Перейти к содержимому

Сотрудничество и реклама Rockefeller, гарант сделок MasterCard, проверка товаров и услуг Jasper

Фотография
* * * * * 1 Голосов

Обход Antifroda, хитрость.

антифрод antifrod

  • Авторизуйтесь для ответа в теме
Сообщений в теме: 8

#1 Agent

Agent

    Продвинутый пользователь


  • Полный доступ ♔
  • PipPipPip
  • 283 сообщений
  • Депозит:5500р.
  • ГородLondon
  • Сделок через гарант:5

Отправлено 26 Февраль 2017 - 14:31

В этой статье речь пойдет о системе антифрода на примере PayPal. А точнее будем пытаться косить под идеального пользователя.Сразу хочу сказать все ,что я тут описываю это всего лишь предположения, поскольку я не работаю в PayPal и не видел их алгоритмы.

Вступление:
Представьте себе какого нибудь Майкла из США, который хочет оплатить себе айфон. Заходит он в шоп, видит оплату через ПП, регает аккаунт и оплачивает. Майкл не отлеживает свой саморег, не раскачивает покупками чая и прочей требухи, он заходит и платит. Майклу не нужно завоевывать доверие ПП, читать целые ветки на подобных форумах перед тем как ,что то себе купить. Итак как же нам казаться Майклом , а не Борисом в глазах антифрода

Я распишу лишь важные аспекты

 

1. Порты:

Представьте, что вы это антифрод.Сидите смотрите ордеры и тут у вас хочет купить человек у которого открыты 80,443,3389,22 порты.Только глядя на эти порты уже ясно,что задумал этот человек. Ведь Майкл не платил бы с дедиков,тунелей,соксов,прокси.

Решение: юзаем дедик ,на котором настраиваем firewall или на тунеле поднимаем firewall

 

2.Двусторонний пинг и принадлежность к хостинг провайдеру:

Двусторонний пинг детектит тунели,впн,сокс по пингу и временной разнице полученной в петле

Решение: перед тунелем,впном,соксом добавляем ТОR.
Пренадлежность к хостинг провайдеру – ну тут думаю ясно, не используем тунели,соксы,впн хостинг провайдеров,считайте если ip принадлежит хостеру то он в блэке

 

3.Webrtc и DNS:

Очень много инфы есть по предотвращению этих утечек, не буду сейчас в 1000 раз их дублировать.Просто помним о том ,что их нужно проверять и фиксить

От себя: не используйте днс от гугла, так как ваши действия логируются.

 

4.Flash:

Безусловно мы его включаем, ведь нам нечего боятся и мы зашли оплатить товары со своего аккаунта.Вообщем врубай флэш – не вызывай подозрений
С flash нужно быть предельно осторожным, скачать flashplayer на свой комп(используем антидетект или дедик) все равно ,что сознательно запустить троян в систему.Не забываем о языке вашей ОС и таймзоне.

Рекомендую проверить утечки через flash на browserleaks.com

 

5.Tab history и refer:

Используется антифродом для детекта, недавно посещенных сайтов. Тут все просто никаких whoerов и прочих вызывающих палево сайтов.
Гуляем по google и facebook, имитируем поведение Майкла.

Refer – определяет с какого сайта мы пришли, поэтому переходим как и все люди, из гугла.

 

6.Tab name:

Если коротко то, с помощью данного параметра антифрод видит все открытые вкладки в вашем браузере в режиме реального времени.

 

7.Отпечаток аудио

audiofingerprint.openwpm.com - тест
Проверял на основной ОС и на виртуалке с антидетектом – отпечатки одинкаковые.На дедике еще не тестил, проверьте у себя на дедиках и отпишитесь

 

Отпечаток аудио может очень вам навредить в 2ух случаях:

1)Деанонимизация. Представим ,что вы переходите на сайт ПП и у вас берут отпечаток аудио. Далее после успешного дела, вы выключаете виртуалку и идете на youtube или гугл ,еще хуже если в соц сети и все эти сайты у вас тоже беретут отпечаток аудио. Деанонимизация примерно будет выглядеть так “20:00 отпечаток 2a3b4c5e зашел в ПП под ip 192.168.0.1, 20:30 отпечаток 2a3b4c5e зашел на youtube под ip 192.168.1.100(Тот ip с которого вы вышли на youtube)”

2)ПП или другие сайты по этому отпечатку могут видеть ,что вы у них уже были.

Решение: смотрите последний вебинар Вектора, по подмене этого параметра.

 

7.Uptime и OS fingerprint:

Uptime – это то время которое находится в онлайне ваш впн,сокс,тунель.
Согласитесь странно ,что комп Майкла работает без перезагрузки уже пол года
Решение: заходим в консоль тунеля и пишем reboot

OS fingerprint – простым языком, у каждой ОС разные пакеты.То есть когда вы используете тунель поверх винды то получается ,что пакеты у вас от линукса а юзер агент винды

Решение: юзайте дедик или поднимайте на тунеле опенвпн сервер и прописывайте в конфигурацию сервера и клиента строчку mssfix 0.Есть более простое решение этой проблемы, но оно пока на стадии тестов
 

Пока вроде бы все, если что забыл – дополню.Не расписывал очевидные вещи вроде языка системы и т.д. Если у кого есть ,что дополнить , буду рад почитать.


  • 4



#2 Martin

Martin

    Продвинутый пользователь


  • Полный доступ ♔
  • PipPipPip
  • 141 сообщений

Отправлено 26 Февраль 2017 - 14:54

Да нюансов в этом деле много, спасибо за мини гайд


  • 0

#3 Xavier

Xavier

    Новичок


  • Пользователь
  • Pip
  • 5 сообщений

Отправлено 20 Март 2017 - 19:46

Пункт 7 озадачил. Не обращал внимания на данный параметр т.к. ранее не слышал о нем. Принято к сведению. ТС спасибо за труды много интересного в открытый доступ положил..
  • 0

#4 ruslik

ruslik

    Новичок


  • Пользователь
  • Pip
  • 5 сообщений

Отправлено 15 Июль 2017 - 03:24

Полезная статья есть что подправить в своей системе.


  • 0

#5 Zalzburg

Zalzburg

    Новичок


  • Пользователь
  • Pip
  • 1 сообщений

Отправлено 08 Август 2018 - 01:04

Для меня, как новичка в этом деле, статья познавательная


  • 0

#6 skipper1996

skipper1996

    Новичок


  • Пользователь
  • Pip
  • 2 сообщений
  • ГородРостов на дону

Отправлено 17 Июль 2019 - 01:19

интересный материал )спасибо

В этой статье речь пойдет о системе антифрода на примере PayPal. А точнее будем пытаться косить под идеального пользователя.Сразу хочу сказать все ,что я тут описываю это всего лишь предположения, поскольку я не работаю в PayPal и не видел их алгоритмы.

Вступление:
Представьте себе какого нибудь Майкла из США, который хочет оплатить себе айфон. Заходит он в шоп, видит оплату через ПП, регает аккаунт и оплачивает. Майкл не отлеживает свой саморег, не раскачивает покупками чая и прочей требухи, он заходит и платит. Майклу не нужно завоевывать доверие ПП, читать целые ветки на подобных форумах перед тем как ,что то себе купить. Итак как же нам казаться Майклом , а не Борисом в глазах антифрода

Я распишу лишь важные аспекты

 

1. Порты:

Представьте, что вы это антифрод.Сидите смотрите ордеры и тут у вас хочет купить человек у которого открыты 80,443,3389,22 порты.Только глядя на эти порты уже ясно,что задумал этот человек. Ведь Майкл не платил бы с дедиков,тунелей,соксов,прокси.

Решение: юзаем дедик ,на котором настраиваем firewall или на тунеле поднимаем firewall

 

2.Двусторонний пинг и принадлежность к хостинг провайдеру:

Двусторонний пинг детектит тунели,впн,сокс по пингу и временной разнице полученной в петле

Решение: перед тунелем,впном,соксом добавляем ТОR.
Пренадлежность к хостинг провайдеру – ну тут думаю ясно, не используем тунели,соксы,впн хостинг провайдеров,считайте если ip принадлежит хостеру то он в блэке

 

3.Webrtc и DNS:

Очень много инфы есть по предотвращению этих утечек, не буду сейчас в 1000 раз их дублировать.Просто помним о том ,что их нужно проверять и фиксить

От себя: не используйте днс от гугла, так как ваши действия логируются.

 

4.Flash:

Безусловно мы его включаем, ведь нам нечего боятся и мы зашли оплатить товары со своего аккаунта.Вообщем врубай флэш – не вызывай подозрений
С flash нужно быть предельно осторожным, скачать flashplayer на свой комп(используем антидетект или дедик) все равно ,что сознательно запустить троян в систему.Не забываем о языке вашей ОС и таймзоне.

Рекомендую проверить утечки через flash на browserleaks.com

 

5.Tab history и refer:

Используется антифродом для детекта, недавно посещенных сайтов. Тут все просто никаких whoerов и прочих вызывающих палево сайтов.
Гуляем по google и facebook, имитируем поведение Майкла.

Refer – определяет с какого сайта мы пришли, поэтому переходим как и все люди, из гугла.

 

6.Tab name:

Если коротко то, с помощью данного параметра антифрод видит все открытые вкладки в вашем браузере в режиме реального времени.

 

7.Отпечаток аудио

audiofingerprint.openwpm.com - тест
Проверял на основной ОС и на виртуалке с антидетектом – отпечатки одинкаковые.На дедике еще не тестил, проверьте у себя на дедиках и отпишитесь

 

Отпечаток аудио может очень вам навредить в 2ух случаях:

1)Деанонимизация. Представим ,что вы переходите на сайт ПП и у вас берут отпечаток аудио. Далее после успешного дела, вы выключаете виртуалку и идете на youtube или гугл ,еще хуже если в соц сети и все эти сайты у вас тоже беретут отпечаток аудио. Деанонимизация примерно будет выглядеть так “20:00 отпечаток 2a3b4c5e зашел в ПП под ip 192.168.0.1, 20:30 отпечаток 2a3b4c5e зашел на youtube под ip 192.168.1.100(Тот ip с которого вы вышли на youtube)”

2)ПП или другие сайты по этому отпечатку могут видеть ,что вы у них уже были.

Решение: смотрите последний вебинар Вектора, по подмене этого параметра.

 

7.Uptime и OS fingerprint:

Uptime – это то время которое находится в онлайне ваш впн,сокс,тунель.
Согласитесь странно ,что комп Майкла работает без перезагрузки уже пол года
Решение: заходим в консоль тунеля и пишем reboot

OS fingerprint – простым языком, у каждой ОС разные пакеты.То есть когда вы используете тунель поверх винды то получается ,что пакеты у вас от линукса а юзер агент винды

Решение: юзайте дедик или поднимайте на тунеле опенвпн сервер и прописывайте в конфигурацию сервера и клиента строчку mssfix 0.Есть более простое решение этой проблемы, но оно пока на стадии тестов
 

Пока вроде бы все, если что забыл – дополню.Не расписывал очевидные вещи вроде языка системы и т.д. Если у кого есть ,что дополнить , буду рад почитать.

 


  • 0

#7 Gogi

Gogi

    Новичок


  • Пользователь
  • Pip
  • 2 сообщений

Отправлено 11 Сентябрь 2019 - 18:02

Блин что то не кто про бмл палки не пишет
  • 0

#8 PopStarMan

PopStarMan

    Новичок


  • Полный доступ ♔
  • Pip
  • 7 сообщений
  • ГородМосква
  • Сделок через гарант:2

Отправлено 26 Сентябрь 2019 - 00:36

Блин что то не кто про бмл палки не пишет

а что с ним?


  • 0

#9 Alex May

Alex May

    Продвинутый пользователь


  • Пользователь
  • PipPipPip
  • 37 сообщений

Отправлено 18 Декабрь 2019 - 22:16

тяжело все понять сразу и усмотреть. неужели без этих параметров и нюансов не вбить?


  • 0

Jabber : alexmay@xabber.org

Telegram : @alexmay6996






Темы с аналогичным тегами антифрод, antifrod





Форум доступен во всех городах: Москва, Санкт-Петербург, Киев, Минск, Новосибирск, Екатеринбург, Нижний Новгород, Самара, Омск, Казань, Челябинск, Ростов-на-Дону, Уфа, Волгоград, Пермь, Красноярск, Воронеж, Саратов, Краснодар, Тольятти Ижевск, Ульяновск и др.

Схемы заработка в интернете, кардинг форум, залив на карту.