Этот перевод сгенерирован машиной и ожидает проверки. Переключиться на английский
Панель

Сценарии использования

Как выглядит успех в трёх срезах реального продакшн-трафика.

Цифры в нашем разделе результатов — примерно 47% медианного снижения чарджбэков, доля ложных срабатываний меньше половины процента, верификация за считанные миллисекунды — берутся из интеграций вроде приведённых ниже. Случаи здесь — анонимизированные составные; паттерны реальны.

Маркетплейсы

Проблема: кольца фейковых аккаунтов, создающие десятки аккаунтов для накрутки отзывов, манипуляции рейтингами продавцов или злоупотребления приветственными бонусами.

Сигнал: двенадцать аккаунтов, созданных за два часа, все с разных подключений — но с признаками браузера и подделки, указывающими на единый автоматизированный кластер.

Как сигнал накапливается

Одна регистрация с домашнего подключения через реальный браузер ничем не примечательна. Двенадцать регистраций с двенадцати разных домашних подключений на том, что выглядит как один и тот же автоматизированный браузер с одной и той же сигнатурой подделки, — это кольцо фейковых аккаунтов.

Категории, которые срабатывают вместе здесь:

  • Автоматизация и боты (01) — сигнатуры headless-браузера на каждом аккаунте.
  • Подделка фингерпринта (02) — тесты отрисовки, не соответствующие заявленной версии браузера.
  • Злоупотребление инфраструктурой (03) — резидентные прокси, продаваемые известным мошенническим оператором.
  • Поведенческие аномалии (06) — формы регистрации, заполненные по одинаковым паттернам с одним и тем же таймингом.

Ни одна отдельная категория не пометит кольцо. Совокупная оценка риска — пометит.

Политика

Маркетплейс блокирует на верхнем уровне — кольцо, а не клиентов — и требует верификации по телефону, когда риск высокий и уверенность высокая. Всё остальное проходит без помех. На практике вся политика — это несколько строк кода, читающих уровень риска, который возвращает Noxtica.

Результат

Фейковые регистрации падают примерно на 70% в течение месяца после интеграции. Конверсия регистраций реальных клиентов не меняется.

Финансовые сервисы

Проблема: мошенничество без предъявления карты, особенно атаки захвата аккаунта, при которых у атакующего есть данные карты, но нет известных устройств держателя.

Сигнал: сессия, профиль которой не совпадает с известными устройствами держателя карты. Ответ — усиленная верификация, а не прямая блокировка. Реальные клиенты не испытывают трений; мошеннические кольца сталкиваются с дополнительной проверкой при каждой транзакции.

Как сигнал накапливается

Мошенничество без предъявления карты всё чаще использует реальные украденные данные на устройствах под контролем атакующего. Устройство — это дифференциатор. Мы храним профиль для каждого клиента; когда транзакция приходит с профиля, который мы не видели для этого клиента, мы её помечаем.

Категории, которые срабатывают вместе здесь:

  • Аппаратные проверки (05) — у нового устройства может быть другая графика, аудио или сигнатура памяти.
  • Злоупотребление инфраструктурой (03) — мошеннические кольца часто сидят за маршрутами дата-центров даже при использовании резидентных прокси на фронте.
  • Поведенческие аномалии (06) — тайминг оформления заказа, не совпадающий с историческим паттерном держателя карты.

Сигнал нового устройства сам по себе не является вредоносным — клиенты покупают телефоны, меняют ноутбуки, переустанавливают операционные системы. Мы взвешиваем его относительно других категорий, чтобы отделить «клиент на новом устройстве» от «атакующий с украденными данными карты».

Политика

Возвращающийся клиент на известном устройстве ниже верхнего уровня проходит напрямую без трений. Когда риск высокий — или новое устройство появляется на необычно крупной транзакции — сессия получает усиленную верификацию, а не прямую блокировку. Приоритет всегда на том, чтобы реальные клиенты могли совершить покупку.

Результат

Потери от чарджбэков снижаются примерно на 45–50% в течение трёх месяцев. Усиленную верификацию проходит лишь небольшая доля транзакций, и подавляющее большинство из них завершается успешно — реальные клиенты проходят проверку.

Платформы с чувствительной идентификацией

Проблема: беспарольным и SSO-платформам нужно убедиться, что тот, кто нажимает на ссылку входа, — это тот же, кто её запросил. Фишинговые киты и сервисы ретрансляции ссылок нарушают это предположение.

Сигнал: ссылка, нажатая с профиля, отличающегося от того, который её запросил, запускает дополнительный шаг верификации. Фишинговые киты и сервисы ретрансляции ссылок попадаются на этом шлюзе.

Как сигнал накапливается

Когда запрашивается ссылка входа, мы записываем запросивший профиль. Когда по ссылке нажимают, мы снова проверяем профиль и сравниваем. Если они совпадают — тот же браузер, то же устройство — ссылка аутентифицируется автоматически. Если нет, мы трактуем нажатие как другую сессию и требуем дополнительного шага верификации.

Категории, которые срабатывают вместе здесь:

  • Подделка фингерпринта (02) — фишинговые киты часто запускают headless-браузеры, профили которых не совпадают с реальным устройством пользователя.
  • Поведенческие аномалии (06) — время между запросом и нажатием, источник трафика и то, как меняется сессия — всё имеет значение.
  • Злоупотребление инфраструктурой (03) — сервисы ретрансляции ссылок обычно работают из облачной инфраструктуры.

Политика

Если нажимающее устройство совпадает с устройством, запросившим ссылку, ссылка работает автоматически. Если нет, платформа требует второго фактора перед пропуском сессии. Проверка совпадения — это простое сравнение с профилем, записанным при выдаче ссылки.

Результат

Успешность фишинга по кампаниям со ссылками входа резко падает — как правило, более чем на 90% снижение успешных атак с перехватом учётных данных. Реальные пользователи, законно сменившие устройство, проходят один дополнительный шаг верификации, после чего попадают в список доверенных устройств для будущих ссылок.

Паттерн: когда блокировать, когда проверять

Во всех трёх сценариях структура политики одна и та же:

  1. Критический риск — блокировать с логированием. Такие сессии не стоят затрат на проверку.
  2. Высокий риск — проверить: усиленная верификация, второй фактор или ручной просмотр. Реальные клиенты проходят; боты — нет.
  3. Средний риск — наблюдать. Логировать сессию и показывать в дашборде, но не добавлять трения.
  4. Низкий или минимальный риск — разрешить. Подавляющее большинство трафика.

Эти четыре действия соответствуют пятиуровневой модели риска: два самых низких уровня оба сводятся к «разрешить» для почти всех, но сохранение их раздельными полезно в дашборде для понимания того, где находится ваша аудитория.

Дополнительное чтение