Danh mục mối đe dọa

Sáu danh mục mối đe dọa. Mỗi cái được tinh chỉnh để bắt tự động hóa, gian lận, và lạm dụng — mà không challenge nhầm khách hàng thật.

Phát hiện không phải là một phép kiểm tra đơn lẻ. Gian lận thực tế pha trộn tự động hóa, hạ tầng, và hành vi. Chúng tôi ánh xạ mỗi danh mục đến loại quyết định mà đội ngũ của bạn thực sự đưa ra — chặn, thử thách, cho phép, theo dõi.

Các danh mục được sắp xếp đại khái từ “ồn ào” — tự động hóa rõ ràng độc hại — đến “lặng lẽ” — các tín hiệu hành vi tinh vi. Chúng là các đầu vào độc lập cho cùng một điểm rủi ro đã chuẩn chỉnh. Một phiên có thể bị gắn cờ bởi một danh mục, vài danh mục, hoặc không cái nào.

01. Tự động hóa và bot

Trình duyệt không đầu, các framework tự động hóa, và lạm dụng theo script — bao gồm cả các biến thể “tàng hình” được xây để né phát hiện. Cả làn nhanh lẫn làn chậm đều bị bắt.

Chúng tôi tìm gì

• Các trình duyệt không đầu và họ các bản vá tàng hình cố che giấu chúng.
• Dấu vân tay các framework tự động hóa để lại, ngay cả sau khi chúng được yêu cầu xóa vết.
• Các dấu hiệu cho thấy một phiên đang bị điều khiển từ xa thay vì bởi một con người.
• Các mâu thuẫn nội bộ tiết lộ một script đang giả vờ là trình duyệt thật.

Kết quả

Nhận diện lưu lượng tự động hóa trước khi nó chạm tới đăng nhập, đăng ký, hoặc thanh toán.

Tinh chỉnh

Trọng số mặc định ở đây khá nặng — lưu lượng tự động hóa vượt qua được các kiểm tra của chúng tôi là dấu hiệu đáng tin cậy nhất về ý đồ độc hại trong toàn bộ mô hình. Nếu bạn có trường hợp tự động hóa hợp pháp, chẳng hạn như giám sát thời gian hoạt động hay báo cáo theo lịch, hãy đưa vào danh sách trắng theo key thay vì nới lỏng trọng số cho tất cả mọi người.

02. Giả mạo dấu vân tay

Các phiên mà trình duyệt đang nói dối về chính mình. Bài kiểm tra vẽ bị làm giả, hành vi trình duyệt bị thao túng, công cụ chống dấu vân tay chạy các biện pháp đối phó quyết liệt.

Chúng tôi tìm gì

• Kết quả bài kiểm tra vẽ không khớp với trình duyệt và hệ điều hành mà phiên tự nhận.
• Chữ ký đồ họa mâu thuẫn với phần còn lại của những gì thiết bị báo cáo.
• Danh tính được khai báo của trình duyệt không khớp với những gì nó thực sự render.
• Dấu vết để lại bởi các công cụ chống dấu vân tay quyết liệt.

Kết quả

Phát hiện các nỗ lực né tránh có chủ đích mà không chặn các lựa chọn riêng tư trung thực.

Tinh chỉnh

Chúng tôi tách nói dối khỏi bảo vệ. Một người dùng trình duyệt riêng tư có hồ sơ nhất quán, đã khai báo — điều đó tạo ra tín hiệu trình duyệt riêng tư (xem 04), không phải tín hiệu giả mạo. Giả mạo nghĩa là phiên đang tự nhận là một thứ trong khi mọi thứ khác đều nói nó là thứ khác.

03. Lạm dụng hạ tầng

Lưu lượng từ các trung tâm dữ liệu, proxy ẩn danh, hành vi mạng lỗi thời, và các dải đã biết là xấu. Chúng tôi gắn cờ các mẫu hình mà không chặn người dùng thật tình cờ đang dùng VPN doanh nghiệp.

Chúng tôi tìm gì

• Lưu lượng từ các nhà cung cấp đám mây lớn — các làn gian lận quy mô lớn.
• Các dải đã biết là xấu từ các nguồn thông tin mối đe dọa, bao gồm proxy dân cư được bán cho các ring gian lận.
• Hành vi mạng lỗi thời hoặc bị hạ cấp gợi ý chuỗi proxy.
• Các tín hiệu múi giờ, ngôn ngữ, và vị trí mâu thuẫn nhau — dấu hiệu một proxy đang viết lại bề mặt nhưng không viết lại phiên bên dưới.

Kết quả

Nhận diện tín hiệu gian lận quy mô lớn — mà không bắn nhầm vào những người làm việc từ xa.

Tinh chỉnh

Lưu lượng trung tâm dữ liệu không tự động độc hại. VPN doanh nghiệp, nhân viên trên workspace đám mây, nhà báo đứng sau relay được host — tất cả đều có thể trông như “hạ tầng bị gắn cờ” mà không độc hại. Chúng tôi coi đó là tín hiệu yếu chỉ leo thang khi kết hợp với các danh mục khác.

04. Xử lý trình duyệt riêng tư

Các trình duyệt riêng tư đã được nhận diện, được đối xử với sự khoan dung đã chuẩn chỉnh. Người dùng quan tâm quyền riêng tư vẫn được chào đón; bot ẩn sau các trình duyệt riêng tư thì không.

Chúng tôi tìm gì

• Các hình dạng đã biết của các trình duyệt riêng tư phổ biến.
• Tính nhất quán thay vì giả mạo — một trình duyệt riêng tư thật tạo ra hồ sơ ổn định mà chúng tôi có thể nhận diện.
• Kiểm tra chéo với các tín hiệu phần cứng (05) và hành vi (06) để phân biệt một con người quan tâm quyền riêng tư với một bot ẩn sau cùng trình duyệt đó.

Kết quả

Chào đón người dùng riêng tư hợp pháp trong khi vẫn bắt các tác nhân ẩn mình trong số đó.

Tinh chỉnh

Đây là một trong những danh mục quan trọng nhất để ngăn dương tính giả. Mặc định là cho phép các trình duyệt riêng tư đã nhận diện. Điểm số mạng và hạ tầng vẫn áp dụng, nhưng chúng tôi loại bỏ các tín hiệu “ít chi tiết” vốn sẽ bắn nhầm vào hồ sơ cố tình đồng nhất của trình duyệt riêng tư.

05. Kiểm tra phần cứng

Các kiểm tra cấp thiết bị bắt emulator, máy ảo, và các cuộc tấn công phát lại. Những con bot vượt qua được các kiểm tra chỉ-trình-duyệt sẽ thất bại ở kiểm tra phần cứng.

Chúng tôi tìm gì

• Chữ ký đồ họa tiết lộ render bằng phần mềm — thường là máy ảo hoặc emulator thay vì thiết bị thật.
• Khả năng đồ họa không khớp với phần cứng được thiết bị tự nhận.
• Chữ ký âm thanh tiết lộ đường audio thật so với đường được mô phỏng.
• Các đặc tính thiết bị hàng ngày mà một máy thật có nhưng một container mới thường không có.

Kết quả

Xác minh thiết bị đúng là thứ nó tự nhận — không chỉ là trình duyệt chạy trên đó.

Tinh chỉnh

Phần cứng là tín hiệu mạnh nhất chúng tôi có, và tốn kém nhất để giả mạo ở quy mô lớn. Các ring gian lận có thể thuê proxy dân cư rẻ; chúng không thể thuê hàng triệu thiết bị thật một cách rẻ. Chúng tôi tính trọng số cho sự không khớp phần cứng tương ứng.

06. Bất thường hành vi

Các mẫu thời gian của chuột, bàn phím, cuộn, và hậu-thử thách. Hình dạng của một người dùng thật — và hình dạng của một người dùng tự động hóa — khác nhau ở cấp độ mili-giây.

Chúng tôi tìm gì

• Chuyển động chuột: con người có rung lắc, vi-hiệu-chỉnh, và giới hạn tự nhiên về tốc độ. Script thường vẽ các đường thẳng hoàn toàn mượt mà.
• Nhịp gõ phím: việc gõ thật có sự biến đổi; đầu vào lập trình thường nằm trong một cửa sổ chật hẹp đáng ngờ.
• Cuộn: cuộn thật giảm tốc tự nhiên; cuộn lập trình thường không.
• Thời gian sau thử thách: con người dừng lại; script tiếp tục ngay lập tức.

Kết quả

Bắt các phiên trông giống người trên giấy nhưng không hành xử như một con người.

Tinh chỉnh

Các tín hiệu hành vi là lặng lẽ nhất trong mô hình. Chúng là sự khác biệt giữa một phiên vượt qua mọi danh mục khác và một phiên vẫn cảm thấy sai. Chúng tôi dùng chúng để leo thang các phiên sạch về mọi mặt khác, không phải như tín hiệu chặn chính — chỉ dựa trên hành vi để phán xét sẽ gây tổn hại cho người dùng có khác biệt về vận động, công nghệ hỗ trợ, hoặc đơn giản là các thói quen bất thường.

Các danh mục kết hợp như thế nào

Mỗi danh mục tạo ra điểm rủi ro đã chuẩn chỉnh và thước đo độ tin cậy — không phải một phán quyết. Đội ngũ của bạn sở hữu chính sách cuối cùng. Chúng tôi chỉ đảm bảo các đầu vào là trung thực.

Luồng rất đơn giản: trình duyệt thu thập hồ sơ, sáu danh mục mỗi cái đưa ra đánh giá, các đầu vào có trọng số đó kết hợp thành một bậc rủi ro đã chuẩn chỉnh duy nhất, và code của bạn quyết định phải làm gì — chặn, thử thách, hoặc cho phép.

Thước đo độ tin cậy phản ánh mức độ mà phiên thực sự cung cấp cho chúng tôi dữ liệu để làm việc. Một phiên chỉ dành vài giây trên trang nói với chúng tôi ít hơn một phiên có đủ một phút tương tác, bất kể mức rủi ro.

Đọc thêm

• Tại sao chuẩn chỉnh, không phải phán quyết — triết lý đằng sau các danh mục này.
• Nguyên tắc kỹ thuật — các ràng buộc vận hành xuất hiện trong mọi ngưỡng.
• Chi tiết browser runtime — bề mặt phía collector cho mỗi danh mục.
• Câu hỏi thường gặp — các câu hỏi phổ biến về hành vi của danh mục.