Цей переклад згенеровано машиною й очікує перевірки. Перейти на англійську
Панель

Категорії загроз

Шість категорій загроз. Кожна налаштована виявляти автоматизацію, шахрайство та зловживання — не хибно виявляючи справжніх клієнтів.

Виявлення — це не одна перевірка. Реальне шахрайство поєднує автоматизацію, інфраструктуру і поведінку. Ми зіставляємо кожну категорію з типом рішення, яке ваша команда насправді ухвалює — блокувати, поставити виклик, дозволити, спостерігати.

Категорії впорядковані приблизно від «гучних» — явно зловмисна автоматизація — до «тихих» — тонкі поведінкові сигнали. Це незалежні вхідні дані для тієї самої каліброваної оцінки ризику. Сесію може позначити одна категорія, кілька або жодна.

01. Автоматизація та боти

Безголові браузери, фреймворки автоматизації та скриптові зловживання — включно зі «стелс»-варіантами, розробленими для ухилення від виявлення. Виявляються і швидка смуга, і повільна.

На що ми звертаємо увагу

  • Непомітні безголові браузери та сімейство стелс-патчів, що намагаються їх приховати.
  • Відбитки, які залишають фреймворки автоматизації, — навіть після вказівки їм приховати сліди.
  • Ознаки того, що сесією керує інструмент дистанційного управління, а не людина.
  • Внутрішні суперечності, що видають скрипт, який прикидається справжнім браузером.

Результат

Розпізнавання автоматизованого трафіку до того, як він досягне входу, реєстрації або оформлення замовлення.

Налаштування

Стандартна вага тут велика — автоматизований трафік, що пережив наші перевірки, є найнадійнішою ознакою зловмисного наміру в усій моделі. Якщо у вас є легітимний сценарій автоматизації, наприклад моніторинг доступності або заплановані звіти, додайте його до списку дозволених за ключем, а не послаблюйте ваги для всіх.

02. Підробка відбитків

Сесії, де браузер бреше про себе. Підроблені тести рендерингу, маніпульована поведінка браузера, інструменти проти фінгерпринтингу з агресивними контрзаходами.

На що ми звертаємо увагу

  • Результат тесту рендерингу, що не відповідає браузеру й операційній системі, про які заявляє сесія.
  • Графічна сигнатура, що суперечить решті того, що повідомляє пристрій.
  • Заявлена ідентичність браузера, яка розходиться з тим, що він насправді рендерить.
  • Залишки від агресивних інструментів проти фінгерпринтингу.

Результат

Виявлення навмисних спроб ухилення без блокування чесного вибору приватності.

Налаштування

Ми відокремлюємо брехню від захисту. Користувач браузера з захистом приватності має узгоджений, задекларований профіль — це породжує сигнал браузера з захистом приватності (дивіться 04), а не сигнал підробки. Підробка означає, що сесія заявляє одне, тоді як усе інше каже протилежне.

03. Зловживання інфраструктурою

Трафік із дата-центрів, анонімізуючих проксі, застарілої мережевої поведінки та відомих шкідливих діапазонів. Ми позначаємо патерни, не блокуючи справжніх користувачів, що випадково сидять за корпоративним VPN.

На що ми звертаємо увагу

  • Трафік із великих хмарних провайдерів — оптові смуги шахрайства.
  • Відомі шкідливі діапазони з фідів розвідки загроз, включно з резидентними проксі, що продаються шахрайським кільцям.
  • Застаріла або знижена мережева поведінка, що вказує на ланцюги проксі.
  • Сигнали часового поясу, мови та місцезнаходження, що суперечать одне одному — ознака того, що проксі переписує поверхню, але не базову сесію.

Результат

Виявлення сигналу оптового шахрайства — без хибних спрацювань на віддалених працівниках.

Налаштування

Трафік дата-центрів не є автоматично зловмисним. Корпоративний VPN, співробітник у хмарному середовищі, журналіст за хостованим ретранслятором — усі вони можуть виглядати як «позначена інфраструктура», не будучи зловмисними. Ми ставимося до цього як до слабкого сигналу, що ескалує лише в поєднанні з іншими категоріями.

04. Обробка браузерів із захистом приватності

Впізнані браузери з захистом приватності обробляються з каліброваною ліберальністю. Свідомі щодо приватності користувачі залишаються бажаними; боти, що ховаються за браузерами з захистом приватності, — ні.

На що ми звертаємо увагу

  • Відомі профілі популярних браузерів із захистом приватності.
  • Узгодженість, а не підробка — справжній браузер із захистом приватності виробляє стабільний профіль, який ми можемо розпізнати.
  • Перехресна перевірка з апаратними (05) і поведінковими (06) сигналами, щоб відрізнити свідомого щодо приватності користувача від бота, що ховається за тим самим браузером.

Результат

Вітати легітимних користувачів приватності, водночас виявляючи акторів, що ховаються серед них.

Налаштування

Це одна з найважливіших категорій для запобігання хибнопозитивів. За замовчуванням — дозволити для впізнаних браузерів із захистом приватності. Оцінювання мережі та інфраструктури все одно застосовується, але ми пригнічуємо сигнали «низького деталювання», які інакше хибно спрацьовували б на навмисно однорідному профілі такого браузера.

05. Апаратні перевірки

Перевірки на рівні пристрою виявляють емулятори, віртуальні машини та атаки відтворення. Боти, що обходять перевірки тільки браузерного рівня, провалюють апаратну перевірку.

На що ми звертаємо увагу

  • Графічні сигнатури, що вказують на програмний рендеринг — часто це віртуальна машина або емулятор, а не реальний пристрій.
  • Графічні можливості, що не відповідають заявленому апаратному забезпеченню.
  • Аудіосигнатури, що вказують на реальний або симульований звуковий тракт.
  • Повсякденні характеристики пристрою, які є на справжній машині, але часто відсутні на свіжому одноразовому контейнері.

Результат

Перевірити, що пристрій є тим, чим він заявляє — а не тільки браузер, що на ньому працює.

Налаштування

Апаратні сигнали — найсильніші, що у нас є, і найдорожчі для масштабної підробки. Шахрайські кільця можуть дешево орендувати резидентні проксі; вони не можуть дешево орендувати мільйони справжніх пристроїв. Ми відповідно зважуємо апаратні невідповідності.

06. Поведінкові аномалії

Патерни руху миші, клавіатури, прокрутки та тайминг після виклику. Форма справжнього користувача — і форма автоматизованого — різняться до мілісекунди.

На що ми звертаємо увагу

  • Рух миші: люди мають тремтіння, мікрокорекції та природні обмеження швидкості. Скрипти часто малюють прямі, ідеально рівні лінії.
  • Ритм набору тексту: реальний набір варіюється; програмний ввід зазвичай вкладається в підозріло вузьке вікно.
  • Прокрутка: реальна прокрутка природньо сповільнюється; програмна — часто ні.
  • Тайминг після виклику: люди роблять паузу; скрипти продовжують негайно.

Результат

Виявлення сесій, що виглядають по-людськи на папері, але не поводяться як людина.

Налаштування

Поведінкові сигнали — найтихіші в моделі. Вони — різниця між сесією, що проходить кожну іншу категорію, і сесією, що все одно відчувається неправильно. Ми використовуємо їх для ескалації загалом чистих сесій, а не як первинний блокувальний сигнал — оцінювання виключно за поведінкою карало б користувачів із руховими особливостями, допоміжними технологіями або просто незвичними звичками.

Як категорії поєднуються

Кожна категорія виробляє калібровану оцінку ризику і показник впевненості — не вердикт. Ваша команда має у власності фінальну правила. Ми просто дбаємо про те, щоб вхідні дані були чесними.

Потік простий: браузер збирає профіль, шість категорій кожна вносить свій внесок, ці зважені вхідні дані поєднуються в єдиний калібрований рівень ризику, і ваш код вирішує, що робити — блокувати, поставити виклик або дозволити.

Показник впевненості відображає, наскільки багато сесія насправді надала нам для роботи. Сесія, що провела лише кілька секунд на сторінці, говорить нам менше, ніж та, що взаємодіяла повну хвилину, — незалежно від рівня ризику.

Додаткові матеріали