Документация 'Check.Point '

Добро пожаловать в раздел технической документации нашей системы. Здесь вы узнаете что "под капотом" системы и как мы проверяем IP-адреса на качество и чистоту.

Оглавление:

1. Геолокация ( Местоположение IP )
2. Категория подключения ( Тип соединения )
3. Открытые порты устройства
4. ASN + Информация о провайдере
5. Блок определения признаков анонимайзеров
6. Проверка по базам AbuseIPDB
7. Проверка по 'черным спискам'
8. Спам - отчет
9. Maxmind MinFraud Insights - Проверка по базам более чем 7.000 мерчантов и приложений
10. IPQualityScore Fraud Reports - Проверка по базам IPQS и FraudScore оценка
11. Index FRSX ( Index of Finance Risk Scale Exponent) или : Индекс Экспоненты Финансовых Рисков
12. Anti-Fraud Conclusion ( Заключительное решение от Анти-Фрод системы)

Геолокация

Country: United States(US)
State: Florida
City: Fernandina Beach
Zip Code: 32034
Time Zone: America/New_York

Система определения основана на платных базах Maxmind.com ( GeoIP Service). Имеет свои неточности, но является лучшей среди конкурентов. Учитывая эти ограничения, мы считаем, что продукты GeoIP2 могут идентифицировать пользователей на уровне страны с точностью 99,8%. Для IP-адресов, расположенных в США, мы оцениваем точность около 80% на уровне штата/региона и точность 66% для городов (в радиусе 50-100 км от этого города)

Базы GeoIP2 обновляются ежедневно, а команда Maxmind работает над улучшением их показателей уже более 20 лет.

Тип соединения

Usage Type: Business

Параметр передающий происхождение IP адреса. Система распознает такие категории как :

●business ●cafe ●cellular ●college ●content_delivery_network ●dialup ●government ●hosting ●library ●military ●residential ●school ●search_engine_spider ●traveler

( business residential ) - Резидентный IP. Использует либо физ.лицо либо юр.лицо -НАШ БРО ( cafe college government library school traveler ) - IP Публичных мест (cellular dialup ) - IP Мобильных сетей (content_delivery_network search_engine_spider hosting ) - Бот, поисковый-робот, хостинг( сервер, дата-центр)

Открытые порты устройства

Ports: 8080, 8081, 82

Показывает порты которые включены на устройстве.
ВНИМАНИЕ! Открытый порт - не обозначает наличие VPN или Proxy на девайсе. Порты используются для различных технических задач и просто напросто дают возможность обмениваться пакетами данных, обрабатывать запросы , т.е выходить роутеру в интернет.
Например 80 , 8080, 8081 и тд порты используются для доступа к веб панели устройства. А также для этих целей может быть выбрать нестандартный порт - 4453 к примеру.
Поэтому мы закрываем только те порты , которые не влияют на работу и могут вызвать подозрение у антифрод систем. Все что остается открытым - сделано намерено для продления жизни подключения и обеспечения стабильной работы.

ASN + Информация о провайдере

ASN: 7922
ISP: Comcast Business
User Count: None

Номер автономной системы (ASN) - это уникальный номер, позволяющий автономным системам обмениваться данными маршрутизации с другими подключенными системами. Иными словами это идентификационный номер подсети.
ISP - Название провайдера . Система насчитывает более 10тыс наименований в базе данных.
User Count - Количество пользователей за последние 48ч.

Анонимайзеры

Is Anonymous? - No
Is Anonymous Proxy? - No
Is Public Proxy? - No
Is Anonymous VPN? - No
Is Tor exit node? - No
Is Hosting Provider? - No

Виды анонимайзеров

Мы выделяем пять различных типов анонимайзеров:

• VPN ,
• Хостинг-провайдеры ,
• Публичные прокси ,
• Приватные прокси ,
• и узлы выхода TOR .

Анализ производится по базам MinFraud Insights

AbuseIPDB

AbuseIPDB Alerts: 0 ✅
Confidence of Abuse: 0 %

Блок проверки IP адреса на Abuse Alerts параметр при помощи сервиса https://www.abuseipdb.com/.

Это авторитетный сервис , работает с 2016 года под руководством команды Marathon Studios Inc.

AbuseIPDB — это проект, призванный помочь системным администраторам и веб-мастерам проверять и сообщать об IP-адресах, которые участвуют в вредоносных действиях, таких как рассылка спама, попытки взлома, DDoS-атаки и т. д.
Abuse Alerts параметр показывающий количество жалоб поступивших на данный IP. Сервис предоставляет информацию по каждой «жалобе» на адрес. А также ведет статистику по репортам : Количество IP , получивших жалобы Геолокация и диаграммы по странам.

Категории репортов, распознаваемых сервисом :

1. DNS Compromise:
Altering DNS records resulting in improper redirection.

2. DNS Poisoning:
Falsifying domain server cache (cache poisoning).

3. Fraud Orders:
Fraudulent orders.

4. DDoS Attack:
Participating in distributed denial-of-service (usually part of botnet).

5. FTP Brute-Force

6. Ping of Death:
Oversized IP packet.

7. Phishing:
Phishing websites and/or email.

8. Fraud VoIP

10. Open Proxy:
Open proxy, open relay, or Tor exit node.

11. Web Spam:
Comment/forum spam, HTTP referer spam, or other CMS spam.

12. Email Spam:
Spam email content, infected attachments, and phishing emails.

13. Blog Spam:
CMS blog comment spam.

14. VPN IP:
Conjunctive category.

15. Port Scan:
Scanning for open ports and vulnerable services.

16. Hacking :
Attempts at hacking devices\servers\routers.

17. SQL Injection :
Attempts at SQL injection.

18. Spoofing : Email sender spoofing.

19. Brute-Force:
Credential brute-force attacks on webpage logins and services like SSH, FTP, SIP, SMTP, RDP, etc. This category is seperate from DDoS attacks.

20. Bad Web Bot:
Webpage scraping (for email addresses, content, etc) and crawlers that do not honor robots.txt. Excessive requests and user agent spoofing can also be reported here.

21. Exploited Host:
Host is likely infected with malware and being used for other attacks or to host malicious content. The host owner may not be aware of the compromise. This category is often used in combination with other attack categories.

22. Web App Attack:
Attempts to probe for or exploit installed web applications such as a CMS like WordPress/Drupal, e-commerce solutions, forum software, phpMyAdmin and various other software plugins/solutions.

23. SSH:
Secure Shell (SSH) abuse. Use this category in combination with more specific categories.

24. IoT Targeted:
Abuse was targeted at an "Internet of Things" type device. Include information about what type of device was targeted in the comments.

Confidence of Abuse:

Эта цифра — это оценка (по шкале от 0 до 100) того, насколько велика вероятность, на основе отчетов пользователей, того, что IP-адрес является полностью вредоносным.

Рейтинг доверия определяется отчетами и их возрастом. Базовым значением является натуральный логарифм числа отдельных сообщений пользователей. Вес всех сообщений уменьшается со временем. Рейтинг доверия для всех сообщенных адресов пересчитывается ежедневно с учетом прошедшего времени.

Проверка на блеклисты

Blacklisted? - No

Блок проверяет IP адрес на наличие в одном из проверяемых блеклистов. В данный момент система проверяет единовременно по 46 спискам! В планах расширить это количество до 100+
Это необходимая проверка качества адреса. Блеклист может быть как за какой то незначительный спам, так и за серьезные правонарушения.

Используемые списки:

• 0SPAM
• Abuse.ro
• Abusix Mail Intelligence Blacklist
• Abusix Mail Intelligence Domain Blacklist
• Abusix Mail Intelligence Exploit list
• Anonmails DNSBL
• BACKSCATTERER
• BLOCKLIST.DE
• CALIVENT
• CYMRU BOGONS
• CYMRU BOGONS IPv6
• DAN TOR
• DAN TOREXIT
• DNS SERVICIOS
• DRMX
• DRONE BL
• FABELSOURCES
• HIL
• HIL2
• Hostkarma Black
• IBM DNS Blacklist
• ICMFORBIDDEN
• IMP SPAM
• IMP WORM
• INTERSERVER
• ivmSIP
• ivmSIP24
• JIPPG
• KEMPTBL
• KISA
• Konstant
• LASHBACK
• LNSGBLOCK
• LNSGBULK
• LNSGMULTI
• LNSGOR
• LNSGSRC
• MADAVI
• MAILSPIKE BL
• MAILSPIKE Z
• MSRBL Phishing
• MSRBL Spam
• NETHERRELAYS
• NETHERUNSURE
• NIXSPAM
• Nordspam BL
• NoSolicitado
• ORVEDB

Спам - отчет

SpamCop: ✅ Good
SPAMHAUS: ✅ Good
Barracuda: ✅ Good

Проверка по самым популярным спам-спискам : https://www.spamcop.net https://www.spamhaus.org https://www.barracudacentral.org

Maxmind MinFraud Insights

Maxmind MinFraud : 0.01
MinFraud Risk_Reasons: ✅ No Reasons

Нужно понимать, что данный сервис предоставляет инструменты, не только для IP анализа, но и для полного контроля за транзакциями на мерчанте. Так как мы проверяем тут только IP, мы не затрагиваем более глубокие возможности maxmind, пока что =) .

Сеть minFraud получает информацию от всех пользователей услуг Maxmind.

Услугами этой фирмы пользуются более 7000 компаний по всему миру. Сюда входят индивидуальные предприниматели, компании из списка Fortune 100 и все, что между ними. При моделировании оценки риска minFraud учитываются все транзакции, совершенные в этой сети предприятий за последний год. Это более 3 миллиардов транзакций.

Эти транзакции помогают сервису minFraud собирать данные о репутации для ряда цифровых идентификаторов. Сеть minFraud позволяет нам помечать подозрительные IP-адреса и устройства на основе их активности в сети.

С таким количеством различных видов бизнеса и транзакций в сети minFraud мы можем более тщательно отслеживать риски в разных отраслях и вертикалях. Это означает, что малые предприятия выиграют от моделей риска, возникающих в крупных предприятиях и учреждениях, а более крупные предприятия выиграют от сигналов риска, которые мы наблюдаем в малых предприятиях, которые могут быть упущены при большем объеме транзакций.

Машинное обучение и анализ данных об этих миллиардах транзакций также основаны на поведении. Данные показателей основаны не только на уже совершенных мошеннических действиях, но и также применяются поведенческие паттерны, позволяющие точнее идентифицировать неблагонадежные IP- адреса.

Службы minFraud возвращают общую оценку риска, которая учитывает ряд оценок факторов риска. Каждая из этих оценок представляет вероятность того, что IP является опасным для мерчанта. Различные оценки факторов риска взвешиваются и объединяются с другими факторами.

Общий балл можно разбить на несколько баллов факторов риска.

Все оценки риска даны в процентах от 0,01 до 99. Например, оценка риска 20,00 означает, что IP имеет 20-процентную вероятность мошеннических действий, а оценка риска 0,10 означает, что IP имеет вероятность 0,1 %. быть мошенническим.

Причины повышенного риск скора отображаются, когда имеет место одно из нижеизложенных условий :

ANONYMOUS_IP

The IP address belongs to an anonymous network. See the object at /ip_address/traits for more details.

BILLING_POSTAL_VELOCITY

Many different billing postal codes have been seen on this IP address.

EMAIL_VELOCITY

Many different email addresses have been seen on this IP address.

HIGH_RISK_DEVICE

A high risk device was seen on this IP address.

HIGH_RISK_EMAIL

A high risk email address was seen on this IP address in your past transactions.

ISSUER_ID_NUMBER_VELOCITY

Many different issuer ID numbers have been seen on this IP address.

MINFRAUD_NETWORK_ACTIVITY

Suspicious activity has been seen on this IP address across minFraud customers.

IPQualityScore

IPQualityScore: 20

Оценка качества от сервиса IPQS.
https://www.ipqualityscore.com/proxy-vpn-tor-detection-service

Проводит проверку по базам и своим honey-pot системам , оценивает вероятность IP быть вредоносным и аффилированным с мошенничеством.
Также анализирует жалобы от мерчантов и шопов, функционирующих на системе IPQS.

Выдает результат от 0 до 100:

75+ = suspicious | 85+ = risky | 90+ = high risk

И имеет примерно такие оценки.

Index FRSX

[ Index of Finance Risk Scale Exponent ]

Индекс экспоненты шкалы финансового риска

Шкала , указывающая на уровень риска для финансовых систем, баз данных, мерчантов и т.п. Если уровень очков превысит норму - транзакции или действию не избежать ручной проверки либо отклонения.

Параметр рассчитываемый опираясь на несколько десятков метрик, включая те что указаны выше, а также на информации от банкинг систем и финансовых организаций. А также банковскими honeypot системами, которыми пользуются такие организации как : J.P.Morgan , FCCA , Wheels Fargo, Austria Bank, HSBC, BNP Paribas, DeutscheBank, UBS, CitiGroup, Capital One и т.д. ( более 30+ наименований) . .

Представлен шкалой от 0-125+, где :
Very Low Risk (0 - 9) - Минимальная вероятность фрода.
Medium Risk (10-38) - Не самая сильная индикация , но есть риск.
High Risk (38-89) - уже указывает на степень риска того, что используемый IP адрес, возможно, является ненадежным или опасным для финансовых систем а также различного рода мерчантов ( систем проведения оплат) и тому подобное. Обычно транзакции с такой пометкой отправляются на ручную обработку и анализ.
Very High Risk (90-125+) - IP адрес помечен всеми системами как ненадежный и будет подвергаться фильтрации в 100% случаев

Заключение Анти_Фрод систем

Anti-Fraud Conclusion:
Trusted 🟢

Анализ всех параметров и (возможный, это не 100% точность) вариант вывода алгоритма Анти-Фрод системы, которую нам необходимо пройти.

Trusted 🟢 - Нет причин для фильтрации.
Questionable 🟡 - имеются сомнения насчет какого либо параметра ( 10-30% шанс фрода)
Threat - 🔴 - однозначно анти-фрод система такое не пропустит ( 60-90% шанс фрода)