Перейти к содержимому


centrcentrcentr

centrcentrcentr

centrcentr

Фотография

Кардинг как он есть. Часть №3


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 27

#1 Ronald Reagan

Ronald Reagan

    Обучение кардингу


  • Модератор
  • 295 сообщений

Отправлено 09 Август 2016 - 16:57

3. ВЫЯВЛЕНИЕ МОШЕННИЧЕСКИХ ОПЕРАЦИЙ.

Ну вот и добрались до вкусняшей. Начинаем:
а) Kount Fraud Score.
б) Order Linking
в) Device Fingerprint
г) Persona Technolagy
д) Proxy Piercing
е) Dynamic Scoring & Rescoring
ё) Geolocation
ж) Mobile Device Analysis
з) Behavioral Analysis
и) Link Analysis

а) Kount Fraud Score.
pdf-8.png
Система выставления вероятности мошенничества, на основе множества данных, полученных от пользователя и о пользователе.
Выставляется оценка от 1 до 99. По сути, Kount Fraud Score является результатом оценки всех пунктов, что перечисленны ниже, от "б" до "и".
Но это еще не всё. Как пишут сами Kount, обычный антифрод анализирует данные, на основе 5-ти пунктов. Kount же используют более 200 переменных для аналагичного анализа.
Прокомментирую пункты, выделенные оранжевыми стрелочками на скриншоте по порядку, сверху вниз, попутно переводя их:
Мультимерчантная система связи покупок.
Судя по названию, т.к. описния мне не удалось найти, а у нас тут только правда матка, рискну лишь ПРЕДПОЛОЖИТЬ, что все магазины, подключенные к этой системе, имеют общую базу покупок.
В связи с этим, рискну предположить, что если вы счастливчик по натуре, попытались вбить в один шоп цц и получили отказ и сразу же лупанули в другой шоп, подключеннной к этой системе, то там вас тоже пошлют, основываясь на вашем предыдущем ордере.

Кредитные карты клиента, емейл и шиппинг адрес.
На этой стадии, судя по всему, происходит анализ кредитных карт, емейла и шиппинга. Всё очевидно. Что именно там анализируется, не берусь сказать.

Статистика стран высокого риска за последние 14 дней.
Страны, с высоким риск скором, автоматически получают дополнительные фрод очки.
Вот список данных стран, их актуальность на момент публикации статьи, не берусь сказать:
Armenia, Azerbaijan, Belarus, Bulgaria, Georgia, Kazakhstan, Kyrgyzstan, Latvia, Lithuania, Macedonia
FYR, Moldova, Russia, Ukraine and Uzbekistan.
Так же существует список стран малого риска:
Andorra, Austria, Belgium*, Cyprus, Denmark, Finland, France, Germany, Greece*, Iceland,
Ireland, Israel, Italy, Luxembourg, Malta, Monaco, The Netherlands*, Norway, Portugal, San Marino, Slovenia, Spain*,
Sweden*, Switzerland and the United Kingdom.

Многоуровневый FingerPrint анализ.
Информация об устройстве, с которого совершается вбив. Об этом будет рассказано позже.

Настройки и конфигурация ПК пользователя.
Антифрод пытается достать всю инфу, которую может, о вашем компе.

Анализ типа сети, к которому подключен ip пользователя.
Т.е. система может установить, что вы вышли в интернет из тюрьмы, школы, баблиотеки и т.п. Я тут если честно сам в шоке.

Использование средств анонимности и прокси сервисов.
Некое подобие теста от www.whoer.net

Проверка часового пояса покупателя.
Если часовой пояс у вас на компе, отличается от часового пояса прокси, вы спалились.

Использование технологии Kount Persona
Об этом будет в пункте "г". Не стоит забегать вперёд.

б) Order Linking
Связь текущего ордера с ордерами, совершенными до этого во всех сайтах, к которым прикручен Kount. Будет упоминаться позже.

в) Device Fingerprint.
pdf-2.png
А, вот он какой, мультидевайсный отпечаток пальца.
Скажу честно, я не знаю, входит ли в эту технологию обычный FingerPrint или нет. Здесь этого не указано, но я уверен, что грех его не юзать.
Используя данные о вашей системы, Kount составляет определенный уникальный отпечаток.
Вот что пишут сами Kount в этом скриншоте - "Кардеры используют определенные подтёрны, при настройке системы, что позволяет легко создать правила, для определения мошенника."
Через кучу текста будет скриншот с панели управления Kount, где будет правило "Flash выключен, Java Script включен в браузере."

г) Persona Technolagy
pdf-7.png
Судя по описанию, это некая база данных, которая хранит историю всех операций, совершенных, с использованием системы Kount.
Как я и предпологал выше, существует связь между всеми магазинами, которые защищает Kount. И если ты не вбил в одном, то ты не вобьешь и в другом.
Вот краткое описание того, что может проверять система:

Количество кредитных карт, связанных с Persona. Слово Persona тут используется как набор данных о пользователе. При этом этот пользователь может не являться клиентом, а просто тем, кто пытается скардить мерчи с Kount, раз за разом. С одним пользователем может ассоциироваться десятки кредитных карт разных людей, которые использовались за короткий промежуток времени.

Количество емейлов, ассоциирующихся с Person'ой, совершающей покупки.

Фактическое местонахождение определено с помощью технологии Proxy Piercer.

Расхождение в данных, введённых пользоваталем, и данных, полученных от Multi-Laeyer Device Fingerprint.

д) Proxy Piercing

pdf-1.png
В двух словах, палит использование вами прокси или Botneta. Скорее всего блек листы и т.п. фишечки.

е) Dynamic Scoring & Rescoring
pdf-6.png
Динамическая система оценки и переоценки. Прикольная тема. Суть поймёте из примера. Как всегда, примеры берем от самих Kount.
За маленкий срок совершается большое количество операций по покупке билетов, при том карты, емейлы, дивайсы, с которых совершаются покупки меняются. И друг к другу на первый взгляд отношения не имеют.
Система включает режим паранои и определяет систематические попытки купить одно и тоже.
На основе этого, фраудскор операции с спокойным "Dynamic Scoring & Rescoring" может составлять 20%, а с параноидальным режимом, он может подскажить до 80%. К примеру.
Но самое весёлое, что идёт еще и переоценка ордеров, которые совершились до этого. И их могут задеклайнить, либо прозвонить вас.

ё) Geolocation
Проверка на геолокацию, тут не чего добавить.

ж) Mobile Device Analysis
Анализ мобильного устройства. Этот пункт меня не интересовал, но тут и так всё ясно.

з) Behavioral Analysis
Поведенческий фактор. Не делайте ошибок и странных действий. Будьте последовательны.

и) Link Analysis
"Kount only accepts account_code’s that are 32 characters or less. To honor this restriction, for any account_code’s exceeding 32 characters, Recurly will only send the first 32 characters to Kount. If you use the Link Analysis in Kount, this could lead to merging the histories of different accounts whose account_code’s contain the same first 32 characters."
Судя по этой строчке, которую я нарыл, можно сделать вывод, что происходит анализ ссылок, по котором ходил пользователь. Т.к. в строчке говорится, про какие то ограничение длинны символов и возможности их слияния, когда часть строчки обрубится автоматически.

Ну вот мы почти и подошли к концу.
Я обещал ещё рассказать о том, что видит оператор шопа, когда вам совсем не повезло и вы попали на ручную проверку.
pdf-3.jpg
Я буду описывать то, что смог понять, глядя на скриншот. Опять же, без фантазёсртва. Простые вещи, понятные и ежу, я описывать не буду. Поехали!
1. Статус заказа - "На рассмотрении".
2. Дата регистрации пользователя.
3. Сумма оплаты, с какой страны карта, тип карты (виза и т.п.)
4. В оплате так же присутствуют какие то флаги - AUTH, AVSZ, AVST, CVVR, MACK. По названию тут всё понятно. А зелёная галочка, рядом с флагом, означает, что проверка по флагу пройдена.
5. VIP Summari - показывает статистику по прошлым заказам для текущего пользователя. В нашем случае таких записей не имеется.
6. ip пользователя, email.
7. Link Analysis. Про эту систему я писал выше, повторяться не буду.
8. Отображаются текущие товары в корзине пользователя.
9. Номера телефонов от биллинг и шиппинг адресов, соответственно. Тут хочется отметить, что идет автоматическое определение по "area code".
Если номер с одного города, а биллинг с другого, наверное это не совсем хорошо.
10. Карта временных зон, с отображением ip, с которого был сделан заказ, биллинг адреса и шиппинг адреса. Тут не совсем понятно, для чего это сделано.
11. Биллинг, шиппинг адрес.
12. Панель сравнения Биллинг и Шиппинг адреса. Рассмотрем её пункты подробнее:
а) Тип адреса. Судя по скриншоту может определяться даже тип сдания - High Rise (высотка).
б) Маршрут перевозки. В случае с биллинг адресом - это доставка по городу.
в) Тип зип кода...
г) Объект выдачи - почтовое отделение.
д) Совпадают ли зипкоды в биллинг и шиппинг адресе. Вас не должна смущать надпись ZIP+4, это обычные зип коды, т.к. первоначально они состояли из пяти цифр, но в 1980-х годах были расширены до девяти цифр, которые записываются через дефис — XXXXX-YYYY, например, 12345-6789.
е) Округ. Ну тут вы сами понимаете... Гуф из центра, ЦАО, все дела.
ё)Временные зоны.
ж) Ширина и долгота.
з) Примечания.
Вот как то так происходит сверка биллинга и шиппинга.
13. Внизу скриншота, можно увидеть кусочек инфы о банке, выпустившем карту.
14. Справа от данных о банке есть пункт "Дистации". Скорее всего предназначен для анализа расстояния от чего то до чего то.
Рискну предположить, что если о пользователе уже были собраны данные о ранее используемых ip, то можно легко посмотреть расстояние от ip до ip по зип коду.
15. Вверху по центру находится панель Рискскора. Там указаны все карты, принадлежащие пользователю, емейлы, устройства, с которых заходит пользователь.
Ну и собственно показан процент вероятности, что операция является мошеннической. В нашем случае это 99%.
16. Вверху находится меню, с такими пунктами как "Подозрительные ордера", "Persona Orders" (вспоминаем о том, что я писал выше по поводу Persona.) и т.п.

pdf-5.jpg
На этом пункте, очкариков, я попрошу расслабиться и сам разберу все пункты этого еле понятного скриншота.
Графики я затрагивать не буду, т.к. особо интересного для нас там ничего нет. Я рассмотрю доступные нам категории правил:

1. Топ 5 последних правил для подтверждения платежа.
Чем больше введённых вами данных и сделанных действий, будут соответствовать этим правилам, тем больше у вас шансов получить подтверждение вашего ордера сразу же.
Это не универсальные правила мира сего, это просто инфа со скриншотов Kount:
а) Страна США, где ордер меньше 5$. Подобное я встречал в гифтах, на сайте Microsoft, когда покупал X-box egifts. Гифты на 100$ приходится ждать час или ловишь отмену, ордера на 5$ проскакивают сразу.
б) Вероятность мошенничества меньше 20%.
в) Оплата с помощью подарочного сертификата. Тут поясню. Т.к. компания уже продала сертификат кому то и получила за этот сертификат свои деньги, ей уже по сути плевать, кто его заюзает и как.
г) E-mail находится в белом V.I.P. листе. Кто его знает, что это за лист и с чем его едят.

2. Топ 5 последних правил для заказов, которые определят ваш заказ на дополнительную проверку.
а) Использование более 3 различных кредитных карт.
б) Обзор типа сети. Тут у меня 2 варианта. Толи с Tora не скардить, толи из тюряги :)
в) Количество ордеров 7 в течении 14 дней. Этакий шопоголик на прогулке.
г) Пользователь использует более 4 разных e-mail адресов для покупок.

3. Топ 5 последних правил попадая под которые, ордер отменяется.
а) Страна высокого риска.
б) Страна доставки USA, но на данный адрес доставка не производится.
в) Вероятность, что операция окажется мошеннической - 90%. Такие нам не нужны.
г) E-mail находится в чёрном V.I.P. листе. Кто его знает, что это за лист и с чем его едят.

4. Топ 5 не меняющихся правил. Они могут относится к различным трём категориям, которые я перечислил выше.
а) Пользователь использует прокси.
б) В браузере Flash отключен, но Java Script включён. Это те самые подтёрны, о которых я говорил в середине статьи. Всё просто. Flash палит ip и dns, если соеденение проходит через соксы, ssh.
Если включить голову, это весьма легко обходится.
в) Использование 5 разных карт в течении 6 часов.
г) Более 5 деклайнов для одной Persona. Эффект бабочки, мать его. Не вбил 5 раз, не вбил и сейчас.
д) Банк эмитент, находится в списке банков, с высоким уровнем риска. Хз, как попасть в этот элитный клуб банкиров.

Так же присутствует отображение статистика покупок по странам. Показывает сколько заказов было сделано из конкретной страны, составляя ТОП 5 рейтинг.

Нам осталось совсем немного, скоро закончим.
Ранее я упоминал EmailAge. Это сервис, который можно дополнительно подключить в мерче BrainTree для доп. защиты.

21.png
22.png
Компания занимается только анализом E-mail адресов. Не знаю, какие алгоритмы и т.п. фишки они используют и с кем сотрудничают.
Могу лишь отметить то, что при создании емейлов, используйте имя и фамилию холдера. О чем собственно нам и говорит картинка выше.
 

Заключение

На наглядом примере www.bodybuilding.com, я покажу вам, как решает проблемы с мошенничеством Kount.
Нет, я не буду вбивать туда, я как всегда лишь опишу то, какие меры предприняти в Kount, чтобы увеличить количество продаж вышеупомянутого сайта и сократить риск мошенничества.

pdf-9bbcom94937.png
Бадибилдинг.ком является сайтом #1 по продаже спортпита. Кто употреблял, тот знает, что протеин умеет ждать (С) Гуф.
Большую часть заказов этот сайт получает от Армии США.
1369679402_883605330.jpg
Частенько заказы от вояк приходят из горячих точек и стран с высоким уровнем риска. Соответственно, данные операции отклоняются фродом. И компания теряет свох клиентов.
Ну представьте себе, малыш Бобби Ли заходит с ip адреса Сирии, вбивает данные карты США и в качестве шиппинг адреса указывает Сирию.
40d4c70555636d50764195e3414a816b.jpeg
Фрод в этом случае просто зашкаливает и малыш Бобби ловит деклайн. Если компания уберёт из правил проверку на страну высокого риска, тут же полетят наши Бобби Ли из Рашки.

Для разрешения ситуации с заказами для вояк была правильно настроена система Multilayer Device Fingerprint, о которой я уже упоминал.
Хрен его знает, что они там внедрили, можем лишь гадать.

Результаты подключения Kount к Bodybuilding.com за 2 месяца работы:
1. Чарджбеки уменьшились на 65%. Что означает, что вбить туда стало в 2 раза тяжелее.
2. 14% снижение отмененных заказов. На 5% повысились продажи.
3. Процент отказа стал менее 1.5%
4. Никаких существенных жалоб от клиентов, по поводу работы магазина.
5. Повышение эффективности системы, за счет автоматизации процессов.

У меня всё.

P.S> Что я хотел донести этим мануалом и для чего они в первую очередь писался. Писался он для меня лично, моими же руками. Т.к. пока я его писал, в голове неплохо так всё утрамбовалось, чего и вам желаю.
Так же я хотел показать, как легко при желании собрать нужную инфу о шопе, мерче и работе фрода. А дальше остаётся лишь анализировать все эти данные, составить план по вбивам и приступить к практике, которая зачастую очень и очень отличается от практики.

В принципе я считаю что это максимум того, на что способен антифрод и какие его виды бывают. Естественно, вся эта жесть, длинною в 850 строк, 30+ скриншотов и 133 000 символов, присутствует далеко не во всех шопах.

Надеюсь вам было приятно читать и вы узнали хоть чучутельку чегото нового. Я призываю вас закупать сверхчистые дедики, по 5 часов бродить в шопе, добавляя товар и удаляя, покупать американские симки для прозвона, разогревать саппорт шопа и самому подключать мерч для досканального изучения работы антифрод системы, интересующего вас сайта.
Я просто хочу, чтобы вы понимали, что должны использовать ДОСТАТОЧНЫЙ уровень маскироваки для каждого конкретного случая. Перед тем как бездумно лупить, изучите всё, как это сделал я.
И теперь увидев на сайте при регистрации поле для ввода даты рождения, вы несколько раз задумаетесь, а зачем оно здесь? Просто так для болды, чтобы вы ввели туда рандомную дату рождения или же для того, чтобы в последующем эту дату мог проверить фрод-бот и на этом спалить вас.


  • 2

#2 Alexandr

Alexandr

    Пользователь


  • Пользователь.
  • PipPip
  • 14 сообщений
  • Сделок через гарант:3

Отправлено 09 Август 2016 - 18:54

Спасибо, всё прочитал на одном дыхании ) Полезная инфа для размышления и анализа шопов в дальнейшем.


  • 0

#3 Mortimer

Mortimer

    Продвинутый пользователь


  • Полный доступ ♔
  • 45 сообщений
  • Сделок через гарант:3

Отправлено 10 Август 2016 - 18:54

Очень полезная статья!


  • 0

#4 Stryke

Stryke

    Продвинутый пользователь


  • Полный доступ ♔
  • 147 сообщений

Отправлено 11 Август 2016 - 18:58

Все три части прочитал. Все на высоте.


  • 0

#5 Angelina

Angelina

    Продвинутый пользователь


  • Полный доступ ♔
  • 49 сообщений

Отправлено 11 Август 2016 - 21:58

Спасибо, отличная статья!


  • 0

#6 Max88

Max88

    Пользователь


  • Пользователь.
  • PipPip
  • 10 сообщений
  • ГородМосква

Отправлено 11 Август 2016 - 23:58

Очень хорошая статья.


  • 0

#7 FireFox

FireFox

    Пользователь


  • Пользователь.
  • PipPip
  • 23 сообщений

Отправлено 12 Август 2016 - 02:54

Все три части читаются на одном дыхании, интересная статья с хорошим анализом.


  • 0

#8 Heisenberg

Heisenberg

    Продвинутый пользователь


  • Полный доступ ♔
  • 379 сообщений
  • Сделок через гарант:4

Отправлено 13 Август 2016 - 01:56

Очень познавательно, раньше работал с ББ, действительно гаечки они сильно подкрутили....


  • 0

#9 Raptor

Raptor

    Продвинутый пользователь


  • Полный доступ ♔
  • 276 сообщений

Отправлено 13 Август 2016 - 03:56

Еще раз спасибо за твои труды)


  • 0

#10 Selikon

Selikon

    Пользователь


  • Пользователь.
  • PipPip
  • 12 сообщений

Отправлено 15 Август 2016 - 03:50

У меня при вбиве всегда javascript включен, а flash, webrtc - это всё отключено. Даже и не думал, что это считается подозрительным. Тем более, когда скачиваешь, например, Mozilla Firefox, там по умолчанию всё отключено, кроме webrtc.
Голову пытаюсь включить, но чё то не пойму как это обоходится) подскажите


  • 0

#11 Klinton

Klinton

    Пользователь


  • Пользователь.
  • PipPip
  • 11 сообщений

Отправлено 16 Август 2016 - 01:50

анализ ссылок - имеются в виду ссылки внутри шопа? Или может в истории браузера копаться и, например, тот же хуер найти?


  • 0

#12 Vladimir

Vladimir

    Продвинутый пользователь


  • Активный форумчанин
  • PipPipPip
  • 40 сообщений
  • Сделок через гарант:1

Отправлено 16 Август 2016 - 01:58

Три части на одном дыхании. Спасибо за инфу.


  • 0

#13 Viniken

Viniken

    Новичок


  • Пользователь.
  • Pip
  • 5 сообщений

Отправлено 18 Август 2016 - 01:00

Познавательно,побольше бы таких статей.
P.S. тут вроде опечатка : "и приступить к практике, которая зачастую очень и очень отличается от практики."


  • 0

#14 vasiliy80

vasiliy80

    Новичок


  • Пользователь.
  • Pip
  • 8 сообщений

Отправлено 20 Август 2016 - 02:00

еще вопрос - а мыло в ба антифрод может чекнуть?


  • 0

#15 Nexus

Nexus

    Продвинутый пользователь


  • Пользователь.
  • PipPipPip
  • 38 сообщений
  • Сделок через гарант:3

Отправлено 20 Август 2016 - 14:00

Как всегда полезная пища для ума , ТС ждём от тебя таких же востребованных тем , а от меня спасибо!


  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных