Определение детектов шопа или платежки

проверялось в конце 2018-начале 19 года

Сегодня мы озадачимся очень важной вещью - определением того, что же чекает шоп или сервис при попытках наших вбивов. Это поможет гораздо лучше понять причины возможных деклайнов и бреши в настройке нашей системы или браузера. Это могут быть различные фингерпринты, параметры WebGL и прочие подобные вещи. Итак, для начала скачиваем систему OpenWPM с Github. Стоит данная система на обычной Ubuntu - при желании разобраться в ней проблем составить не должно. Создана она для детекта наших аудиоотпечатков.

После того, как мы установили все основные вещи, нам необходимы модули питона для сканирования, использования анализа javascript. После выполнения данных действий в конечном итоге нам становится доступным окно, в которое мы вводим адреса шопа, конторы или любого другого интересующего линка и получаем базу данных с js запросами. Данный анализ АФ системы занимает всего пару минут по времени, и по итогу вы получите информацию о том, что хочет получить конечный сайт - это может быть канвас, аудиоотпечаток или что то еще, т.к. антифрод системы развиваются очень быстрыми темпами, и буквально каждый день появляются новые детекты. Установка питона занимает несколько минут, но перед этим нам необходимо установить мозиллу:

Далее открываем терминал и вводим команду:

git clone

Мы начали клонировать систему - это займет немного времени, не больше 5 минут:

Проект успешно клонирован, получаем такое окно:

Как следствие, у нас появилась папка с названием продукта - перейдем в неё и выполним скрипт ./install.sh

Далее система спрашивает про установку флеш плеера - даем добро, нажимаем Enter и запускаем установку скриптов, которые необходимы нам для модуля питона. После того, как установка будет завершена нам необходимо проверить, всего ли достаточно для дальнейшей работы с анализом - запускаем проверку путем выполнения ./demo.py

Если скрипт успешно выполнится, значит на данном этапе все ок, но часто может произойти проблема, связанная с нехваткой прав администратора - в таком случае выполняем sudo *./demo.py , после чего python ./demo.py . Если после воспроизведения данных действий мы получаем такое вот окно, значит все отлично:

Теперь делаем тестовый прогон, и у нас открывается три браузерных окна. Ожидаем, пока прогрузятся необходимые файлы-инструменты для нашей работы - ожидаем их закрытия. После этого открываем следующий файл: namo demo.py

Если на предыдущем этапе все было сделано верно, то получим следующую картинку:

Обратим внимание на сайты, которые выделены зеленым цветом с числом 3 - параметр, который будет запущен с числом браузеров для анализа интересующих нас сайтов. Данное значение можно как загрузить из текстового файла, так и прописать вручную в командной строке. Количество одновременно запущенных браузеров зависит лишь от ресурсов системы.

Теперь мы готовы непосредственно к тестированию. Начнем проверку - вводим адрес целевого сайта, например paypal или facebook со всеми прилегающими типами соединения (http / https), и исполняем команду python demo.py *. Процесс пошел, вы увидите это благодаря началу создания файлов и папок на рабочем столе. Для получения результатов нас интересует файл crowdata.sql - именно в нем будет храниться информация о полученных с сайта запросов. Время на проверку каждого конкретного сайта зависит от его размеров, скорости соединения, количества запрашиваемой информации. Если в вашей системе нет необходимого приложения для открытия файлов подобного типа, то я рекомендовал бы приложение «sql lite»:

После открытия получившегося файла данной программой получаем таблицы, в которых теперь необходимо найти запросы, интересующие нас в нашем анализе. Для этого выбираем пункт «данные», после чего в таблице выбираем значение javascript. А теперь разберем, где же тут детекты - нас интересует колонка «script url»:

А теперь самое интересное - рассмотрим, что же хочет от нас сайт на примере Paypal: расширим для удобства 4 колонки - script_url,func_name,symbol и колонку value. Данные значения были переданы сайту по его запросу. Вот, например, данные по шрифтам:

Данные по кукис,сессионные токены:

Таким образом, благодаря данному методу вы можете проследить за основными моментами, на которые стоит обратить внимание при настройке машины для вбила или работы с аккаунтами. На самом деле, существует также большое количество скрытых и косвенных детектов, во всех топовых АФ системах активно развивается машинное обучение, как результат - абузы, локи, деклайны. Все существующие антидетекты, с которыми мне лично приходилось сталкиваться так или иначе требуют к себе творческого подхода и изучения антифрода конкретных контор. К сожалению, очень сложно давать универсальные советы.

Лично я использую дедики, как самое простое решение, не требующее настроек. Но все мы знаем, что для многих направлений деятельности они совершенно не годятся, поэтому также приходится пользоваться антидетектами. Ранее использовал антидетект байта, но на сегодняшний день он безнадежно устарел, поэтому с недавних пор перешел на linken sphere - на данный момент она меня полностью устраивает, после старого антика как будто пересел на космический корабль, плюс разрабы постоянно добавляют что то новое, а так как я человек любознательный, то изучение новых функций меня всегда очень радует. Если не сталкивались с данным антидетектом, то можете почитать информацию о нем на их сайте: ls.tenebris.cc, или поискать на форумах, рекомендую.

Надеюсь, что благодаря этой статье вы узнали что то новое и полезное для себя. В нашем деле всегда нужно развиваться, экспериментировать и вовремя подстраиваться под обстоятельства, и тогда будет профит!

Всем добра, спасибо за внимание.