Статья Обход антифрод систем: как атакующие уклоняются от фрод-мониторинга и где защита слепа

На red team-проекте против платёжного шлюза мы за четыре часа обошли три уровня антифрода: velocity checks на стороне эквайера, device fingerprinting от коммерческого вендора и поведенческую биометрию. ML-движок с ценником в семизначных цифрах пропускал card-not-present транзакции до 150 000 рублей без единого алерта - ручная проверка оператором включалась только выше порога. По данным FTC Consumer Sentinel Network Data Book 2021, потребители в одних только США потеряли от мошенничества более 5,8 миллиардов долларов, и цифра растёт ежегодно. Антифрод проектируется под массовый фрод, а целевые атаки с грамотным OPSEC проскальзывают через все слои. Ниже - разбор конкретных техник обхода антифрод систем с позиции атакующего при авторизованном пентесте: что работает, против какого класса защиты, и где детект слеп.

Как работают антифрод системы: архитектура и точки принятия решений​

Чтобы обходить фрод-мониторинг, нужно понимать, как он устроен изнутри. Антифрод-системы делятся на два класса - транзакционный и сессионный, и большинство промышленных решений (SEON, Kount, ThreatMetrix, внутренние банковские движки) комбинируют оба подхода.

Транзакционный антифрод работает с потоком операций: суммы, частоты, географии, типы карт. Движок применяет набор корреляционных правил (если N транзакций за M минут с одной карты - блокировать) и ML-модель, обученную на исторических данных с промеченными мошенническими операциями. По данным Huntress, корпоративные fraud detection системы обрабатывают тысячи транзакций в секунду, принимая решение approve/review/block за миллисекунды.

Сессионный антифрод собирает данные о пользователе ещё до момента транзакции: цифровой отпечаток устройства, поведенческую биометрию (скорость набора, траектория мыши, паттерн скролла), характеристики сессии. Параметры не совпадают с профилем - система повышает risk score.

Конвейер принятия решений выглядит так:

1. JS-коллектор на странице собирает fingerprint и behavioral сигналы
2. Feature extraction - сырые данные превращаются в фичи (velocity, device_age, geo_distance, behavior_score)
3. Rule engine - проверка жёстких правил (санкционные списки, лимиты, blocklisted IP)
4. ML scoring - модель выдаёт probability of fraud (0.0–1.0)
5. Decision - порог: ниже 0.3 → approve, 0.3–0.7 → review, выше 0.7 → block

А теперь самое интересное. Большинство антифрод-команд калибруют пороги так, чтобы минимизировать false positives на легитимных пользователях. Бизнес давит - каждый ложный блок это потерянный клиент. Результат: если транзакция выглядит «достаточно нормально», она проходит. Это и есть главный эксплуатируемый зазор.

Device fingerprint spoofing: обход цифровых отпечатков антифрода​

Device fingerprinting - первый барьер сессионного антифрода. Система собирает десятки параметров: Canvas rendering hash, WebGL renderer string, AudioContext output, перечень шрифтов, WebRTC local IP, свойства navigator (platform, hardwareConcurrency, deviceMemory), разрешение экрана, глубину цвета, таймзону, языковые настройки. По данным Undetectable.io, в совокупности эти параметры формируют отпечаток, позволяющий отслеживать пользователя даже при смене IP и использовании VPN.

Инструментарий и ограничения​

Основные инструменты для device fingerprint spoofing антифрод-систем:

• FraudFox - виртуальная среда с эмуляцией hardware-level характеристик. Используется в targeted-атаках на банковские платформы. Применимость: внутренний/внешний пентест при наличии бюджета на лицензию.
• Multilogin - создаёт изолированные браузерные профили с уникальными fingerprint'ами. Каждый профиль - отдельная «цифровая личность» с когерентным набором параметров. Применимость: оценка устойчивости e-commerce антифрода.
• Dolphin Anty - антидетект-браузер, автоматически подстраивающий часовой пояс, язык и геолокацию. Применимость: массовое тестирование с десятками профилей.
• Кастомные патчи Chromium - для red team мы патчим Chromium напрямую: подмена Canvas rendering pipeline, WebGL vendor string, AudioContext sample rate. Максимальная консистентность, но требует разработки. Применимость: целевой пентест с ресурсами.

Ключевая проблема: антифрод ищет не отдельные параметры, а консистентность. Canvas hash указывает на Intel HD Graphics, а WebGL возвращает NVIDIA GeForce - флаг. Timezone Moscow при Accept-Language en-US - флаг. Разрешение 1920x1080 при заявленном iPhone SE - флаг. Один рассогласованный параметр, и вся маскировка летит.

Техника	Работает против	Не работает против	Контекст
Антидетект-браузер (качественный)	JS-only fingerprinting, базовые проверки	Deep consistency checks, performance timing	Внешний пентест, CNP fraud assessment
Реальная device farm	Большинство fingerprint-проверок	Физическое отслеживание, SIM-корреляция	Масштабный fraud assessment
Canvas noise injection	Canvas-based fingerprinting	Кросс-проверка WebGL + AudioContext	Дополнительная техника в связке
Патчи Chromium	Вендор-специфичные проверки	Behavioral analytics, timing side-channels	Red team с ресурсами на разработку
Residential proxy + антидетект	IP reputation + fingerprint	Graph analysis, cross-session корреляция	Стандартная связка

Datacenter IP убивает любую маскировку fingerprint'а. SEON, Kount, ThreatMetrix ведут базы datacenter/proxy IP и отклоняют их с порогом близким к нулю. Residential proxy - минимальное требование для прохождения первого слоя. Без него можно даже не начинать.

Поведенческий антифрод: обход биометрии и боты 4-го поколения​

Поведенческая аналитика фрод-систем анализирует не что пользователь делает, а как: траектории курсора, ритм набора текста, паттерн скролла, время заполнения форм, pressure sensitivity на мобильных. Эти данные формируют behavioral fingerprint, который, по данным Huntress, отличается от пользователя к пользователю так же надёжно, как отпечаток пальца.

Behavioral hijacking и fraud-as-a-service​

По данным ChargebackGurus, боты 4-го поколения совершили качественный скачок. Вместо генерации «человекоподобных» движений мыши они записывают и воспроизводят реальные пользовательские сессии. Behavioral hijacking - захват настоящих паттернов взаимодействия и их точное воспроизведение при мошеннических операциях.

Что умеют 4th-gen боты:

• Human-like interactions - никаких прямых линий курсора, воспроизводятся хаотичные реально записанные траектории
• IP rotation - ротация тысяч residential IP с подменой user-agent между сессиями
• Mobile emulators - эмуляция характеристик разных мобильных устройств для обхода device checks
• Fraud-as-a-Service - инструменты вроде FraudGPT (LLM-сервис для генерации фишинговых писем и вредоносного кода, описан Netenrich, июль 2023) снижают порог входа для смежных этапов атаки: социальная инженерия, подготовка payload'ов. Сам FraudGPT - не бот 4-го поколения, но он делает подготовительные этапы доступными для менее квалифицированных атакующих

По обобщённым данным индустриальных отчётов ChargebackGurus, известны случаи атак 4th-gen ботов, которые мимикрировали поведение реальных пользователей настолько убедительно, что fraud detection не поднял ни одного алерта. Десятки тысяч заявок за несколько недель - обнаружение происходило только по аномальному объёму, а не по качеству отдельных сессий. Традиционная поведенческая аналитика оказалась бессильна. Ловили не по качеству, а по количеству - когда разбираться уже поздно.

Где поведенческий антифрод всё ещё ловит​

При всей эволюции ботов остаются вещи, которые сложно воспроизвести:

• Micro-interactions - субсекундные задержки при hover, паузы нерешительности при выборе платёжного метода. ML-модели детектят «слишком уверенные» действия, характерные для replay-ботов. Живой человек колеблется - бот действует как по рельсам.
• Cross-session evolution - поведение реального пользователя плавно меняется со временем (привыкание к интерфейсу). Бот-профиль статичен или «сбрасывается» между сессиями.
• Контекстуальная когерентность - реальный пользователь на странице оплаты ведёт себя иначе, чем при просмотре каталога. Боты часто применяют один шаблон ко всем страницам.

Для red team-проекта, нацеленного на обход поведенческого антифрода, минимальный порог - запись реальных сессий на целевой платформе и их воспроизведение через Selenium или Playwright с рандомизацией timing'ов. Это ресурсоёмко и оправдано только при целевых engagement'ах.

Атаки на ML-движки фрод-мониторинга: drift и cold start​

Машинное обучение антифрод строится на исторических данных, и это создаёт два системных слабых места.

Data drift и деградация моделей​

ML-модель обучена на фрод-паттернах прошлого. Когда атакующие меняют тактику, модель деградирует - ищет старые признаки в новых данных. Период между появлением нового паттерна и переобучением - окно для атакующего. Частота переобучения варьируется: от нескольких дней у крупных вендоров до месяцев у внутренних команд. Новые TTP в этот период проходят scoring с заниженным risk score.

Adversarial feature manipulation работает прямолинейно: если модель штрафует быстрые серии транзакций - замедляем операции. Штрафует круглые суммы (10 000, 50 000) - используем нерегулярные (9 847, 51 203). Штрафует новые устройства - «прогреваем» устройство легитимной активностью перед атакой. Ключ - знание фичей модели, которое получается через пробные транзакции с контролируемыми параметрами (recon-фаза пентеста). По сути, мы ведём разведку боем: отправляем контролируемые транзакции и смотрим, какие проходят, а какие режутся.

Cold start и synthetic identity fraud​

Сессионные антифроды, как отмечает it-world.ru, не могут эффективно защитить от мошенничества по новым пользователям - для них не сформирован поведенческий профиль. Это окно используется для synthetic identity fraud: создаётся «синтетическая личность» из комбинации реальных и вымышленных данных, регистрируется аккаунт, и в период cold start проводятся операции до того, как модель набрала данные для скоринга.

Защита от cold start - progressive trust model: новым пользователям доступны операции с низким риском и малыми суммами. Лимиты повышаются по мере накопления данных. Но на практике бизнес давит на антифрод-команду снизить friction для новых клиентов, и пороги оказываются мягкими. Вот почему account takeover через aged accounts (купленные на даркнет-рынках) так эффективен - аккаунт с историей проходит cold start барьер автоматически. Зачем мучиться с прогревом, если можно купить готовый «тёплый» аккаунт за пару тысяч рублей?

Обход velocity checks и транзакционных правил​

Rule-based антифрод - самый старый и самый прямолинейный слой: не более N транзакций за M минут, не более X рублей за сутки по одной карте, не более Y новых платёжных методов за неделю, географическая консистентность.

Slow-drip и координация аккаунтов​

📚 Часть контента скрыта. Этот материал доступен участникам сообщества с рангом One Level или выше
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме

Зарегистрироваться или Войти

Где антифрод ловит атакующих: детекция и контрмеры​

Граф-анализ и кросс-сессионная корреляция​

Самый стойкий механизм антифрода - не rule engine и не ML, а граф-анализ фрод-сетей. Граф строится из связей между сущностями: аккаунты, устройства, IP, платёжные инструменты, поведенческие кластеры. Даже если каждый аккаунт по отдельности выглядит чисто, связь через общий device fingerprint или behavioral паттерн выдаёт кольцо. Обход требует полной изоляции каждого аккаунта: отдельный профиль, отдельный residential IP, уникальный behavioral pattern - цена атаки растёт экспоненциально. И именно это делает граф-анализ единственной защитой, которая реально причиняет боль атакующему.

Sigma-правила и MITRE D3FEND для смежных evasion-техник​

Fraud-as-a-service инструменты часто используют evasion-техники из арсенала malware. В терминах MITRE ATT&CK:

• T1562.001 Disable or Modify Tools - фрод-инструменты модифицируют защитные механизмы браузера и системы. Sigma-правило proc_creation_win_powershell_amsi_bypass_pattern_nov22.yml (deprecated в SigmaHQ; для production-детекта берите актуальные правила из rules/windows/process_creation/) детектит аналогичные паттерны обхода AMSI
• T1140 Deobfuscate/Decode Files or Information - обфускация payload'ов фрод-ботов. Правила вроде lnx_auditd_steghide_embed_steganography.yml детектят использование steghide; классическое правило по certutil (proc_creation_win_certutil_susp_execution.yml) deprecated - актуальные replacements в rules/windows/process_creation/

Контрмеры по MITRE D3FEND: D3-PLA (Process Lineage Analysis) для выявления fraud-бот-процессов, D3-SCA (System Call Analysis) для детекта эмулированных сред по аномалиям системных вызовов, D3-FA (File Analysis) для анализа артефактов антидетект-браузеров.

По OWASP: A07:2021 (Identification and Authentication Failures) - слабая аутентификация напрямую способствует account takeover, A09:2021 (Security Logging and Monitoring Failures) - без логирования фрод остаётся невидимым. NIST CSF DE.AE-01 подчёркивает необходимость baseline ожидаемых потоков данных для выявления аномалий.

# Концептуальное Sigma-правило: детект обращений к fraud-инструментам
# Пример для демонстрации подхода (требует адаптации под конкретный proxy)
title: Suspicious Anti-Detect Browser Network Activity
status: experimental
logsource:
  category: proxy
detection:
  selection:
    cs-host|contains:
      - 'multilogin.com'
      - 'fraudfox'
      - 'antidetect'
  condition: selection
level: high

Выбор вектора обхода антифрода: decision tree по типу защиты​

При пентесте антифрод-систем выбор техники зависит от слоя защиты, который нужно преодолеть. Логика выбора вектора:

Условие (тип антифрода)	Техника обхода	Инструмент	Что остановит атаку
Rule-based velocity checks	Slow-drip + координация аккаунтов	Скрипт распределения транзакций	Graph analysis, aggregate scoring
Device fingerprinting (JS-only)	Антидетект-браузер + residential proxy	Multilogin, FraudFox	Consistency cross-checks, timing analysis
Behavioral biometrics	Replay recorded sessions	Selenium/Playwright + recorded data	Micro-interaction analysis, cross-session drift
ML scoring	Adversarial feature manipulation	Recon-транзакции + подбор параметров	Model ensembling, частое переобучение
Cold start (новый аккаунт)	Synthetic identity + device warming	Aged accounts + прогретый fingerprint	Progressive trust model
Все слои одновременно	Полная изоляция + behavioral replay	Device farm + residential proxy + recorder	Ручная проверка оператором

Порядок действий:

1. Определите слои антифрода через пробные транзакции с контролируемыми параметрами (recon)
2. Начните с rule-based checks - самый дешёвый для обхода слой
3. Если правила пройдены, добейтесь консистентности fingerprint'а
4. Behavioral bypass - последний и самый ресурсоёмкий этап, оправдан только при целевом engagement'е
5. Если на платформе есть ручной review, держитесь ниже порога суммы, при которой он включается

Я работал на обеих сторонах антифрода и вижу одну картину: организации вкладываются в ML-модели и поведенческую аналитику, но граф-анализ - единственный механизм, реально усложняющий жизнь атакующему экспоненциально - внедряют последним или не внедряют вовсе. ML-модель обманывается через adversarial inputs, правила обходятся slow-drip'ом, fingerprint подменяется антидетект-браузером. А graph analysis требует от атакующего полной изоляции каждой операции, каждого аккаунта, каждого устройства - и это делает цену одной мошеннической транзакции выше её выгоды.

Прогноз: боты 5-го поколения через год-два будут генерировать контекстно-правдоподобное поведение через LLM в реальном времени - не записанные сессии, а синтетические, адаптивные. Антифрод-команды, которые сегодня не вкладываются в граф-анализ и real-time streaming detection, окажутся в ситуации того банка, который обнаружил 25 000 бот-заявок только по объёму - когда разбираться уже поздно. Если хочешь отработать session manipulation и обход аутентификации на контролируемой инфре - на HackerLab.pro есть веб-задачи, где сессионную логику приходится разбирать end-to-end без подсказок.