Что нужно знать об antifraud перед вбивом и не только.

[blackedd]

В этой теме я бы хотел рассмотреть как можно идентифицировать пользователя, работу оператора, как нужно анализировать шоп.
1)Начнём с методов идентификации пользователей.
Зачем нужна идентификация ? В общем случае - чтобы понять, был ли этот человек на сайте, на каких сайтах он был, чтобы давать контекстную рекламу. В частном случае - чтобы не давать кардерам делать их чёрные дела.
Многие слышали, об идентификации Canvas Fingerprint.
Вот его критери:
[+] Canvas Fingerprinting

• UserAgent


• Language


• Color Depth


• Screen Resolution


• Timezone


• Has session storage or not


• Has local storage or not


• Has indexed DB


• Has IE specific 'AddBehavior'


• Has open DB


• CPU class


• Platform


• DoNotTrack or not


• Full list of installed fonts (maintaining their order, which increases the entropy), implemented with Flash.


• A list of installed fonts, detected with JS/CSS (side-channel technique) - can detect up to 500 installed fonts without flash


• Canvas fingerprinting


• WebGL fingerprinting


• Plugins (IE included)


• Is AdBlock installed or not


• Has the user tampered with its languages 1


• Has the user tampered with its screen resolution 1


• Has the user tampered with its OS 1


• Has the user tampered with its browser 1


• Touch screen detection and capabilities


• Pixel Ratio

Отпечаток составляется из всех этих параметров. Каждый параметр имеет допустимую погрешность, то есть если вы измените только 1 из этих параметров, существенно ничего не изменится (кроме версии браузера, самой версии операционной системы). Допустим я изменил Timezone, общий отпечаток не поменяется, ровно как и включу или отключу я DoNotTrack, тем более они имеют маленький вклад в сам отпечаток. Однако поменяй я несколько параметров, да ещё и установлю Microsoft Office (сам офис не нужен, нужны лишь шрифты, которые идут в комплекте с ним), фингерпринт изменится.
Какие параметры нужно изменять, чтобы добиться изменения фингерпринта ?
1)Версию браузера 2)Сам браузер, с хрома на фаерфокс к примеру 3)Версию винды 4) шрифты (пакет офиса) 5)Плагины. Каждый из первых трёх параметров изменяет фингерпринт, остальные два лишь в совокупности (не считая языка, таймзоны, разрешения экрана, глубины цвета т т.д. которые вносят очень маленький % в отпечаток и по сути он вряд ли будет изменяться)
Ещё я бы хотел сказать пару слов о WebGl, многие в курсе, что он способен определить имя драйвера графической карты, но не все в курсе, как его изменить.

(Сайт https://www.browserleaks.com/webgl)
Не очень, правда ? Так могут легко узнать, что мы сидим с виртуалки.
Изменить это несложно, пишем в поиске regedit.
Пишем в поиске название нашей видеокарты, в моём случае SVGA 3D
Затем ищем параметр DriverDesc и изменяем его правой кнопкой мыши, Modify

Пишем, что хотим ) Но лучше реальную модель
После этого перезагружаемся и вуаля

По идентификации я упомяну ещё в конце этой статьи, когда будем разбирать анализ сайта.
2) Работа оператора
После того, как мы всё сделали и видим надпись order processing есть два пути развития событий, в зависимости от того, сколько у нас RiskScore 1) автоматическое подтверждение 2) подтверждение оператором.
В первом случае радуемся. Во втором случае оператор будет смотреть что мы купили (товары в зоне риска), нашу историю (когда мы заходили), дату регистрации, активность (тот самый разогрев шопа), правильность адреса (как написан и что там вообще стоит на карте), время покупки (ночь или рабочее время), совпадение OS, чистоту IP, расстояние между IP и адресом холдера и много других параметров. Параметры могут разниться в зависимости от шопа, вот примерный список.
[+] Potential fraud

1. IP address checks (Проверка IP адреса на блек)


2. Country Match (Совпадает ли страна, указанная в Биллинге с IP?)


3. High Risk Country (Страна с выс. уровнем фрода? Индия, Россия например)


4. Distance between IP and billing locations (Расстояние между IP и адресом Биллинга)


5. City Name


6. Region Code


7. Region Name


8. Country Code


9. Country Name


10. Continent Code


11. Latitude/Longitude (Гео координаты)


12. US Postal Code


13. Time Zone


14. AS Number (Не знаю что это)


15. User Type (Браузер)


16. Connection Type (Тип соединения - прокси например)


17. Domain Name (Домен)


18. ISP/Organization (Провайдер)


19. Accuracy Radius (Точность определния)


20. Country Confidence Factor (Проверка совпадения страны)


21. Region Confidence Factor (То же самое по региону


22. City Confidence Factor (Совпадения города)


23. Postal Code Confidence Factor (Почтового кода)


24. Proxy Detection


25. Anonymous Proxy


26. Open Proxy


27. Corporate Proxy


28. Email Checks


29. Free Email (Указана бесплатная почта?)


30. High Risk Email (Почта в спам листе?)


31. Issuing Bank Number (BIN) Checks


32. BIN Country Match


33. BIN Country Output


34. BIN Name Match (Проверка совпадения имени КХ)


35. BIN Name Output


36. BIN Phone Match (Проверка номера телефона)


37. BIN Phone Output


38. BIN Prepaid Output (Предоплаченная карта?)


39. Address Check (Проверка AVS)


40. High-risk shipping address (Адрес посреда?)


41. Risk Score

Так же стоит подбирать туннель/носок, так, чтобы было совпадение OS.
Теоретически можно посмотреть на какие сайты заходил пользователь, по запросу Js. Допустим, если мы логинились на Facebook'e, то это вызовет большее доверие, несомненно. Но эта инфа недостоверная, поэтому заморачиваться или нет дело только Ваше.
Сам оператор тоже человек и безусловно может распознать поведение присущее кардеру, как уже много раз говорили, стоит вести себя как обычный покупатель и продумывать всё до мелочей, даже пожелание к покупке стоит писать.
3)После того, как мы нашли шоп, с которым хотим "работать", желательно узнать, какие запросы он отправляет. Для этого нам поможет расширени Chameleon (ссылка https://github.com/ghostwords/chameleon)
Устанавливаем его и проходим все этапы от регистрации до покупки, и смотрим, какие запросы он отправляет

Это нам поможет узнать, что же от нас хочет шоп, и как под него подстроиться и узнать наличие фингерпринта.
Я попытался кратко рассмотреть фингерпринт, идентификацию пользователя как таковую и операторскую работу, конечно всё это может разниться в зависимости от шопа, в некоторых фингерпринта и вовсе нет.
Все эти технические составляющие, такие как настройка системы. замыкание на себя (webrtc), поиск чистого туннеля, важны, но так же на успешность вбива безусловно большое влияние оказывает сам банк. Есть бины, которые находятся в "чёрном списке"(неактуальные). Так же сам банк может отменить оплату, если, допустим, заметит подозрительную активность.
Главное быть не как все ( кардеры), но одновременно как все (обычные покупатели).
(c) Perfecto