Категории угроз

Шесть категорий угроз. Каждая настроена на выявление автоматизации, мошенничества и злоупотреблений — без ложных проверок реальных клиентов.

Обнаружение — это не единственная проверка. Реальное мошенничество смешивает автоматизацию, инфраструктуру и поведение. Мы сопоставляем каждую категорию с тем видом решений, которые ваша команда реально принимает — блокировать, проверить, разрешить, наблюдать.

Категории расположены примерно от «громких» — явно вредоносная автоматизация — до «тихих» — тонкие поведенческие сигналы. Это независимые исходные данные для одной и той же откалиброванной оценки риска. Сессия может быть помечена одной категорией, несколькими или ни одной.

01. Автоматизация и боты

Headless-браузеры, фреймворки браузерной автоматизации и скриптовые злоупотребления — включая «стелс»-варианты, созданные для уклонения от обнаружения. Ловятся и быстрая, и медленная дорожка.

На что мы смотрим

• Невидимые headless-браузеры и семейство стелс-патчей, которые пытаются их скрыть.
• Следы, которые фреймворки автоматизации оставляют позади, даже когда им сказали замести их.
• Признаки того, что сессией управляет инструмент дистанционного управления, а не человек.
• Внутренние противоречия, выдающие скрипт, притворяющийся реальным браузером.

Результат

Распознавание автоматизированного трафика до того, как он достигнет входа, регистрации или оформления заказа.

Настройка

Весовой вклад по умолчанию здесь высокий — автоматизированный трафик, переживший наши проверки, — самый надёжный признак вредоносного умысла во всей модели. Если у вас есть легитимный сценарий автоматизации — например, мониторинг доступности или плановые отчёты — добавьте его в белый список по ключу, а не ослабляйте веса для всех.

02. Подделка фингерпринта

Сессии, в которых браузер лжёт о себе. Фальшивые тесты отрисовки, манипулирование поведением браузера, инструменты антифингерпринтинга, запускающие агрессивные контрмеры.

На что мы смотрим

• Результат теста отрисовки, не совпадающий с тем браузером и операционной системой, о которых заявляет сессия.
• Графическая сигнатура, противоречащая остальному, что сообщает устройство.
• Заявленная идентичность браузера, не соответствующая тому, что он фактически отрисовывает.
• Следы агрессивных инструментов антифингерпринтинга.

Результат

Выявление намеренных попыток уклонения без блокировки честного выбора в пользу конфиденциальности.

Настройка

Мы разделяем ложь и защиту. У пользователя приватного браузера есть согласованный, заявленный профиль — это порождает сигнал приватного браузера (см. 04), а не сигнал подделки. Подделка означает, что сессия заявляет себя одним, тогда как всё остальное говорит о другом.

03. Злоупотребление инфраструктурой

Трафик из дата-центров, анонимизирующих прокси, устаревшего сетевого поведения и известных плохих диапазонов. Мы помечаем паттерны, не блокируя реальных пользователей, которые случайно оказались на корпоративном VPN.

На что мы смотрим

• Трафик от крупных облачных провайдеров — оптовые мошеннические дорожки.
• Известные плохие диапазоны из фидов разведки угроз, включая резидентные прокси, продаваемые мошенническим кольцам.
• Устаревшее или пониженное сетевое поведение, указывающее на цепочки прокси.
• Сигналы часового пояса, языка и местоположения, противоречащие друг другу — признак того, что прокси переписывает поверхность, но не базовую сессию.

Результат

Выявление сигнала оптового мошенничества — без ложных срабатываний на удалённых работниках.

Настройка

Трафик из дата-центров автоматически не является вредоносным. Корпоративный VPN, сотрудник в облачном рабочем пространстве, журналист за хостируемым ретранслятором — всё это может выглядеть как «помечено инфраструктурой», не будучи вредоносным. Мы рассматриваем это как слабый сигнал, который эскалирует только в сочетании с другими категориями.

04. Обработка приватных браузеров

Распознанные приватные браузеры, обрабатываемые с откалиброванной мягкостью. Пользователи, заботящиеся о конфиденциальности, остаются желанными; боты, прячущиеся за приватными браузерами, — нет.

На что мы смотрим

• Известные формы популярных приватных браузеров.
• Согласованность, а не подделку — настоящий приватный браузер производит стабильный профиль, который мы можем распознать.
• Перекрёстная проверка с аппаратными (05) и поведенческими (06) сигналами для отличия человека с заботой о конфиденциальности от бота, прячущегося за тем же браузером.

Результат

Радушный приём легитимных пользователей конфиденциальности при сохранении выявления злоумышленников, прячущихся среди них.

Настройка

Это одна из важнейших категорий для предотвращения ложных срабатываний. По умолчанию — разрешать распознанные приватные браузеры. Оценка от сети и инфраструктуры по-прежнему применяется, но мы подавляем сигналы «низкой детализации», которые иначе дали бы ложное срабатывание на намеренно-однородном профиле приватного браузера.

05. Аппаратные проверки

Проверки на уровне устройства выявляют эмуляторы, виртуальные машины и атаки воспроизведения. Боты, обходящие проверки только браузера, проваливают аппаратную проверку.

На что мы смотрим

• Графические сигнатуры, раскрывающие программный рендеринг — часто виртуальная машина или эмулятор, а не реальное устройство.
• Графические возможности, не соответствующие заявленному железу устройства.
• Аудио-сигнатуры, раскрывающие реальный аудиотракт в сравнении с симулированным.
• Обычные характеристики устройства, которые есть у реальной машины, но которых часто нет у свежего одноразового контейнера.

Результат

Проверка того, что устройство является тем, чем заявляет — а не только браузер, работающий на нём.

Настройка

Железо — самый сильный сигнал, который у нас есть, и самый дорогостоящий для подделки в масштабе. Мошеннические кольца могут дёшево арендовать резидентные прокси; они не могут дёшево арендовать миллионы реальных устройств. Мы взвешиваем аппаратные несоответствия соответствующим образом.

06. Поведенческие аномалии

Паттерны мыши, клавиатуры, прокрутки и тайминг после проверок. Форма реального пользователя — и форма автоматизированного — различаются вплоть до миллисекунды.

На что мы смотрим

• Движения мыши: у людей есть дрожание, микрокоррекции и естественные ограничения скорости. Скрипты часто рисуют прямые, идеально гладкие линии.
• Ритм набора: реальный набор варьируется; программный ввод, как правило, укладывается в подозрительно узкое временно́е окно.
• Прокрутка: реальная прокрутка естественно замедляется; программная — часто нет.
• Тайминг после проверки: люди делают паузу; скрипты продолжают немедленно.

Результат

Выявление сессий, которые выглядят человеческими на бумаге, но не ведут себя как человек.

Настройка

Поведенческие сигналы — самые тихие в модели. Это разница между сессией, которая проходит все остальные категории, и сессией, которая всё равно кажется неправильной. Мы используем их для эскалации в остальном чистых сессий, а не как первичный сигнал блокировки — суждение только по поведению наказывало бы пользователей с моторными особенностями, вспомогательными технологиями или просто необычными привычками.

Как категории объединяются

Каждая категория производит откалиброванную оценку риска и показатель уверенности — а не вердикт. Ваша команда владеет итоговой политикой. Мы лишь следим за тем, чтобы исходные данные были честными.

Процесс прост: браузер собирает профиль, шесть категорий вносят свои взвешенные данные, эти взвешенные данные объединяются в единый откалиброванный уровень риска, и ваш код решает, что делать — блокировать, проверить или разрешить.

Показатель уверенности отражает, сколько сессия фактически дала нам для работы. Сессия, проведшая на странице лишь несколько секунд, говорит нам меньше, чем та, что провела полную минуту взаимодействия, независимо от уровня риска.

Дополнительное чтение

• Почему калибровка, а не вердикты — философия, стоящая за этими категориями.
• Инженерные принципы — операционные ограничения, проявляющиеся в каждом пороге.
• Детали среды выполнения в браузере — поверхность коллектора для каждой категории.
• Часто задаваемые вопросы — частые вопросы о поведении категорий.