此翻译由机器生成,正在等待审核。 切换到英语
控制台

用例

在三个真实生产流量切片中,成功究竟是什么样子。

我们成果部分中的数字——拒付中位数下降约 47%、误报率低于 0.5%、验证在几毫秒内响应——都来自类似下面这些的集成。这里的案例是经过匿名化的综合体;但模式是真实的。

市场平台

问题:假账号团伙创建数十个账户,用以恶意刷差评、操纵卖家排名,或滥用注册奖励促销。

信号:两小时内创建了 12 个账户,全部来自不同的连接——但浏览器和篡改迹象指向一个共享的自动化集群。

信号如何叠加

来自家庭连接、使用真实浏览器的单次注册,平平无奇。来自十二个不同家庭连接、看起来运行在同一个自动化浏览器、具有相同篡改签名的十二次注册,就是一个假账号团伙。

在这里一起触发的类别:

  • 自动化与机器人(01)— 每个账户上的无头浏览器签名。
  • 指纹篡改(02)— 绘图测试结果与所声称的浏览器版本不符。
  • 基础设施滥用(03)— 由已知欺诈运营商出售的住宅代理。
  • 行为异常(06)— 注册表单以相同的模式、相同的时序填写。

单一类别都无法标记出这个团伙。组合后的风险评分则可以。

策略

市场平台在最高等级直接拦截——拦截的是团伙,而非客户——当风险高且置信度充足时,升级为电话号码验证。其他所有流量正常放行。实际上整个策略不过是读取 Noxtica 返回的风险等级的几行代码。

结果

集成后 30 天内,虚假注册下降约 70%。真实客户的注册转化率保持不变。

金融服务

问题:无卡交易欺诈,尤其是账户接管攻击——攻击者持有卡片信息,但没有持卡人已知的设备。

信号:一个画像与持卡人已知设备不匹配的会话。应对方式是升级验证,而非直接拦截。真实客户感受不到摩擦;欺诈团伙则每笔交易都要面对额外验证。

信号如何叠加

无卡交易欺诈越来越多地在攻击者控制的设备上使用真实的被盗卡片信息。设备就是区分点。我们为每位客户保存一份画像;当某笔交易来自一个我们此前未与该客户关联过的画像时,我们就标记它。

在这里一起触发的类别:

  • 硬件检查(05)— 新设备可能有不同的显卡、音频或内存签名。
  • 基础设施滥用(03)— 即便使用住宅代理打掩护,欺诈团伙也常从数据中心路由运行。
  • 行为异常(06)— 结账时序与持卡人的历史模式不符。

仅凭新设备信号本身并不恶意——客户会买新手机、换笔记本、重装系统。我们将它与其他类别加权组合,以区分”使用新设备的客户”与”持有被盗卡片信息的攻击者”。

策略

在已知设备、低于最高等级的情况下,回访客户直接放行,无需摩擦。当风险高,或新设备出现在异常大额的交易中时,会话获得升级验证,而非直接拦截。策略始终偏向让真实客户完成购买。

结果

拒付损失在 90 天内下降约 45-50%。升级验证只影响一小部分交易,且其中绝大多数成功完成——真实客户通过了验证。

对身份敏感的平台

问题:无密码和单点登录平台需要确认点击登录链接的主体,与请求登录链接的主体是同一个。钓鱼工具包和链接中转服务会破坏这个假设。

信号:从与请求时不同的画像点击的链接,会触发额外的验证步骤。钓鱼工具包和链接中转服务在这个关卡被捕获。

信号如何叠加

当一个登录链接被请求时,我们记录请求方的画像。当链接被点击时,我们重新核查画像并进行比较。如果两者匹配——同一浏览器、同一设备——链接自动完成认证。如果不匹配,我们将该次点击视为不同的会话,并要求额外的验证步骤。

在这里一起触发的类别:

  • 指纹篡改(02)— 钓鱼工具包通常运行无头浏览器,其画像与用户真实设备不符。
  • 行为异常(06)— 请求与点击之间的时间、流量来源,以及会话如何变化,都很重要。
  • 基础设施滥用(03)— 链接中转服务通常从云基础设施运行。

策略

如果点击设备与请求链接的设备匹配,登录链接自动生效。如果不匹配,平台在放行会话之前要求第二因子验证。匹配检查是对链接发出时所记录的画像的简单比对。

结果

针对登录链接活动的钓鱼成功率大幅下降——成功的凭据中转攻击通常减少 90% 以上。合法切换设备的真实用户会看到一个额外的验证步骤,随后便被加入受信任设备列表,供未来的链接使用。

规律:何时拦截,何时挑战

在这全部三个用例中,策略结构是相同的:

  1. 严重风险 — 带记录的拦截。这些会话不值得为其发起验证挑战。
  2. 高风险 — 挑战:升级验证、第二因子,或人工审核。真实客户能通过;机器人不能。
  3. 中等风险 — 观察。记录会话,在控制台中浮现,但不增加摩擦。
  4. 低或极低风险 — 放行。绝大多数流量。

这四个动作映射到五级风险模型:最低的两个等级对几乎所有人来说都折叠为”放行”,但在控制台中保留两者的区分有助于了解你的流量分布。

延伸阅读