Мошенники делают всё возможное, чтобы скрыть свою активность в сети. Для этого они маскируют свое местоположение с помощью различных уловок, заражают устройства реальных пользователей, чтобы направлять атаки через них, и используют автоматизированные скрипты. Если раньше это были BaaS, или Bot-as-a-Service, то есть “бот как услуга”, то теперь появились antidetect-браузеры.
Этот вид ПО не нов, но в последнее время злоумышленники все чаще стали использовать их для скрейпинга, генерации кликов, массового создания фальшивых аккаунтов и др. Хотя исторически эти браузеры создавались и использовались вручную, теперь они автоматизированы, что позволяет злоумышленникам использовать их возможности в широких масштабах.
В этой статье мы расскажем, что такое antidetect-браузеры, чем они отличаются от BaaS и как их обнаружить.
Что такое antidetect-браузеры
Antidetect-браузер — это специализированный браузер, который использует различные методы маскировки активности пользователя, среди которых шифрование передаваемых данных, перенаправление IP-адресов, отключение файлов cookie и другие методы. Как правило, их используют те, кто занимается арбитражем трафика и интернет-маркетингом.
Их используют для мультиаккаунтинга в соцсетях, дропшиппинга, веб-скрейпинга, гемблинга и других накруток. Кроме того, такие браузеры могут обходить системы блокировки доступа к контенту или сайтам в зависимости от региона.
Методы маскировки, такие как подмена IP-адреса, версия браузера и операционной системы, помогают скрыть истинный профиль пользователя. Спуфинг этих данных подразумевает выдачу себя за другого пользователя.
Кроме того, браузеры с защитой от обнаружения способны защищать пользователей от считывания цифрового следа, например cookie-файлов. Также они способны блокировать считывание данных по Canvas.
Что такое Bot-as-a-Service
Поставщики BaaS-услуг дают возможность компаниям использовать ботов с оплатой по подписке или за определенный объем работ. В этом случае заказчику не нужно создавать свою программу, обучать ее, поддерживать и улучшать.
Например, это могут быть чат-боты, скрейперы и другие обходчики, боты для социальных сетей, клик-боты.
В чем разница между antidetect-браузерами и BaaS
На первый взгляд, и BaaS, и браузеры с защитой от обнаружения нацелены на облегчение задач, связанных с ботами и мошенничеством с рекламой. У обоих цель — снизить риск блокировки. Однако последний считается более эффективным, поскольку обладает специальным комплектом маскировки.
Если Bot-as-a-Service — это онлайн-сервис, доступный из любой точки мира, работающий по принципу «просто добавь URL», то antidetect-браузеры нужно устанавливать себе на устройство.
Фингерпринт на стороне сервера
Что касается настроек, то мошенники в первую очередь заботятся о том, чтобы контролировать набор параметров — цифровых следов на стороне сервера. Таким образом они подделывают профили и выдают себя за реальных пользователей. Какие параметры при этом используются:
- Геолокация по IP-адресу. В идеале, соответствует стране, в которой находится сайт.
- Язык. Должен соответствовать геолокации.
- Referer. Соответствует просматриваемому URL в браузере (например, плохо, если на странице корзины отсутствует referer).
- Надежный User-agent. Как правило, это последняя версия Chrome, поскольку он является самым популярным браузером.
- Фингерпринт TLS (протокол Transport Layer Security). Соответствует устройству, указанному в user-agent.
- Другое. Дополнительные HTTP-заголовки и файлы cookie, которые сайты устанавливают для различных целей.
Все эти значения настраиваются и обрабатываются поставщиками BaaS, и браузерами с защитой от обнаружения.
Фингерпринт на стороне клиента
Как оказывается, спуфинга цифрового следа на стороне сервера недостаточно. Браузер — это не только набор полей в HTTP-запросе, но и ПО, с которым взаимодействуют реальные пользователи. Таким образом, средства обнаружения и блокировки ботов также собирают часть данных об активности в браузере с помощью JavaScript (JS), таких как положение и перемещения курсора мыши, цифровые следы устройства, возможности браузера и т. д.
Поскольку цифровой след на стороне клиента также тщательно проверяются, у мошенников есть два варианта параллельной имитации нескольких реальных браузеров: либо они запускают реальный браузер (на реальном устройстве или на виртуальной машине), либо интегрируют headless-браузер в свой скрипт.
Подписывайтесь на наш ТГ-канал: рассказываем о реальных кейсах, тактиках и технологиях мошенников, факты о кликфроде и не только. Без спама и с пятничными мемами.
Именно в этом браузеры с защитой от обнаружения имеют значительное преимущество перед BaaS. Мошенник, который работает через BaaS, не видит интерфейса с имитацией браузера и выполнения JS (если программа на это способна). Они работают на уровне URL-адресов.
Antidetect-браузеры имитируют один полный профиль для каждой задачи по принципу «одна задача = один URL-адрес» или «одна задача = одна попытка регистрации». Каждая отдельная вкладка может использоваться как отдельный профиль. Также набор цифровых следов на стороне сервера должен соответствовать устройству, заявленному в user-agent. И набор цифровых следов устройства должен соответствовать серверным.
Концепция «одна задача — один профиль» очень важна. Например, когда речь идет о тысячах попыток регистрации. Чем чаще профиль (или его часть) используется повторно, тем выше риск его обнаружения и блокировки. Другими словами, antidetect-браузеры помещают в контейнер все сигналы, которые могут представлять одного человека в профиле, и гарантируют уникальность профиля для каждой задачи.
Вот пример создания и настройки такого профиля для браузера, где можно загружать cookie-файлы, выбирать ОС, useragent и т. д.
Рандомизация — секретное оружие antidetect-браузеров
Кроме того, браузеры, защищенные от обнаружения, используют рандомизацию различных участков цифрового следа при создании нескольких независимых профилей и, следовательно, нескольких «людей».
Например, инструменты защиты от ботов учитывают размеры экрана, аудио, мультимедийные возможности, графические возможности и рендеринг и могут предложить предполагаемому браузеру задачу по созданию HTML-тега canvas. Все эти сигналы могут быть рандомизированы.
Таким образом, учитывая операционную систему и название браузера, они генерируют соответствующие профили из своей базы знаний о производителях WebGL, идентификаторах графических карт и т. д. Рандомизация позволяет мошенникам направлять атаку с помощью множества уникальных профилей.
Тем не менее, при рандомизации возникает проблема сохранения согласованности: комбинация всех значений в профиле должна по-прежнему отражать браузер, используемый человеком на реальном устройстве. В противном случае весь искусственно созданный цифровой шум будет бесполезен. Именно это может быть использовано для их обнаружения и блокировки.
Как блокировать браузеры с защитой от обнаружения
Подобные возможности браузеров с защитой от обнаружения — это настоящий вызов сервисам блокировки недействительного трафика. Когда обнаруживается аномальная сигнатура, может быть уже слишком поздно — мошенничество уже совершено. Тем не менее, их можно обнаруживать и бороться с ними. Вот как это можно сделать:
— IP-адреса прокси-серверов
Antidetect-браузеры не обрабатывают IP-адреса прокси-серверов. Мошенники предоставляют свои списки или API-ключи прокси-сервису, которое и использует программа, установленная на устройство пользователя. Какие параметры могут сигнализировать о фроде:
- Недостаточно пула IP-адресов. В этом случае профили будут неуникальными. По этим несоответствиям и можно обнаружить фрод.
- Хватает пула IP-адресов, но его источники ограничены. В этом сценарии применяется стандартное определение IP-адресов с низкой репутацией.
— Браузеры не имитируют сеанс
Они выполняют все запросы, связанные с задачей, в изолированном профиле. Поэтому, если цепочка запросов не соответствует реальному поведению и взаимодействию, то поведенческий анализ пользователя выявит аномалию.
— Рандомизация может привести к созданию несогласованных профилей
Браузер генерирует идентификаторы и версии, однако некоторые значения могут вообще отсутствовать. Это позволяет системам защиты от фрода обнаруживать и блокировать такие визиты. Несоответствие цифровых следов и их значений также позволяет обнаруживать мошенничество. Например, когда в профиле указана MacOS, но используется браузер Chrome.
Как Botfaqtor блокирует фродовый трафик
В то время как поставщики услуг BaaS — это инструменты по принципу «просто добавь URL», браузеры с защитой от обнаружения — это еще один шаг в развитии мошеннических технологий, способных подрывать устойчивость бизнеса. Чтобы защититься от фрода и мошеннического трафика, необходимо выбрать эффективную антифрод-систему.
Сервис Botfaqtor — отечественный инструмент для защиты рекламы и сайтов от ботового и другого недействительного трафика:
- Инструменты сервиса обнаруживают ботов разной сложности: от примитивных до ИИ. Botfaqtor использует алгоритмы машинного обучения и искусственный интеллект для анализа атак в режиме реального времени и обнаружения фрода — от простых кликеров до ботов, которые умеют имитировать человеческое поведение.
- Анализ трафика и блокировка в режиме реального времени. Сервис проводит мониторинг трафика 24/7, поэтому обеспечивает мгновенную блокировку вредоносных ботов, предотвращая нанесение ущерба вашим рекламным кампаниям и сайтам.
- Глубокий анализ кликов и отчетность по трафику. В личном кабинете Botfaqtor вы сможете просматривать подробную информацию о мошеннической и вредоносной активности на своих ресурсах, количестве целевых, нецелевых, подозрительных и ботовых кликов, качестве источников трафика и др.
Подключайте защиту Botfaqtor, если вам нужно защитить рекламу от скликивания, сайты — от накрутки поведенческих факторов, а формы — от фальшивой лидогенерации. Попробуйте бесплатно на 7 дней!