Цей переклад згенеровано машиною й очікує перевірки. Перейти на англійську
Панель

Сценарії використання

Як виглядає успіх — на трьох зрізах реального продакшен-трафіку.

Цифри в нашому розділі результатів — медіанне скорочення чарджбеків приблизно на 47%, рівень хибнопозитивів менше половини відсотка, верифікація за лічені мілісекунди — походять з інтеграцій, подібних до наведених нижче. Наведені кейси — анонімізовані зведені приклади; патерни — реальні.

Маркетплейси

Проблема: кільця підроблених акаунтів, що створюють десятки акаунтів для review-bombing, маніпуляції рейтингами продавців або зловживання промоакціями вітального бонусу.

Сигнал: дванадцять акаунтів, створених протягом двох годин — усі з різних підключень, але з браузерними ознаками і слідами підробки, що вказують на один автоматизований кластер.

Як сигнал накопичується

Одна реєстрація з домашнього підключення на справжньому браузері нічим не примітна. Дванадцять реєстрацій із дванадцяти різних домашніх підключень — на тому, що схоже на один і той самий автоматизований браузер з однаковою підробленою сигнатурою — це кільце підроблених акаунтів.

Категорії, що спрацьовують тут разом:

  • Автоматизація та боти (01) — ознаки безголового браузера на кожному акаунті.
  • Підробка відбитків (02) — тести рендерингу, що не відповідають заявленій версії браузера.
  • Зловживання інфраструктурою (03) — резидентні проксі, продані відомим шахрайським оператором.
  • Поведінкові аномалії (06) — форми реєстрації, заповнені з ідентичними патернами і однаковим таймингом.

Жодна окрема категорія не позначила б кільце. Комбінована оцінка ризику — так.

Правила

Маркетплейс блокує на верхньому рівні — кільце, а не клієнтів — і застосовує покрокову телефонну верифікацію, коли ризик високий і впевненість тверда. Решта трафіку проходить вільно. На практиці вся правила — кілька рядків коду, що зчитують рівень ризику, повернутий Noxtica.

Результат

Кількість підроблених реєстрацій скорочується приблизно на 70% протягом місяця після інтеграції. Конверсія реєстрацій справжніх клієнтів залишається незмінною.

Фінансові сервіси

Проблема: шахрайство без присутності картки, особливо атаки захоплення акаунту, де зловмисник має дані картки, але не пристрій власника картки.

Сигнал: сесія, профіль якої не відповідає відомим пристроям власника картки. Відповідь — покрокова верифікація, а не пряме блокування. Справжні клієнти не відчувають тертя; шахрайські кільця стикаються з додатковою перевіркою при кожній транзакції.

Як сигнал накопичується

Шахрайство без присутності картки дедалі більше використовує реальні, вкрадені дані карток на пристроях, що контролюються зловмисником. Пристрій — ключова відмінність. Ми зберігаємо профіль для кожного клієнта; коли транзакція надходить із профілю, якого ми раніше не бачили для цього клієнта, ми її позначаємо.

Категорії, що спрацьовують тут разом:

  • Апаратні перевірки (05) — новий пристрій може мати іншу графічну, аудіо або пам’яткову сигнатуру.
  • Зловживання інфраструктурою (03) — шахрайські кільця часто використовують маршрути дата-центрів, навіть коли попереду стоять резидентні проксі.
  • Поведінкові аномалії (06) — тайминг оформлення замовлення, що не відповідає історії власника картки.

Сам по собі сигнал нового пристрою не є зловмисним — клієнти купують телефони, замінюють ноутбуки, перевстановлюють операційні системи. Ми зважуємо його з іншими категоріями, щоб відрізнити «клієнта на новому пристрої» від «зловмисника з вкраденими даними картки».

Правила

Клієнт, що повертається на відомому пристрої й нижче верхнього рівня, проходить без жодного тертя. Коли ризик високий — або на незвично великій транзакції з’являється новий пристрій — сесія отримує покрокову верифікацію, а не пряме блокування. Упередженість завжди на користь того, щоб справжні клієнти завершили покупку.

Результат

Збитки від чарджбеків скорочуються приблизно на 45–50% протягом трьох місяців. Покрокова верифікація торкається лише невеликої частки транзакцій, і переважна більшість з них завершується успішно — справжні клієнти проходять перевірку.

Платформи, чутливі до ідентичності

Проблема: платформи без паролів і з одноразовим входом мають підтвердити, що сутність, яка клікає на посилання для входу, — це та сама сутність, що його запросила. Фішингові набори і сервіси ретрансляції посилань порушують це припущення.

Сигнал: посилання, клікнуте з іншого профілю, ніж той, що його запросив, запускає додатковий крок верифікації. На цьому вороті ловляться фішингові набори і сервіси ретрансляції посилань.

Як сигнал накопичується

Коли запитується посилання для входу, ми записуємо профіль запитувача. Коли по посиланню клікають, ми повторно перевіряємо профіль і порівнюємо. Якщо вони збігаються — той самий браузер, той самий пристрій — посилання автентифікує автоматично. Якщо ні, ми розглядаємо клік як іншу сесію і вимагаємо додаткового кроку верифікації.

Категорії, що спрацьовують тут разом:

  • Підробка відбитків (02) — фішингові набори часто використовують безголові браузери, чиї профілі не відповідають реальному пристрою користувача.
  • Поведінкові аномалії (06) — час між запитом і кліком, джерело трафіку та зміни в сесії — все має значення.
  • Зловживання інфраструктурою (03) — сервіси ретрансляції посилань зазвичай працюють із хмарної інфраструктури.

Правила

Якщо клікаючий пристрій відповідає пристрою, що запросив посилання, — посилання для входу спрацьовує автоматично. Якщо ні — платформа вимагає другого фактора, перш ніж пропустити сесію. Перевірка відповідності — проста порівняльна операція з профілем, записаним при видачі посилання.

Результат

Успішність фішингу проти кампаній із посиланнями для входу різко знижується — зазвичай скорочення успішних атак ретрансляції облікових даних перевищує 90%. Справжні користувачі, що легітимно змінюють пристрої, проходять один додатковий крок верифікації, після чого потрапляють до списку довірених пристроїв для майбутніх посилань.

Патерн: коли блокувати, коли ставити виклик

В усіх трьох сценаріях структура правил однакова:

  1. Критичний ризик — блокувати з логуванням. Такі сесії не варті витрат на виклик.
  2. Високий ризик — виклик: покрокова верифікація, другий фактор або ручний розгляд. Справжні клієнти проходять; боти — ні.
  3. Середній ризик — спостерігати. Логувати сесію і виводити в дашборді, але не додавати тертя.
  4. Низький або мінімальний ризик — дозволити. Переважна більшість трафіку.

Ці чотири дії зіставляються з п’ятирівневою моделлю ризику: два нижніх рівні обидва зводяться до «дозволити» для майже всіх, але їх розмежування корисне в дашборді для розуміння розподілу вашої популяції.

Додаткові матеріали