- Joined
- Jun 1, 2014
- Messages
- 284
- Reaction score
- 263
- Points
- 63
Catch me if you can, or how you are detected on the Internet
When visiting pages on the network - whether it be news sites or online stores, have you thought about what information you transmit to the resource you visit? Did you know that some sites can receive almost complete information about your computer? Would you like to know how to avoid this? Then this article is for you.
The rapid development of the Internet marked a significant increase in commodity-money relations online. Of course, this could not but affect the interest of fraudsters and criminals who began to use the latest technology for personal illegal enrichment. One of the areas of shadow activity in the early 2000s was carding - the use of other people's credit cards for purchases in a network of goods and services with their further cashing out. Most commercial organizations were absolutely unprepared for the ever-increasing wave of cyber crime and had not yet managed to develop adequate protection measures, which allowed the pioneers to literally get rich. For quite a long time, both banks and large stores preferred not to notice this problem, because interest in attracting customers significantly exceeded potential losses. But, with the continued rapid growth of cyber crime, they were forced to defend themselves.
The first steps on the part of credit card issuers were the introduction of additional authorization systems for purchases on the Internet - VBV (Verified by Visa) and MSMC (MasterCard Master Security). In Russia, this technology is familiar in receiving SMS when online transactions, in other countries, including In the European Union and the USA, it can also be the installation using the personal data of the card holder of the online code used to confirm risk operations (which carries additional risks, because the fraudster can use the stolen information to create a personal online account, etc. n "rolls"). Currently, more than 90% of cards in the CIS and EU countries are connected to this technology by default, which cannot be said about the United States - although dual authorization is more common there, most cards still do not have this technology, using address validation (when ordering goods, a check is made for the coincidence of Billing Address - the address of the card holder, and Shipping Address - the address to which the purchase is made in the online store). In general, the efforts of Visa and Mastercard were not sufficient, because in fact an attempt was made to upgrade the generally outdated financial mechanism, which was not originally intended for remote purchases, so it became obvious the need to create protective mechanisms independent of card issuers. This also coincided with the emergence of online giants of the electronic payment market such as PayPal, which, as intermediaries in carrying out financial transactions, carried increased risks of fraud.
This is what marked the emergence of Anti-Fraud (Anti-Fraud) systems - a powerful defense, the existence of which you may not have known or guessed, but you encounter it every day - from visiting your favorite social network to any Western Internet by the store. The paradox of this situation is that when you try to create a more secure online shopping space, the Internet has completely lost its original anonymity, and a huge amount of your data is available for logging and further analysis.
What is an antifraud system? This is a powerful software package designed to identify possible fraud using a number of “flags”, which are the address or range of ip addresses and unique characteristics of the browser, as well as special types of cookies, some of which are not cleared during normal cleaning.
Let's take a closer look at them:
- IP and DNS addresses. As most users know, the outgoing address data shows the user's affiliation with a particular provider and location, and when using a computer to make purchases to ordinary users, it is not hidden and is direct. Attackers often use special bundles from vpn + proxy / vpn + ssh / tor + ssh in order to anonymize themselves and get closer to the real location of the address of the real cardholder or payment system account. The task of the antifraud system is to check the presence of VPN and proxies using special tools (reverse ping, open ports), and also to determine whether attempts of fraudulent actions from these addresses have been made. As a rule, the majority of proxies and tunnels sold cheaply in the dark segment of the Internet have already been repeatedly used by completely different people in such matters, therefore they are marked on a risk scale. That is why the search for clean proxies on current systems is a very significant stage in criminal activity.
- Browser options. Everyone knows that sites use special files called cookies to identify a user, but not everyone knows that there are several formats of cookie data, starting from the so-called evercookies, which are stored locally and are not deleted during normal browser cleaning, and ending with removing the browser fingerprint , which allows you to get a unique "signature" (signature), which remains unchanged forever when using a browser on a computer to ordinary users. Thus, if you think that the usual cleaning of the browser will allow you to become a clean user in the eyes of the site you are visiting, this is a huge misconception that let down a fairly large number of people.
What are the fingerprints on the basis of which a unique portrait of the user is created? In fact, there are a huge number of different private detections that, thanks to the features of a browser, determine its characteristics or substitution. At the moment, I would like to dwell on the main parameters used in the vast majority of antifraud systems:
The most paradoxical thing is that ordinary users leave this information about their stay on a variety of sites, often without even realizing it. Fraudsters have long learned to circumvent these checks using specially developed for this software - antidetect. As expected, Russia was in this direction ahead of the rest, which the American press repeatedly lamented.
Consider the most famous programs at the moment. The first product of this kind was the domestic development of Antidetect, created on the basis of the Firefox browser using the integration of special add-ons, which allowed a fairly primitive level to change the usual browser settings, which, nevertheless, allowed it to become one of the most famous tools in the world for carding. And although software of this kind can well be used for completely legitimate activities, the author recklessly made a bad name for himself by filming the use of a stolen credit card as an advertisement for a product to buy electronic goods, which outraged Mr. Krebs himself (a famous American cybercrime fighter) , who not only wrote an article about this development, but also deanonymized its author.
You can find this investigation by the link: research.
The following public attention was drawn to a new product of national development, called Linken Sphere. The underground community is still arguing why the authors named their product that way, and whether it is a reference to a popular online game in which this inventory item reflected negative spells aimed at the owner, or the name comes from the English word Link (link), but this product actually fits both descriptions - it offers unprecedented opportunities for simultaneous work in parallel tabs using various connections, while each tab essentially emulates a separate browser with its own unique characteristics and protects the user from identification. The possibility of substitution covers all currently known characteristics that can only be tracked or noted. It is worth noting that the developers, unlike the author of Antidetect, do not mention the possibility of using this program in criminal activities anywhere, but active browser advertising is also carried out on shadow resources, from which certain conclusions can be drawn. At the same time, it is known that this software, in view of the multithreading capabilities, is used, for example, in completely white schemes, for example, traffic arbitration or working with social networks. Despite the fact that this product appeared on sale only at the end of summer, our American friends had already managed to pay attention to it, and even admired it, noting its technological excellence:
But, let’s leave this software for those who, due to their professional activities, may be interested in more advanced features of personality change, or are willing to pay money for their safety.
What can an ordinary user do to become at least a little more invisible?
When visiting pages on the network - whether it be news sites or online stores, have you thought about what information you transmit to the resource you visit? Did you know that some sites can receive almost complete information about your computer? Would you like to know how to avoid this? Then this article is for you.
The rapid development of the Internet marked a significant increase in commodity-money relations online. Of course, this could not but affect the interest of fraudsters and criminals who began to use the latest technology for personal illegal enrichment. One of the areas of shadow activity in the early 2000s was carding - the use of other people's credit cards for purchases in a network of goods and services with their further cashing out. Most commercial organizations were absolutely unprepared for the ever-increasing wave of cyber crime and had not yet managed to develop adequate protection measures, which allowed the pioneers to literally get rich. For quite a long time, both banks and large stores preferred not to notice this problem, because interest in attracting customers significantly exceeded potential losses. But, with the continued rapid growth of cyber crime, they were forced to defend themselves.
The first steps on the part of credit card issuers were the introduction of additional authorization systems for purchases on the Internet - VBV (Verified by Visa) and MSMC (MasterCard Master Security). In Russia, this technology is familiar in receiving SMS when online transactions, in other countries, including In the European Union and the USA, it can also be the installation using the personal data of the card holder of the online code used to confirm risk operations (which carries additional risks, because the fraudster can use the stolen information to create a personal online account, etc. n "rolls"). Currently, more than 90% of cards in the CIS and EU countries are connected to this technology by default, which cannot be said about the United States - although dual authorization is more common there, most cards still do not have this technology, using address validation (when ordering goods, a check is made for the coincidence of Billing Address - the address of the card holder, and Shipping Address - the address to which the purchase is made in the online store). In general, the efforts of Visa and Mastercard were not sufficient, because in fact an attempt was made to upgrade the generally outdated financial mechanism, which was not originally intended for remote purchases, so it became obvious the need to create protective mechanisms independent of card issuers. This also coincided with the emergence of online giants of the electronic payment market such as PayPal, which, as intermediaries in carrying out financial transactions, carried increased risks of fraud.
This is what marked the emergence of Anti-Fraud (Anti-Fraud) systems - a powerful defense, the existence of which you may not have known or guessed, but you encounter it every day - from visiting your favorite social network to any Western Internet by the store. The paradox of this situation is that when you try to create a more secure online shopping space, the Internet has completely lost its original anonymity, and a huge amount of your data is available for logging and further analysis.
What is an antifraud system? This is a powerful software package designed to identify possible fraud using a number of “flags”, which are the address or range of ip addresses and unique characteristics of the browser, as well as special types of cookies, some of which are not cleared during normal cleaning.
Let's take a closer look at them:
- IP and DNS addresses. As most users know, the outgoing address data shows the user's affiliation with a particular provider and location, and when using a computer to make purchases to ordinary users, it is not hidden and is direct. Attackers often use special bundles from vpn + proxy / vpn + ssh / tor + ssh in order to anonymize themselves and get closer to the real location of the address of the real cardholder or payment system account. The task of the antifraud system is to check the presence of VPN and proxies using special tools (reverse ping, open ports), and also to determine whether attempts of fraudulent actions from these addresses have been made. As a rule, the majority of proxies and tunnels sold cheaply in the dark segment of the Internet have already been repeatedly used by completely different people in such matters, therefore they are marked on a risk scale. That is why the search for clean proxies on current systems is a very significant stage in criminal activity.
- Browser options. Everyone knows that sites use special files called cookies to identify a user, but not everyone knows that there are several formats of cookie data, starting from the so-called evercookies, which are stored locally and are not deleted during normal browser cleaning, and ending with removing the browser fingerprint , which allows you to get a unique "signature" (signature), which remains unchanged forever when using a browser on a computer to ordinary users. Thus, if you think that the usual cleaning of the browser will allow you to become a clean user in the eyes of the site you are visiting, this is a huge misconception that let down a fairly large number of people.
What are the fingerprints on the basis of which a unique portrait of the user is created? In fact, there are a huge number of different private detections that, thanks to the features of a browser, determine its characteristics or substitution. At the moment, I would like to dwell on the main parameters used in the vast majority of antifraud systems:
- UserAgent / OS (fingerprint on the used header of the browser and operating system)
- Canvas (html5 fingerprint)
- WebGL (fingerprint according to the used video card)
- Plugins (fingerprint for the set and versions of installed plugins)
- Fonts (Fingerprint)
- Audiofingerprint (audio fingerprint)
- ClientRects (fingerprint on the coordinates of the object)
- Flash (through it you can get to almost all computer settings, the technology is outdated now and therefore the lack of its support in the browser is not suspicious)
- WebRTC (checking IP address leakage through a connection to a media server, fingerprint by a unique hash of media devices - camera, microphone, etc.)
The most paradoxical thing is that ordinary users leave this information about their stay on a variety of sites, often without even realizing it. Fraudsters have long learned to circumvent these checks using specially developed for this software - antidetect. As expected, Russia was in this direction ahead of the rest, which the American press repeatedly lamented.
Consider the most famous programs at the moment. The first product of this kind was the domestic development of Antidetect, created on the basis of the Firefox browser using the integration of special add-ons, which allowed a fairly primitive level to change the usual browser settings, which, nevertheless, allowed it to become one of the most famous tools in the world for carding. And although software of this kind can well be used for completely legitimate activities, the author recklessly made a bad name for himself by filming the use of a stolen credit card as an advertisement for a product to buy electronic goods, which outraged Mr. Krebs himself (a famous American cybercrime fighter) , who not only wrote an article about this development, but also deanonymized its author.
You can find this investigation by the link: research.
The following public attention was drawn to a new product of national development, called Linken Sphere. The underground community is still arguing why the authors named their product that way, and whether it is a reference to a popular online game in which this inventory item reflected negative spells aimed at the owner, or the name comes from the English word Link (link), but this product actually fits both descriptions - it offers unprecedented opportunities for simultaneous work in parallel tabs using various connections, while each tab essentially emulates a separate browser with its own unique characteristics and protects the user from identification. The possibility of substitution covers all currently known characteristics that can only be tracked or noted. It is worth noting that the developers, unlike the author of Antidetect, do not mention the possibility of using this program in criminal activities anywhere, but active browser advertising is also carried out on shadow resources, from which certain conclusions can be drawn. At the same time, it is known that this software, in view of the multithreading capabilities, is used, for example, in completely white schemes, for example, traffic arbitration or working with social networks. Despite the fact that this product appeared on sale only at the end of summer, our American friends had already managed to pay attention to it, and even admired it, noting its technological excellence:
But, let’s leave this software for those who, due to their professional activities, may be interested in more advanced features of personality change, or are willing to pay money for their safety.
What can an ordinary user do to become at least a little more invisible?
- Use a quality VPN. Merging with a large number of addresses of other users makes your identification difficult. If you do not pursue criminal motives, but do regular surfing and want to remain anonymous, then this decision will be quite enough to stay in the background.
- Disable Flash and Java. These technologies are outdated and do not carry the need for a modern Internet. At the same time, they allow the site to receive a huge amount of information about your computer, which has no positive aspects.
- Install an extension that blocks Canvas fingerprinting. There are a lot of data solutions and they are free. It is enough to choose one of them based on popularity and user reviews. It is not difficult and does not take much time, but it allows you to partially protect yourself from identification - this detection technology is used almost everywhere.
- Activate the DoNotTrack option. This technology allows sites to track you to understand what kind of advertising might be of interest to you. But, one way or another, it records the traces of your actions on the network, so it is not needed.
- Install a virtual machine (VmWare or VirtualBox) in order to replace other fingerprints - such as WebGl, Audiofingerprint, Fonts. And at its core, a virtual machine is an isolated environment that will protect you even when malware enters your computer.
Original message
Поймай меня если сможешь, или как вас детектят в интернете
Посещая страницы в сети - будь то новостные сайты или интернет магазины, задумывались ли вы о том, какую информацию вы передаете ресурсу, который посещаете? Знаете ли вы, что некоторые сайты могут получать практически полную информацию о вашем компьютере? Хотели бы знать, как избежать этого? Тогда эта статья для вас.
Бурное развитие Интернета ознаменовало собой значительное увеличение товарно-денежных отношений в режиме "онлайн". Разумеется, это не могло не сказаться на интересе мошенников и преступников, которые начали использовать новейшие технологии для личного незаконного обогащения. Одним направлений теневой деятельности в начале 2000х годов стал кардинг - использование данных чужих кредитных карт для покупок в сети товаров и услуг с их дальнейшим обналичиванием. Большинство коммерческих организаций были абсолютно не готовы к все увеличившейся волне кибер-преступности и еще не успели выработать адекватных мер по защите, что позволило первопроходцам в буквальном смысле озолотиться. Достаточно длительное время как банки, так и крупные магазины предпочитали "не замечать" данной проблемы, т.к. интерес к привлечению клиентов значительно превышал возможные убытки. Но, с продолжением бурного роста кибер-преступности были вынуждены защищаться.
Первыми шагами со стороны эмитентов кредитных карт стало внедрение систем дополнительной авторизации при покупках в Интернете - VBV (Verified by Visa) и MSMC ( MasterCard Master Security). В России данная технология знакома по приему смс при онлайн-транзакциях, в других странах, в т.ч. Европейском Союзе и США это может быть также установка при помощи личных данных держателя карты онлайн-кода, использующегося для подтверждения рисковых операций (что несет за собой дополнительные риски, т.к. мошенник может использовать похищенную информацию для создания личного онлайн-кабинета, т.н "роллки"). На данный момент более 90% карт в странах СНГ и ЕС по умолчанию подключены к данной технологии, чего нельзя сказать о США - хоть двойная авторизация и встречается там все чаще, большая часть карт все так же не обладают данной технологией, используя вместе нее валидацию адресов ( при заказе товара идет проверка на совпадение Billing Adress - адреса держателя карты, и Shipping Adress - адреса, на который делается покупка в интернет магазине). В общем и целом, усилия компаний Visa и Mastercard не являлись достаточными, т.к по сути производилась попытка апгрейда в целом устаревшего финансового механизма, который изначально не был предназначен для удаленных покупок, поэтому стало очевидным необходимость создания защитных механизмов, независящих от эмитентов карт. Это также совпало с появлением таких онлайн-гигантов рынка электронных платежей, как PayPal, которые в качестве посредников при осуществлении финансовых операций несли повышенные риски при мошенничестве.
Именно это ознаменовало собой появление Антифрод (Anti Fraud - противо-мошеннические) систем - мощной защиты, о существовании которой вы, возможно, не знали и не догадывались, но сталкиваетесь с ней ежедневно - начиная от посещения любимой социальной сети и заканчивая любым западным интернет-магазином. Парадокс сложившейся ситуации заключается в том, что при попытке создания более безопасного пространства для покупок в сети, Интернет полностью лишился изначальной анонимности, и огромное количество ваших данных является доступным для логирования и дальнейшего анализа.
Что представляет собой Антифрод система? Это мощный программный комплекс, предназначенный для идентификации возможного мошенничества при помощи ряда "флагов", которые представляют собой адрес или диапазон ip адресов и уникальных характеристик браузера, а также специальных типов cookies, некоторые из которых являются неочищаемыми при обычной очистке.
Давайте рассмотрим их подробнее:
- IP и DNS адреса. Как известно большинству пользователей, данные исходящего адреса показывают принадлежность пользователя к определенному провайдеру и местоположению, и при использовании компьютера для осуществления покупок обычным пользователям не скрывается и является прямым. Злоумышленники часто используют специальные связки из vpn + proxy / vpn + ssh / tor + ssh для того, чтобы анонимизировать себя и приблизиться к реальному местонахождению адреса настоящего владельца карты или аккаунта платежной системы. Задача антифрод системы состоит в том, чтобы проверить наличие впн и прокси при помощи специальных инструментов ( обратный пинг, открытые порты ), а также определить, были ли осуществлены попытки мошеннических действий с данных адресов. Как правило, большинство прокси и туннелей, продающихся задешево в темном сегменте интернета уже многократно использовались совершенно разными людьми в подобных делах, поэтому являются отмеченными по шкале риска. Именно поэтому поиск чистых прокси на актуальных системах является весьма значимым этапом в преступной деятельности.
- Параметры браузера. Всем известно, что для идентификации пользователя сайты используют специальные файлы, называемые cookies, но не все знают, что существует несколько форматов данных маркеров, начиная от т.н evercookies, которые хранятся локально и не удаляются при обычной очистке браузера, и заканчивая снятием отпечатка браузера, который позволяет получить уникальную "подпись" (signature), которая остается неизменной навсегда при использовании браузера на компьютере обычным пользователям. Таким образом, если вы считаете, что обычная очистка браузера позволит вам стать чистым пользователем в глазах посещаемого сайта - это огромное заблуждение, которое подвело достаточно большое количество людей.
Из чего же состоят отпечатки, на основании которых создается уникальных портрет пользователя? На самом деле, существует огромное количество различных приватных детектов, которые позволяют благодаря особенностям того или иного браузера определить его характеристику или подмену. На данный момент хотелось бы остановиться на основных параметрах, используемых в подавляющем большинстве антифрод систем:
Самое парадоксальное, что именно обычные пользователи оставляют данную информацию о своем пребывании на разнообразных сайтах, часто даже не догадываясь об этом. Мошенники давно научились обходить данные проверки, используя специально разработанный для этого софт - антидетект. Как и следовало ожидать, Россия оказалась в данном направлении впереди планеты всей, о чем многократно сокрушалась американская пресса.
Рассмотрим наиболее известные на данный момент программы. Первым продуктом подобного рода стала отечественная разработка Antidetect, созданная на базе браузера Firefox при помощи интеграции специальных дополнений, что позволило на достаточно примитивном уровне изменять обычные параметры браузера, что, тем не менее, позволило ему в свое время стать одним из наиболее известных в мире инструментов для кардинга. И, хотя софт подобного рода вполне может использоваться для вполне законной деятельности, автор опрометчиво создал себе дурную славу тем, что в качестве рекламы продукта заснял ролик использования похищенной кредитной карты для покупки электронного товара, что возмутило самого мистера Кребса (известного американского борца с киберпреступностью), который не просто написал статью о данной разработке, но и деанонимизировал ее автора.
С данным расследованием вы можете ознакомиться по ссылке: исследование.
Следующее внимание общественности привлек новый продукт отчественной разработки, именуемый Linken Sphere. Андеграудное сообщество до сих пор спорит, почему авторы назвали свой продукт именно так, и является ли это отсылкой к популярной онлайн-игре, в которой данный предмет инвентаря отражал негативные заклинания, направленные на владельца, либо название происходит из английского слова Link (ссылка), но данный продукт и в самом деле подходит под оба описания - он предлагает невиданные ранее возможности одновременной работы в параллельных вкладках с использованием различных соединений, при этом каждая вкладка по сути эмулирует отдельный браузер со своими уникальными характеристиками и защищает пользователя от идентификации. Возможность подмены охватывает все известные на данный момент характеристики, которые только возможно отследить или отметить. Стоит отметить, что разработчики в отличие от автора Antidetect нигде не упоминают возможность использования данной программы в преступной деятельности, но активная реклама браузера ведется в том числе и на теневых ресурсах, из чего можно сделать определенные выводы. При этом, известно, что данное ПО в виду возможностей мультипоточности используется, например, в абсолютно белых схемах, например, арбитраже трафика или работе с социальными сетями. Несмотря на то, что данный продукт появился в продаже только в конце лета, наши американские друзья уже также успели обратить на него внимание, и даже восхитились им, отмечая его технологическое совершенство:
Но, оставим данное ПО для тех, кто в силу профессиональной деятельности может быть заинтересован в более продвинутых возможностях смены личности, либо готов платить деньги за свою безопасность.
Что же может сделать обычный пользователь для того, чтобы стать хотя бы немного более невидимым?
Посещая страницы в сети - будь то новостные сайты или интернет магазины, задумывались ли вы о том, какую информацию вы передаете ресурсу, который посещаете? Знаете ли вы, что некоторые сайты могут получать практически полную информацию о вашем компьютере? Хотели бы знать, как избежать этого? Тогда эта статья для вас.
Бурное развитие Интернета ознаменовало собой значительное увеличение товарно-денежных отношений в режиме "онлайн". Разумеется, это не могло не сказаться на интересе мошенников и преступников, которые начали использовать новейшие технологии для личного незаконного обогащения. Одним направлений теневой деятельности в начале 2000х годов стал кардинг - использование данных чужих кредитных карт для покупок в сети товаров и услуг с их дальнейшим обналичиванием. Большинство коммерческих организаций были абсолютно не готовы к все увеличившейся волне кибер-преступности и еще не успели выработать адекватных мер по защите, что позволило первопроходцам в буквальном смысле озолотиться. Достаточно длительное время как банки, так и крупные магазины предпочитали "не замечать" данной проблемы, т.к. интерес к привлечению клиентов значительно превышал возможные убытки. Но, с продолжением бурного роста кибер-преступности были вынуждены защищаться.
Первыми шагами со стороны эмитентов кредитных карт стало внедрение систем дополнительной авторизации при покупках в Интернете - VBV (Verified by Visa) и MSMC ( MasterCard Master Security). В России данная технология знакома по приему смс при онлайн-транзакциях, в других странах, в т.ч. Европейском Союзе и США это может быть также установка при помощи личных данных держателя карты онлайн-кода, использующегося для подтверждения рисковых операций (что несет за собой дополнительные риски, т.к. мошенник может использовать похищенную информацию для создания личного онлайн-кабинета, т.н "роллки"). На данный момент более 90% карт в странах СНГ и ЕС по умолчанию подключены к данной технологии, чего нельзя сказать о США - хоть двойная авторизация и встречается там все чаще, большая часть карт все так же не обладают данной технологией, используя вместе нее валидацию адресов ( при заказе товара идет проверка на совпадение Billing Adress - адреса держателя карты, и Shipping Adress - адреса, на который делается покупка в интернет магазине). В общем и целом, усилия компаний Visa и Mastercard не являлись достаточными, т.к по сути производилась попытка апгрейда в целом устаревшего финансового механизма, который изначально не был предназначен для удаленных покупок, поэтому стало очевидным необходимость создания защитных механизмов, независящих от эмитентов карт. Это также совпало с появлением таких онлайн-гигантов рынка электронных платежей, как PayPal, которые в качестве посредников при осуществлении финансовых операций несли повышенные риски при мошенничестве.
Именно это ознаменовало собой появление Антифрод (Anti Fraud - противо-мошеннические) систем - мощной защиты, о существовании которой вы, возможно, не знали и не догадывались, но сталкиваетесь с ней ежедневно - начиная от посещения любимой социальной сети и заканчивая любым западным интернет-магазином. Парадокс сложившейся ситуации заключается в том, что при попытке создания более безопасного пространства для покупок в сети, Интернет полностью лишился изначальной анонимности, и огромное количество ваших данных является доступным для логирования и дальнейшего анализа.
Что представляет собой Антифрод система? Это мощный программный комплекс, предназначенный для идентификации возможного мошенничества при помощи ряда "флагов", которые представляют собой адрес или диапазон ip адресов и уникальных характеристик браузера, а также специальных типов cookies, некоторые из которых являются неочищаемыми при обычной очистке.
Давайте рассмотрим их подробнее:
- IP и DNS адреса. Как известно большинству пользователей, данные исходящего адреса показывают принадлежность пользователя к определенному провайдеру и местоположению, и при использовании компьютера для осуществления покупок обычным пользователям не скрывается и является прямым. Злоумышленники часто используют специальные связки из vpn + proxy / vpn + ssh / tor + ssh для того, чтобы анонимизировать себя и приблизиться к реальному местонахождению адреса настоящего владельца карты или аккаунта платежной системы. Задача антифрод системы состоит в том, чтобы проверить наличие впн и прокси при помощи специальных инструментов ( обратный пинг, открытые порты ), а также определить, были ли осуществлены попытки мошеннических действий с данных адресов. Как правило, большинство прокси и туннелей, продающихся задешево в темном сегменте интернета уже многократно использовались совершенно разными людьми в подобных делах, поэтому являются отмеченными по шкале риска. Именно поэтому поиск чистых прокси на актуальных системах является весьма значимым этапом в преступной деятельности.
- Параметры браузера. Всем известно, что для идентификации пользователя сайты используют специальные файлы, называемые cookies, но не все знают, что существует несколько форматов данных маркеров, начиная от т.н evercookies, которые хранятся локально и не удаляются при обычной очистке браузера, и заканчивая снятием отпечатка браузера, который позволяет получить уникальную "подпись" (signature), которая остается неизменной навсегда при использовании браузера на компьютере обычным пользователям. Таким образом, если вы считаете, что обычная очистка браузера позволит вам стать чистым пользователем в глазах посещаемого сайта - это огромное заблуждение, которое подвело достаточно большое количество людей.
Из чего же состоят отпечатки, на основании которых создается уникальных портрет пользователя? На самом деле, существует огромное количество различных приватных детектов, которые позволяют благодаря особенностям того или иного браузера определить его характеристику или подмену. На данный момент хотелось бы остановиться на основных параметрах, используемых в подавляющем большинстве антифрод систем:
- UserAgent / OS (отпечаток по используемому заголовку браузера и операционной системы)
- Canvas (отпечаток по html5)
- WebGL (отпечаток по данным используемой видеокарты)
- Plugins (отпечаток по набору и версиям установленных плагинов)
- Fonts (отпечаток по шрифтам)
- Audiofingerprint (аудиоотпечаток)
- ClientRects (отпечаток по координатам объекта)
- Flash (через него можно добраться до практических всех параметров компьютера, в настоящее время технология устарела и поэтому не является подозрительным отсутствие ее поддержки в браузере)
- WebRTC (проверка утечки IP адреса через соединение с медиасервером, отпечаток по уникальному хешу медиаустройств - камера, микрофон и т.д)
Самое парадоксальное, что именно обычные пользователи оставляют данную информацию о своем пребывании на разнообразных сайтах, часто даже не догадываясь об этом. Мошенники давно научились обходить данные проверки, используя специально разработанный для этого софт - антидетект. Как и следовало ожидать, Россия оказалась в данном направлении впереди планеты всей, о чем многократно сокрушалась американская пресса.
Рассмотрим наиболее известные на данный момент программы. Первым продуктом подобного рода стала отечественная разработка Antidetect, созданная на базе браузера Firefox при помощи интеграции специальных дополнений, что позволило на достаточно примитивном уровне изменять обычные параметры браузера, что, тем не менее, позволило ему в свое время стать одним из наиболее известных в мире инструментов для кардинга. И, хотя софт подобного рода вполне может использоваться для вполне законной деятельности, автор опрометчиво создал себе дурную славу тем, что в качестве рекламы продукта заснял ролик использования похищенной кредитной карты для покупки электронного товара, что возмутило самого мистера Кребса (известного американского борца с киберпреступностью), который не просто написал статью о данной разработке, но и деанонимизировал ее автора.
С данным расследованием вы можете ознакомиться по ссылке: исследование.
Следующее внимание общественности привлек новый продукт отчественной разработки, именуемый Linken Sphere. Андеграудное сообщество до сих пор спорит, почему авторы назвали свой продукт именно так, и является ли это отсылкой к популярной онлайн-игре, в которой данный предмет инвентаря отражал негативные заклинания, направленные на владельца, либо название происходит из английского слова Link (ссылка), но данный продукт и в самом деле подходит под оба описания - он предлагает невиданные ранее возможности одновременной работы в параллельных вкладках с использованием различных соединений, при этом каждая вкладка по сути эмулирует отдельный браузер со своими уникальными характеристиками и защищает пользователя от идентификации. Возможность подмены охватывает все известные на данный момент характеристики, которые только возможно отследить или отметить. Стоит отметить, что разработчики в отличие от автора Antidetect нигде не упоминают возможность использования данной программы в преступной деятельности, но активная реклама браузера ведется в том числе и на теневых ресурсах, из чего можно сделать определенные выводы. При этом, известно, что данное ПО в виду возможностей мультипоточности используется, например, в абсолютно белых схемах, например, арбитраже трафика или работе с социальными сетями. Несмотря на то, что данный продукт появился в продаже только в конце лета, наши американские друзья уже также успели обратить на него внимание, и даже восхитились им, отмечая его технологическое совершенство:
Но, оставим данное ПО для тех, кто в силу профессиональной деятельности может быть заинтересован в более продвинутых возможностях смены личности, либо готов платить деньги за свою безопасность.
Что же может сделать обычный пользователь для того, чтобы стать хотя бы немного более невидимым?
- Использовать качественный VPN. Слияние с большим количеством адресов других пользователей затрудняет вашу идентификацию. Если вы не преследуете преступных мотивов, а занимаетесь обычным серфингом и хотите оставаться анонимным, то данного решения будет вполне достаточно для того, чтобы оставаться в тени.
- Отключить Flash и Java. Данные технологии являются устаревшими и не несут необходимости в современном Интернете. В тоже время, они позволяют сайту получить огромное количество информации о вашем компьютере, в чем нет никаких положительных моментов.
- Установить расширение, блокирующее снятие отпечатка по Canvas. Данных решений создано достаточно много и они бесплатны. Достаточно выбрать одно из них на основании популярности и отзывов пользователя. Это не сложно и не займет много времени, но позволит вам частично защитить себя от идентификации - данная технология определения используется практически повсеместно.
- Активировать опцию DoNotTrack. Данная технология позволяет сайтам отслеживать вас для понимания того, какая реклама может быть вам интересна. Но, так или иначе, она записывает следы ваших действий в сети, поэтому не нужна.
- Установить виртуальную машину (VmWare или VirtualBox) для того, чтобы подменить другие отпечатки - такие, как WebGl, Audiofingerprint, Fonts. Да и по своей сути, виртуальная машина является изолированной средой, которая защитит вас в том числе и при попадании на компьютер вредоносного ПО.