ДЗ. _Логи. 1 Что такое Логи. Основные характеристики Логов. Вид и структура Лога. Примерные виды Логов с разных стиллеров
Скачать 1.69 Mb.
|
Что у нас получилось? Введено правило, которое определяет модель поведения в случае, когда мы попросили подойти к Васе и поздороваться. Теперь мы имеем четкое правило, определяющее модель поведения как «аномалия». Но как Антифрод система использует полученный результат? С помощью прогнозирования. Ведь известно, что выстреливший имел на поясе кобуру. Окей, гугл. Настроили Антифрод систему, ввели правило и теперь запускаем её в действие. В компании Vasya деньги зарабатываются зато, что к Васе на полянке подходят здороваться. Компания Vasya запускает обновленную Антифрод систему - у полянки стоит 1000 человек, желающих поздороваться с Васей. Запрос в Антифрод систему — пришло 1000 человек, применить правило выстрел в лоб». Система возвращает ответ человек под номером 666 имеет кобуру на поясе, вероятность модели поведения аномалия 99%. К этому человеку подходят сотрудники безопасности и выводят с полянки. Мы увидели срабатывание Антифрод системы. Бизнес защищен Часть 3.2.5. Существующие Антифрод системы и развитие современных технологий Мы уже с вами узнали что понятие Антифрод система является общим, собирательными без какой-либо конкретики. Также мы учитываем, что Антифрод система может быть разработана собственными штатными специалистами и о начинке таких системы мы тем более ничего не знаем. Тем более действует принцип « Security through obscurity» - Безопасность через неизвестность, то есть разрабатываемая система обеспечивает безопасность в силу того, что неизвестны характеристики такой системы. Что можно сделать? Мы можем типизировать все существующие Антифрод системы по уровню. Антифрод системы низкого уровня. Антифрод системы высокого уровня. Антифрод системы низкого уровня Данный тип систем характеризуется стандартным набором правил, так скажем, дефолтным количеством и качеством. Количество правил небольшое и составлены они с учетом общеизвестных и распространенных параметров. Их можно разделить натри группы: Поведенческие параметры: имя и фамилия; адрес электронной почты; адрес проживания; телефонный номер; действительность сведений в предоставленных документах; страницы социальных сетей; история посещений сайта; поведение на сайте; история заказов. Проверку по этим параметрам можно назвать «репутационной». Как только вы сообщили сайту нужные данные, то система автоматически производит такую проверку, к примеру, устанавливается: принадлежность телефонного номера к трастовому провайдеру, не относящемуся к тем, кто предоставляет виртуальные номера определяется регион к которому принадлежит номер сверяется формат предоставленного номера. принадлежит ли адрес электронной почты к временным почтовым ящикам кому принадлежит такой адрес не содержится ли в базе данных утекших в интернет кто является провайдером почтовых услуг где и как используется такой почтовый адрес не входит ли в блэк-лист. какие социальные аккаунты зарегистрированы на такое имя и фамилию, адрес электронной почты, телефон занимаемое социальное положение. длительность регистрации на сайте, история посещений и действий на сайте, история заказов, указанные в них адреса, лица, типичные суммы суммы заказов и категория товаров. По результатам такой проверки присваивается определенная величина скора, траста. Технические параметры: уникальный отпечаток браузера/fingerprint, находится ли в blacklists, имеются ли сведения об использовании данного отпечатка в мошеннических действиях; имеются ли другие лица, использовавшие данный отпечаток при действиях на сайте. репутация адреса содержится ли в имеются ли другие лица, использовавшие данный адрес при действиях на сайте; обнаружились ли данные, указывающие на использование VPN/прокси/Tor, к какому пулу провайдеров принадлежит исследуемый адрес - анонимных, элитных и прозрачных прокси-серверов, принадлежит ли адрес к резидентским прокси, хостинг-центры и центры обработки данных, виртуальные частные сети, Tor, провайдеры совместного размещения, соединения из мест общего пользования, к примеру, университеты, общежития. имеются ли сведения об использовании данного адреса в мошеннических действиях; геолокация адреса страна, город, адрес имеются ли расхождения сданными предоставленными пользователем. Финансовые параметры: история использованных покупателем платежных средств; нахождение платежного средства покупателя в blacklist; имеются ли совпадения с теми, что опубликованы как скомпрометированные, к примеру, в утечках данных; корректность и действительность данных, предоставленных покупателем в отношении платежного средства; соответствие суммы заказа среднему чеку на сайте, соответствие суммы заказа среднему значения предыдущих заказов; количество заказов за час; количество попыток ввода данных при оплате, количество неверных попыток; количество использованных карт данным пользователем, сданного ip-адреса; время и день недели в которые совершается транзакция. Антифрод системы высокого уровня Как правило, все наиболее популярные и крупные сервисы имеют именно такую Антифрод систему. Её содержание и обслуживание, найм специалистов — дорогостоящее удовольствие, соответственно, она по карману не всем. Главное отличие от Антифрод систем низкого уровня заключается в том, что используются все новейшие технологии, к примеру, машинное обучение (У Амазона в районе 3 млн. активных продавцов, представим себе, что в сутки у каждого продавца 3 сделки, получаем 9 млн. сделок в сутки, 270 млн. сделок в месяц, 3 240 000 000 в год миллиарда транзакций только за один год, представьте себе какой массив данных Амазон может обработать с помощью алгоритмов ML. И какова эффективность Антифрод системы построенной на такой модели. Крайне, крайне высокая. При этом мы понимаем, что Антифрод система не статичная структура, модель, она постоянно учится, меняется, подстраивается. Нет никакой проблемы для Антифрод системы такого уровня просто искоренить фрод в целом, вас уже при включении компьютера в сеть и возникновении мысли о фроде будут блокировать. Но дело в том, что торговая площадка вынуждена соблюдать интересы покупателей, интересы продавцов — интересы бизнеса. Она не может быть крайне суровой, отметая операции при малейшем подозрении на фрод и именно поэтому допускается определенный уровень фрода и учитывается как допустимые потери». Что это означает для тех, кто желает состязаться с такой системой? Я думаю, что это просто нецелесообразно. При таких же затратах ресурсов можно найти сайты с менее строгой АФ системой, используя их слабость. Зачем заведомо зная о силе противника, превосходящей твою враз, становиться с ним в ринг Ты играешь на их поле и по их правилам, ты заранее проигравший по сравнению стем, кто нашел свою нишу, свою полянку среди тех сайтов, где менее требовательная АФ система. Рано или поздно, система подкорректируется, узнав новые модели фродового поведения и твоя тема просто заглохнет — введут новое правило. Если ты ещё по-прежнему считаешь самым умным, хитрыми талантливым добро пожаловать в мир так называемой Поведенческой биометрики», которая способна анализировать скорость твоего набора символов, паттерны поведения на сайте — открытие/закрытие окон, переход на страницы, движения мыши, это так называемый fingerprint, только не браузера, а твоего поведения. Современные технологии, по мере их развития, обучения самой себя, очень скоро не оставят шансов унылой работе в Paypal, вбивам гифтов в Будет лучше, если вы в работе будете также мобильны, обучаемы и креативны, вином случае вас выкинут на обочину, конкурировать вы не сможете Часть 4. Практические рекомендации Ниже я указываю те примы, что могут повысить качество и комфортность обработки Лога, которые используются на практике. • Перед тем как начать работу с конкретным Логом необходимо всегда пройтись по вашему листу чекеров (пример ниже Общие сведения Определение Гео https://www.maxmind.com/en/geoip2-precision-demo Тестирование на использование прокси/VPN https://www.ipqualityscore.com/free-ip-lookup-proxy-vpn-test/lookup/ • Перед тем как начать работу необходимо установить программу, делающую скриншоты, а также программу для ведения текстовых записей в процессе отработки Лога зачастую попадается слишком много интересных моментов (сведений об адресах, телефонах, почтах, платежных данных, которые обязательно нужно зафиксировать • Перед тем как начать работу с конкретным Логом необходимо составить для себя портрет Жертвы, кратко изучив историю браузера, сведения из форм автозаполнения, просмотреть Куки и посмотреть какие аккаунты имеет Жертва в файле с логинами и паролями • Работу с конкретным Логом необходимо начинать с логина в почтовый сервис Жертвы, желательно перейдя по ссылке, указанной в истории посещений. Такая необходимость вызвана тем, что если сервис имеет мультифакторную авторизацию с отправкой ссылок/кодов в почтовый ящик, то прохождение такой авторизации не вызовет у вас сложности, если вы находитесь в почтовом ящике. Плюсу вас имеется несколько десятков секунд, чтобы удалить письмо о такой авторизации, дабы не увидел владелец аккаунта • Перед тем как заходить в аккаунт какого-либо сервиса/магазина, желательно понимать как проходит авторизация на этом сервисе — шлёт ли уведомления о входе/попытках входа с другого устройства на почту/привязанный телефон. То есть эти знания точно нужны по тем сервисам, с которыми вы работаете. Особенности авторизации можно внести в свои записи • Если авторизация в нужном вам сервисе проходит с уведомлениями холдера на почту либо телефон, то такой сервис отрабатывается в самую последнюю очередь. Если сервис после успешной авторизации либо неуспешной отправляет данные на почту либо телефон, то адекватный холдер сразу поймёт в чём дело и сменит пароль, свяжется со службой поддержки либо прекратит сессию в данном сервисе. Есть такие холдеры, которые смогут всё это сделать за несколько минут, есть и те, кто не делает вообще. После вашего обнаружения, Лог можно выкидывать Если обрабатывается серьёзный и дорогой Лога почтовым сервисом Жертвы является Gmail, то вам необходимо сделать GoogleTakeout Это позволит вам скачать на компьютер все данные Жертвы, имеющиеся в распоряжении На заключительном этапе обработки Лога, пока вы находитесь в почтовом аккаунте, нужно произвести авторизацию в программе для сбора почты. К примеру: https://www.thunderbird.net/ от Mozilla или выбирать либо профессиональную версию с триалом на 30 дней либо MailStore Home, она бесплатна). После того как вы укажете данные почтового аккаунта в такой программе от Google поступит запрос согласия на авторизацию такой программы. После того как вы проделаете эти простые манипуляции такая программа соберет всю почту, включая приложенные файлы, с почтового аккаунта Жертвы. Со временем вы получите очень качественный массив данных, в том числе сможете использовать такие трастовые почты реальных резидентов, использовать документы, приложенные к письмам для верификаций на своих сервисах, в целом, отслеживать жизнь Жертвы • Перед работой с Логом желательно иметь наготове список почтовых ящиков, которые вы можете использовать для получения писем с ящика Жертвы. Для этого вам необходимо настроить пересылку входящих писем на ваш адрес. После того как вы подтвердите такую пересылку, появится возможность читать всю почту жертвы без авторизации в браузере на почтовом сервисе. Учитывая пункт выше, повторюсь, это бывает крайне полезным. К примеру, если Жертва пополняет какой-нибудь интересный сервис, то вы им также сможете пользоваться. Также выбудете получать сведения о покупках в каком-нибудь магазине, пополнениях балансов в сервисах, операциях в платежных системах • В почтовом ящике/ящиках Жертвы необходимо настраивать фильтры входящей почты. Данные фильтры отсеивают письма с определённых сервисов, которые вы определили, то есть обрабатывают входящие сообщения по вашим правилам. К примеру, если вы заказали на eBay какой-либо товар, тона почту, связанную с аккаунтом на eBay, придёт письмо и не одно. Если не настроены фильтры, то Жертва мгновенно увидит такие письма и среагирует, а вы потеряете Лог. Если на сайтах ваших сервисов имеется возможность удалять операции, отчеты, сообщения — все они, связанные с вашим присутствием — должны быть удалены/скрыты • Если вы не умеете и неготовы обработать сложные аккаунты, к примеру БА, то лучше изначально там много не активничать, не оставлять следы и не портить отношения с АФ системой. Такие запросы должны быть зафиксированы в записях и переданы под обработку тем, кто ими занимается • Желательно производить все манипуляции, когда вероятность того, что Жертва спит крайне высока. Однако, если планируются какие-либо денежные операции, то необходимо иметь ввиду, что действуя не в обычные часы тайм-зоны Жертвы, вы можете увеличивать фрод-скор • Если у вас отсутствует уверенность в том, что вы сможете отработать сервис на то лучше либо отложить такой сервис на некоторое время либо передать Лог. Логинясь в сервис, вы должны четко понимать, что, где, когда и как выбудете делать. Если работа будет связана с обналичиванием, то у вас уже должны быть наготове проверенные варианты обналичивания либо специалисты. • У Лог нет конкретного срока годности ивы можете спланировать работу с ним, допустим, на протяжении целой недели. Тогда требуется делать экспорт Куки, после отдельно взятого сеанса работы. При следующем сеансе, вы импортируете не исходные Куки, а те, что были экспортированы уже вами |