is.

03. Infrastructuurmisbruik

Verkeer van datacenters, anonimiserende proxies, verouderd netwerkgedrag en bekende slechte bereiken. We markeren de patronen zonder echte gebruikers te blokkeren die toevallig op een zakelijke VPN zitten.

Waar we naar kijken

• Verkeer van grote cloudproviders — de groothandelsfraude-banen.
• Bekende slechte bereiken uit threat-intelligence-feeds, inclusief residentiële proxies die worden verkocht aan fraude-ringen.
• Verouderd of afgewaardeerdnetworkgedrag dat wijst op proxy-chaining.
• Tijdzone-, taal- en locatiesignalen die elkaar tegenspreken — een teken dat een proxy het oppervlak herschrijft maar niet de onderliggende sessie.

Uitkomst

Identificeer het groothandels-fraudesignaal — zonder thuiswerkers te treffen.

Afstemming

Datacenterverkeer is niet automatisch kwaadaardig. Een zakelijke VPN, een medewerker op een cloud-werkplek, een journalist achter een gehoste relay — dit alles kan eruitzien als “infrastructuur gemarkeerd” zonder kwaadaardig te zijn. We behandelen het als een zwak signaal dat alleen escaleert in combinatie met andere categorieën.

04. Omgang met privacybrowsers

Herkende privacybrowsers, behandeld met gekalibreerde mildheid. Privacybewuste gebruikers blijven welkom; bots die zich achter privacybrowsers verbergen niet.

Waar we naar kijken

• De bekende vormen van populaire privacybrowsers.
• Consistentie in plaats van manipulatie — een echte privacybrowser produceert een stabiel profiel dat we kunnen herkennen.
• Een kruiscontrole met de hardware- (05) en gedragssignalen (06) om een privacybewust mens te onderscheiden van een bot die zich achter dezelfde browser verbergt.

Uitkomst

Verwelkom legitieme privacygebruikers terwijl we alsnog de actoren onderscheppen die zich onder hen verbergen.

Afstemming

Dit is een van de belangrijkste categorieën voor het voorkomen van vals-positieven. De standaard is om herkende privacybrowsers toe te staan. De netwerk- en infrastructuurscore is nog steeds van toepassing, maar we onderdrukken de “weinig detail”-signalen die anders zouden misvuren op het bewust uniforme profiel van een privacybrowser.

05. Hardwarecontroles

Controles op apparaatniveau onderscheppen emulators, virtuele machines en hergebruikaanvallen. De bots die alleen-browser-controles verslaan, falen bij de hardwarecontrole.

Waar we naar kijken

• Grafische handtekeningen die software-rendering onthullen — vaak een virtuele machine of emulator in plaats van een echt apparaat.
• Grafische mogelijkheden die niet overeenkomen met de hardware die het apparaat claimt te hebben.
• Audiosignalen die een echt audiopad onthullen versus een gesimuleerd pad.
• De alledaagse apparaateigenschappen die een echte machine heeft maar een verse, wegwerpcontainer vaak niet.

Uitkomst

Verifieer dat het apparaat is wat het claimt te zijn — niet alleen de browser die erop draait.

Afstemming

Hardware is het sterkste signaal dat we hebben en het duurste om op schaal te vervalsen. Frauderingen kunnen residentiële proxies goedkoop huren; miljoenen echte apparaten goedkoop huren kunnen ze niet. We wegen hardware-mismatches dienovereenkomstig.

06. Gedragsafwijkingen

Muis-, toetsenbord-, scroll- en post-uitdagingstimingpatronen. De vorm van een echte gebruiker — en de vorm van een geautomatiseerde — verschillen tot op de milliseconde.

Waar we naar kijken

• Muisbeweging: mensen hebben jitter, microcorrecties en natuurlijke snelheidslimieten. Scripts tekenen vaak rechte, volkomen vloeiende lijnen.
• Typritme: echt typen varieert; programmatische invoer valt doorgaans in een verdacht nauw venster.
• Scrollen: echt scrollen vertraagt van nature; programmatisch scrollen doet dat vaak niet.
• Timing na een uitdaging: mensen pauzeren; scripts gaan onmiddellijk door.

Uitkomst

Onderschep de sessies die op papier menselijk lijken maar zich niet gedragen als een persoon.

Afstemming

Gedragssignalen zijn de stilste in het model. Ze zijn het verschil tussen een sessie die elke andere categorie doorstaat en een sessie die toch niet klopt. We gebruiken ze om anders-schone sessies te escaleren, niet als een primair blokkeringssignaal — alleen op gedrag oordelen zou gebruikers met motorische verschillen, ondersteunende technologie of simpelweg ongewone gewoonten bestraffen.

Hoe de categorieën combineren

Elke categorie produceert een gekalibreerde risicoscore en een betrouwbaarheidsmaat — geen oordeel. Je team bezit het uiteindelijke beleid. Wij zorgen er alleen voor dat de inputs eerlijk zijn.

De flow is eenvoudig: de browser verzamelt het profiel, de zes categorieën wegen elk mee, die gewogen inputs combineren tot één gekalibreerd risiconiveau, en jouw code beslist wat te doen — blokkeren, uitdagen of toestaan.

De betrouwbaarheidsmaat weerspiegelt hoeveel de sessie ons daadwerkelijk te werken heeft gegeven. Een sessie die slechts een paar seconden op de pagina doorbracht, vertelt ons minder dan één met een volle minuut interactie, ongeacht het risiconiveau.

Verder lezen

• Waarom kalibratie, geen oordelen — de filosofie achter deze categorieën.
• Engineering-principes — operationele beperkingen die in elke drempel terugkomen.
• Details over de browser-runtime — het collector-zijdige oppervlak voor elke categorie.
• Veelgestelde vragen — veelgestelde vragen over categoriegedrag.