Categorias de Ameaça

Seis categorias de ameaça. Cada uma ajustada para capturar automação, fraude e abuso — sem desafiar clientes reais por engano.

A detecção não é uma única verificação. A fraude do mundo real mistura automação, infraestrutura e comportamento. Mapeamos cada categoria para o tipo de decisão que a sua equipe realmente toma — bloquear, desafiar, permitir, observar.

As categorias estão ordenadas do “barulhento” — automação claramente maliciosa — ao “silencioso” — sinais comportamentais sutis. São inputs independentes para o mesmo score de risco calibrado. Uma sessão pode ser sinalizada por uma categoria, por várias ou por nenhuma.

01. Automação e bots

Navegadores headless, frameworks de automação e abuso por scripts — incluindo as variantes “stealth” projetadas para evadir a detecção. A faixa rápida e a faixa lenta ambas são capturadas.

O que buscamos

• Navegadores invisíveis e headless, e a família de patches stealth que tentam escondê-los.
• As assinaturas que frameworks de automação deixam para trás, mesmo depois de orientados a cobrir seus rastros.
• Sinais de que uma sessão está sendo conduzida por uma ferramenta de controle remoto em vez de por uma pessoa.
• Contradições internas que entregam um script se passando por um navegador real.

Resultado

Reconhecer tráfego automatizado antes de ele alcançar o login, o cadastro ou o checkout.

Ajuste

A ponderação padrão aqui é pesada — tráfego automatizado que sobrevive às nossas verificações é o sinal mais confiável de intenção maliciosa em todo o modelo. Se você tem um caso de uso legítimo de automação, como monitoramento de uptime ou relatórios agendados, faça allowlist por chave em vez de relaxar os pesos para todos.

02. Adulteração de fingerprint

Sessões em que o navegador está mentindo sobre si mesmo. Testes de desenho falsificados, comportamento de navegador manipulado, ferramentas anti-fingerprint rodando contramedidas agressivas.

O que buscamos

• Um resultado de teste de desenho que não corresponde ao navegador e ao sistema operacional que a sessão afirma ser.
• Uma assinatura gráfica que contradiz o restante do que o dispositivo reporta.
• A identidade declarada pelo navegador discordando do que ele realmente renderiza.
• O rastro deixado por ferramentas anti-fingerprint agressivas.

Resultado

Destacar tentativas deliberadas de evasão sem bloquear escolhas honestas de privacidade.

Ajuste

Separamos mentir de proteger. Um usuário de navegador de privacidade tem um perfil consistente e declarado — isso produz um sinal de navegador de privacidade (veja 04), não um sinal de adulteração. Adulteração significa que a sessão está alegando ser uma coisa enquanto todo o restante diz que é outra.

03. Abuso de infraestrutura

Tráfego de datacenters, proxies de anonimização, comportamento de rede desatualizado e faixas conhecidamente ruins. Sinalizamos os padrões sem bloquear usuários reais que por acaso estejam em uma VPN corporativa.

O que buscamos

• Tráfego de grandes provedores de nuvem — as faixas de fraude por atacado.
• Faixas conhecidamente ruins de feeds de inteligência de ameaças, incluindo proxies residenciais vendidos a anéis de fraude.
• Comportamento de rede desatualizado ou rebaixado que sugere encadeamento de proxy.
• Sinais de fuso horário, idioma e localização que se contradizem — sinal de que um proxy está reescrevendo a superfície, mas não a sessão subjacente.

Resultado

Identificar o sinal de fraude por atacado — sem disparar contra trabalhadores remotos.

Ajuste

Tráfego de datacenter não é automaticamente malicioso. Uma VPN corporativa, um funcionário em um espaço de trabalho em nuvem, um jornalista atrás de um relay hospedado — todos podem aparecer como “infraestrutura sinalizada” sem ser maliciosos. Tratamos isso como um sinal fraco que só escala quando combinado com outras categorias.

04. Tratamento de navegadores de privacidade

Navegadores de privacidade reconhecidos, tratados com leniência calibrada. Usuários preocupados com privacidade continuam bem-vindos; bots se escondendo atrás de navegadores de privacidade não.

O que buscamos

• Os perfis conhecidos de navegadores de privacidade populares.
• Consistência em vez de adulteração — um navegador de privacidade real produz um perfil estável que conseguimos reconhecer.
• Uma verificação cruzada com os sinais de hardware (05) e comportamentais (06) para distinguir um humano preocupado com privacidade de um bot se escondendo atrás do mesmo navegador.

Resultado

Receber bem usuários legítimos de privacidade enquanto ainda capturamos os atores escondidos entre eles.

Ajuste

Esta é uma das categorias mais importantes para a prevenção de falsos positivos. O padrão é permitir navegadores de privacidade reconhecidos. O scoring de rede e infraestrutura ainda se aplica, mas suprimimos os sinais de “baixo detalhe” que de outra forma disparariam contra o perfil deliberadamente uniforme de um navegador de privacidade.

05. Verificações de hardware

Verificações em nível de dispositivo capturam emuladores, máquinas virtuais e ataques de replay. Os bots que vencem as verificações apenas de navegador falham na verificação de hardware.

O que buscamos

• Assinaturas gráficas que revelam renderização por software — frequentemente uma máquina virtual ou emulador em vez de um dispositivo real.
• Capacidades gráficas que não correspondem ao hardware declarado pelo dispositivo.
• Assinaturas de áudio que revelam um caminho de áudio real versus um simulado.
• As características cotidianas de dispositivo que uma máquina real tem, mas um container novo e descartável frequentemente não tem.

Resultado

Verificar que o dispositivo é o que afirma ser — não apenas o navegador rodando nele.

Ajuste

Hardware é o sinal mais forte que temos, e o mais caro de falsificar em escala. Anéis de fraude conseguem alugar proxies residenciais barato; eles não conseguem alugar milhões de dispositivos reais barato. Ponderamos divergências de hardware de acordo.

06. Anomalias comportamentais

Padrões de mouse, teclado, scroll e timing pós-desafio. O perfil de um usuário real — e o de um automatizado — diferem no nível do milissegundo.

O que buscamos

• Movimento do mouse: humanos têm tremor, microcorreções e limites naturais de velocidade. Scripts frequentemente desenham linhas retas e perfeitamente suaves.
• Ritmo de digitação: a digitação real varia; o input programático tende a cair em uma janela suspeitosamente estreita.
• Scroll: o scroll real desacelera naturalmente; o programático frequentemente não.
• Timing após um desafio: humanos pausam; scripts continuam imediatamente.

Resultado

Capturar as sessões que parecem humanas no papel, mas não se comportam como uma pessoa.

Ajuste

Sinais comportamentais são os mais silenciosos do modelo. São a diferença entre uma sessão que passa em todas as outras categorias e uma que ainda assim parece errada. Usamo-los para escalar sessões que de outro modo estariam limpas, não como sinal primário de bloqueio — julgar apenas com base no comportamento puniria usuários com diferenças motoras, tecnologia assistiva ou simplesmente hábitos incomuns.

Como as categorias se combinam

Toda categoria produz um score de risco calibrado e uma medida de confiança — não um veredicto. Sua equipe é dona da política final. Nós apenas garantimos que os inputs sejam honestos.

O fluxo é simples: o navegador coleta o perfil, as seis categorias cada uma contribuem com seu peso, esses inputs ponderados se combinam em um único nível de risco calibrado, e o seu código decide o que fazer — bloquear, desafiar ou permitir.

A medida de confiança reflete quanto a sessão realmente nos deu para trabalhar. Uma sessão que passou apenas alguns segundos na página nos diz menos do que uma com um minuto inteiro de interação, independentemente do nível de risco.

Leitura relacionada

• Por que calibração, não veredictos — a filosofia por trás destas categorias.
• Princípios de engenharia — restrições operacionais que aparecem em todo limiar.
• Detalhes do browser runtime — a superfície do lado do SDK para cada categoria.
• Perguntas frequentes — dúvidas comuns sobre o comportamento das categorias.