🛡️ Shopify антифрод 🔬. Техническое руководство специалиста по анализу антифрод-систем · [2026] ru
Shopify анализирует каждый заказ по набору сигналов и присваивает уровень риска: 🟢 Low → 🟡 Medium → 🔴 High. Система работает на 5 слоях:
🔧 **Слой 1 — Технический:** AVS, CVV, BIN-проверка, IP-анализ (геолокация, proxy/VPN/TOR, blacklist)
🤖 **Слой 2 — ML (Machine Learning):** сравнение паттернов заказа с историческими мошенническими транзакциями по всем магазинам Shopify
🧠 **Слой 3 — Поведенческий:** скоринг данных браузера, глубина кликов, навигация, анализ переходов
🌐 **Слой 4 — Экосистемный:** верификация через Shop Pay, данные из сети магазинов, Shopify Protect
👁️ **Слой 5 — Ручной:** департамент верификации видит в реальном времени, кто сёрфит, что смотрит и какие действия выполняет
⚠️ Shopify Payments включает два фильтра: **AVS** (сверка адреса с банком) и **CVV** (проверка кода карты). Эмитенты запрещают хранение CVV — его запрос подтверждает физическое владение картой.
## 📊 2. Система скоринга: за что дают баллы
Каждый заказ проходит скоринговую модель, суммирующую очки риска. Итоговая оценка → 🟢 Low / 🟡 Medium / 🔴 High.
### 🔴 Факторы, ПОВЫШАЮЩИЕ риск-скор
— 🧬 Паттерн совпадает с фродом (ML-модель) → самый сильный сигнал
— 📍 AVS mismatch → адрес не совпадает с банковским
— 📮 ZIP mismatch → почтовый индекс не совпадает
— 🌀 IP = VPN / Proxy / TOR / Blacklisted
— 🔄 2+ карты или 5+ попыток оплаты
— 🌍 Billing и Shipping в разных странах
— 📏 Расстояние IP ↔ Shipping > 80 км
— 💰 Первый заказ сразу на крупную сумму
— 📧 Одноразовый / случайный email
— 🚀 Express-доставка у нового покупателя
— 📵 Нет телефона или номер не отвечает
— 🖥️ Hosting / Datacenter IP (не residential)
— ⏱️ > 3 заказов с одного IP в час
### 🟢 Факторы, ПОНИЖАЮЩИЕ риск-скор
— ✅ AVS полное совпадение (Street + ZIP)
— ✅ CVV корректен с первой попытки
— 🏠 Residential IP от домашнего ISP
— 🌐 Billing country = IP country
— ☝️ 1 попытка оплаты, 1 карта
— 🔁 Повторный покупатель с чистой историей
— 🖱️ Естественное поведение на сайте (2+ сессии, живые движения мыши)
## 🎨 3. Цветовая шкала индикаторов
В карточке заказа каждый параметр маркируется цветом:
🟢 **Зелёный** — рисков нет. Снижает фрод-очки. Атрибут совпадает с «законными» заказами.
Примеры: CVV корректен, AVS match, residential IP.
🔴 **Красный** — Extreme Risky. Значительно повышает фрод-очки. Атрибут совпадает с мошенническими паттернами.
Примеры: AVS mismatch, proxy IP, множественные попытки.
⚪ **Серый** — нейтральный. Не влияет на скоринг. Дополнительная информация для ручного анализа.
Примеры: город IP-адреса, номер IP.
## 🔍 4. Разбор реальных кейсов
### 🟡 Кейс: Заказ со средним риском
Все технические проверки зелёные (✅): CVV correct, AVS match, ZIP match, 1 попытка, 1 карта, shipping 8 миль от IP, страна совпадает, не proxy.
Но два серых индикатора: 📍 IP из Lake Ozark, Missouri + 🧬 «Some characteristics are similar to fraudulent orders observed in the past». Именно ML-слой повысил скор до Medium.
💡 **Вывод:** даже при идеальных технических данных ML может повысить риск.
### 🔴 Кейс: Заказ #1018 — High risk
Красный баннер ⛔ «High risk of fraud detected». Блокировка заказа.
— 📧 abihawthorn@outlook.com — бесплатный email
— 🆕 1 order — первый заказ без истории
— 📦 Economy shipping 8-12 дней
🤔 **Парадокс:** все техпроверки (AVS, CVV, IP, 1 карта, 1 попытка) зелёные. IP в 10 милях от shipping. Но комбинация метаданных (🆕 первый заказ + 📧 Outlook + 📵 нет телефона + 💰 крупная сумма) перевесила положительные сигналы.
## 👻 5. Как оставаться незаметным для антифрода
🎯 Ключевые пороговые значения:
🌐 **IP-адрес** → только residential ISP, тот же штат/город. VPN/Proxy/TOR/Datacenter = ⛔
📏 **Расстояние IP ↔ Shipping** → < 50 миль ✅ | > 80 км = 🟡 | Разные страны = 🔴
📍 **AVS** → полное совпадение Street + ZIP обязательно ✅
💳 **CVV** → верный с первой попытки ✅
🔄 **Попытки оплаты** → 1 попытка, 1 карта ✅ | 2+ карты = ⛔
🏠 **Billing = Shipping** → один адрес или ≤ 50 миль ✅
📧 **Email** → реальный, «обжитой» аккаунт 1+ год ✅ | Tempmail / рандом = ⛔
📱 **Телефон** → рабочий US номер, привязан к имени ✅ | Нет / VOIP = ⛔
🖱️ **Поведение** → 2+ сессии за несколько дней, просмотр товаров ✅ | 1 сессия + мгновенный checkout = ⛔
⏱️ **Скорость** → < 3 заказов с IP / час ✅
💰 **Сумма** → средняя для магазина ✅ | Крупная при 1-м заказе = ⛔
📦 **Доставка** → Standard / Economy ✅ | Express у нового = ⛔
💻 **Device** → стабильный браузер ✅ | Смена / VM = ⛔
— 🗺️ **Maxmind GeoIP** — точное расстояние между IP и адресами
— 🔌 **SOCKS-проверка** — серверный (datacenter) или резидентный прокси
— 🖥️ **Browser fingerprinting** — Canvas, WebGL, шрифты, плагины
— 🔗 **Анализ переходов** — откуда пришёл, глубина просмотра, кол-во кликов
— 📞 **411.com / TruePeopleSearch** — привязка номера к billing адресу
— 🗺️ **Google Maps** — ручная проверка расстояния billing ↔ shipping
— 🔐 **HaveIBeenPwned** — наличие email в утёкших базах (парадоксально подтверждает «реальность»)
## 🧠 6. Поведенческий анализ: скрытый слой
— 🔗 **Источник перехода** — органика, реклама, прямой URL. Direct у первого посетителя = ⛔
— 📖 **Глубина просмотра** — 1 страница → покупка = 🚩
— 🖱️ **Количество кликов** — минимальное взаимодействие перед checkout повышает скор
— ⏱️ **Время на сайте** — < 30 сек до покупки = 🚩
— 🖱️ **Движения мыши** — механические vs. естественные с паузами
— 📊 **Количество сессий** — идеально 2+ на протяжении нескольких дней
— 📋 **Conversion details** — Shopify показывает: «1st session was direct, 1 session over 1 day» — маркер для 🟡
✅ Паттерн «нормального» покупателя: несколько сессий за 2-3 дня → просмотр товаров → корзина → возврат → покупка. Переход из Google/Instagram. Живые движения мыши.
— 📍 **Геолокация** — город/штат/страна, сравнение с billing и shipping (Maxmind, ipinfo.io)
— 🔌 **Тип подключения** — Residential / Mobile / Datacenter / Hosting (ipqualityscore.com)
— 🌀 **Proxy/VPN/TOR** — встроенная детекция Shopify
— ⛔ **Blacklist** — известные мошеннические IP (abuseipdb.com)
— 🔓 **Порты** — открытые порты = серверный IP
— 🏢 **ISP / ASN** — домашний провайдер vs хостинг (ipinfo.io, bgpview.io)
📌 IP всегда виден в анализе: «This order was placed from IP address X.X.X.X». Магазин проверяет через whatismyip.com, ip2location.com, infosniper.net.
## 🆔 8. Телефон, Email, Идентичность
— 📞 Магазин может позвонить и задать вопросы о заказе
— 🔍 Номер проверяют через 411.com, TruePeopleSearch.com
— ✅ Проверяют привязку к имени и billing адресу
— ⚠️ VOIP номера (Google Voice, Skype) = фактор риска
— 🕐 Проверка «возраста» аккаунта через Google
— 🔐 haveibeenpwned.com — наличие в утечках парадоксально подтверждает реальность
— 🚩 Случайные символы (xk47jf92@gmail.com) = красный флаг
— ⛔ Одноразовые сервисы (tempmail) = блокировка
🔗 **Кросс-верификация:** все данные должны быть когерентны — 👤 имя на карте = имя в shipping, 📱 телефон привязан к тому же человеку, 📧 email не анонимный, 🌐 IP из того же города.
💵 Комиссия за чарджбек в США: $15 (возвращается при win).
— 🔄 **Дублирующий / технический** → ~90% win ✅ → доказательство возврата/ошибки
— 💳 **Кредит не обработан** → ~80% win ✅ → политика возврата, документы
— 📦 **Товар не получен** → ~70% win ✅ → трекинг, Proof of Delivery
— 📝 **Не соответствует описанию** → ~60% win 🟡 → описание товара, фото отправки
— 😤 **Спор по качеству** → ~50% win 🟡 → переписка, политики магазина
— 🎭 **Friendly fraud** → ~40% win 🔴 → подпись получателя, IP-данные
— 💀 **Чистое мошенничество** → ~20% win 🔴 → очень сложно без AVS/receipt
📋 Процесс: покупатель → банк → кредитная компания → запрос evidence → рассмотрение 65-75 дней → решение. Файлы PDF/A, без аудио/видео.
## 🔐 10. Стратегия биллинг-дескриптора (2FA)
⚙️ **Настройка:** Settings → Payments → Shopify Payments → Manage → Customer Statement Descriptor → вводим: `SP * StoreName 8426`. 🔄 Менять код каждые 2-3 месяца.
🔑 **Как работает:** при 🟡/🔴 риске заказ на hold. Покупателя просят назвать 4-значный код из банковского приложения. ✅ Владелец карты видит код, ❌ мошенник без доступа к счёту — нет.
📌 **Когда применяется:** Medium/High risk, множественные попытки, billing ≠ shipping, high-value заказы, разные имена cardholder/shipping.
📋 Программа защиты от чарджбеков для заказов через Shop Pay. Shopify возмещает 💰 полную сумму + доставку.
📌 **Условия:** оплата через Shop Pay, выполнен за 7 дней, передан перевозчику за 10 дней, причина — мошенничество или «не узнаю транзакцию».
— 🟡 **Shopify Protect** = потенциально защищён (ожидание)
— 🟢 **Protected by Shopify Protect** = полностью под защитой
— 🔴 **Not protected** = условия нарушены
⚠️ Риск может меняться 24–72 часа. Ждите финального ✅ «Protected» перед отправкой.
— 🏷️ Пометка заказов с billing/shipping mismatch
— 🏷️ Тегирование при множественных неудачных попытках оплаты
— 🔔 Push-уведомление при High Risk
— 📊 Ежедневный (10:00 AM) сбор данных по чарджбекам + тегирование клиентов
— 🔁 Выявление паттернов повторных мошенников
💡 Принцип: чем раньше заказ на hold — тем больше времени для проверки.
## 📈 13. Дашборд: анализ реального магазина
📊 Данные за 30 дней (март–апрель 2025): 1,548 сессий (+54%), $3,480 выручки (+515%), 17 заказов (+467%), конверсия 0.78%.
— 📈 467% рост заказов при 54% росте сессий = непропорциональный spike
— 📉 Низкая конверсия 0.78% при всплесках заказов = маркер тестирования
— ⏱️ Резкие пики в середине марта → спад = паттерн кардинговых атак
## 🧩 14. Внешние антифрод-сервисы
🔌 Магазины могут устанавливать дополнительные приложения:
— 🛡️ **NoFraud** — дополнительный ML-слой поверх Shopify
— 🔍 **SEON** — digital footprint, проверка email по соцсетям
— 🚫 **Fraud Filter** — правила на BIN, IP, геолокации, blacklists
— 💼 **Signifyd** — гарантия + страхование от чарджбеков
— 🤖 **Kount** — AI-скоринг + device fingerprinting
🔒 Наличие доп. фильтров нельзя определить извне.
## 🌱 15. Фарм Shopify-аккаунта
Антифрод-система Shopify анализирует не только заказ, но и **историю аккаунта покупателя** в экосистеме. «Новый» аккаунт без следов органической активности — сам по себе сигнал для скоринга.
🧬 ML-модель Shopify учитывает данные по **всем магазинам в сети**. Если аккаунт существует давно, имеет историю покупок, подтверждённый email и телефон — его trust score значительно выше. Свежий аккаунт с нулевой историей + крупный заказ = 🔴.
— 🕐 Аккаунт возрастом 6+ месяцев (идеально 1+ год)
— 👤 Имя и фамилия в профиле совпадают с billing данными
— 📬 Активная почта — подписки на рассылки, следы в Google (не пустой ящик)
— 🔐 Email должен быть в базах HaveIBeenPwned — парадоксально подтверждает «жизнь» аккаунта
— ⛔ Избегать: tempmail, protonmail (ассоциация с анонимностью), случайные символы
— 📞 Реальный US-номер (не VOIP), привязанный к имени через оператора
— 🔍 Номер должен проходить проверку через 411.com / TruePeopleSearch
— 🏠 Привязан к тому же штату/городу, что billing адрес
— ⛔ Избегать: Google Voice, TextNow, Skype-номера
— 🏠 Billing адрес = реальный, совпадает с данными карты в банке
— 📮 ZIP-код точный (AVS full match)
— 👤 Имя cardholder = имя аккаунта = имя в shipping
— 🏠 Residential IP из того же штата, что billing + shipping
— 📍 Расстояние IP ↔ billing ↔ shipping < 50 миль
— ⛔ Один IP-адрес = один аккаунт. Не миксовать
1️⃣ **Создание основы (День 1)**
— 📧 Регистрация email (или использование выдержанного)
— 👤 Заполнение профиля (имя, адрес, фото)
— 🔔 Подписка на рассылки нескольких Shopify-магазинов
— 🛒 Создание аккаунтов в 3-5 Shopify-магазинах
— 🔍 Просмотр товаров, добавление в wishlists
— 🖱️ Естественное поведение — несколько сессий, разное время суток
— 📱 Установка Shop App (если доступно) — повышает trust в экосистеме
3️⃣ **Первый тестовый заказ (День 8-14)**
— 💰 Небольшая сумма ($15-30) в другом магазине
— ✅ Дать заказу пройти полный цикл (оплата → доставка → получение)
— ⭐ Оставить отзыв — создаёт положительный след
4️⃣ **Набор истории (Дни 14-30)**
— 🔄 2-3 дополнительных мелких заказа в разных магазинах
— 📊 Постепенное увеличение сумм
— 🏠 Все заказы на один адрес, с одного IP
— ✅ Каждый заказ = чистый цикл без чарджбеков
5️⃣ **Целевая покупка (День 30+)**
— 🎯 Аккаунт имеет историю, trust score прокачан
— 💡 Сумма заказа в пределах нормы для покупателя с историей
### ⚠️ Распространённые ошибки
— ❌ Пустой аккаунт + сразу крупный заказ = 🔴 instant flag
— ❌ Один email на несколько заказов в разных магазинах одновременно
— ❌ Разные имена в email / billing / shipping
— ❌ Смена IP между сессиями фарма
— ❌ Все заказы в один день — не выглядит органично
## 🎮 16. Фарм сессии для успешной покупки
Shopify отслеживает **поведение внутри магазина** перед покупкой. Conversion details в карточке заказа показывают: количество сессий, дней, источник перехода. Прямой визит → мгновенная покупка = подозрительно.
### 🧠 Что видит антифрод в сессии
— 🔗 **Источник трафика** — Google, Instagram, direct, реферальная ссылка
— 📊 **Количество сессий** — идеально 2-5 за 2-3 дня
— ⏱️ **Время каждой сессии** — 3-10 минут = норма
— 📖 **Просмотренные страницы** — 5-15 страниц за визит
— 🖱️ **Глубина взаимодействия** — клики, скролл, hover, зум фото
— 🛒 **Корзина** — добавление/удаление товаров в разные визиты
— 📱 **Device consistency** — один и тот же браузер/устройство
⚠️ В Conversion summary антифрод видит: «This is their 1st order», «1st session was direct to your store», «1 session over 1 day» — всё это маркеры 🟡 Medium risk (видно на Рис. 1).
### 🗓️ Идеальный сценарий фарма сессии
**📅 День 1 — Первое знакомство (сессия 1)**
— 🔗 Переход через Google (поиск по ключевому слову товара или бренда)
— 📖 Просмотр главной → каталог → 2-3 товара
— 🖱️ Скролл описаний, зум фото, чтение отзывов
— 🚪 Уход без покупки — нормальное поведение нового покупателя
— **Не трогать корзину** в первый визит
**📅 День 1-2 — Возврат (сессия 2)**
— 🔗 Переход через закладку или прямой URL (повторный визит)
— 📖 Просмотр других товаров + возврат к понравившимся
— 🛒 Добавить 1-2 товара в корзину
— 🚪 Уход без покупки — «думает над покупкой»
**📅 День 2-3 — Подготовка (сессия 3)**
— 🔗 Переход через Google / прямой
— 📖 Просмотр страниц: Shipping Policy, Return Policy, About Us, FAQ
— 🛒 Проверка корзины — удалить один товар, оставить целевой
— 📝 Просмотр размерной сетки, цветов, вариантов
— 🚪 Можно уйти или перейти к покупке
**📅 День 3-4 — Покупка (сессия 4)**
— 🔗 Прямой переход или из закладок
— 🛒 Открытие корзины → Checkout
— ✍️ Заполнение форм без копи-паста (или медленный paste с паузами)
— 📦 Выбор Standard / Economy shipping
— 💳 Оплата → одна попытка, одна карта
— 🖱️ **Переходы между страницами:** 15-45 секунд (не мгновенные переключения)
— 📖 **Время на странице товара:** 1-3 минуты (скролл, зум, чтение)
— 🛒 **Время на checkout:** 2-4 минуты (заполнение форм, выбор доставки)
— 🖱️ **Движения мыши:** нелинейные, с паузами, «человеческий» паттерн
— ⌨️ **Набор текста:** разная скорость, паузы между полями
— ⛔ **Direct → checkout за < 2 минуты** — машинное поведение
— ⛔ **Копи-паст всех полей** мгновенно — автозаполнение без пауз
— ⛔ **1 сессия за 1 день** — нет «раздумий» перед первой покупкой
— ⛔ **Прямолинейные движения мыши** — роботоподобный паттерн
— ⛔ **Переход сразу на страницу товара** без просмотра каталога
— ⛔ **Нет скролла / взаимодействия** с контентом страницы
— ⛔ **Мгновенная смена страниц** (< 2 сек между кликами)
— ⛔ **Разное устройство** в разных сессиях (fingerprint mismatch)
### ✅ Финальный чек-лист перед покупкой
— ✅ Первый переход из Google (не direct) ✔️
— ✅ Корзина использовалась в предыдущей сессии ✔️
— ✅ Residential IP = billing = shipping город ✔️
— ✅ Email обжитой, телефон настоящий ✔️
— ✅ 1 попытка оплаты, 1 карта ✔️
— ✅ AVS / CVV полное совпадение ✔️
— ✅ Device fingerprint стабильный ✔️
## 📊 Shopify в цифрах: рынок США, Stripe и VCC
Shopify — доминирующая e-commerce платформа в Соединённых Штатах:
— 📈 **~29-30%** рынка e-commerce платформ в США (2025-2026)
— 🏪 **~4.8 млн** активных магазинов на Shopify по всему миру
— 💰 **~14%** от всех онлайн-продаж в США (второе место после Amazon)
— 🇺🇸 Более **60%** магазинов Shopify физически расположены в США
— 🔝 Крупнейшие конкуренты: WooCommerce (~23%), Wix (~11%), Squarespace (~7%)
💡 **Что это значит:** почти каждый третий интернет-магазин в США работает на Shopify. Понимание антифрод-системы Shopify покрывает значительную часть всех онлайн-транзакций в стране.
### 💳 Shopify Payments = Stripe
⚡ **Shopify Payments построен на технологии Stripe.** Это не просто интеграция — Stripe является процессинговым ядром Shopify Payments.
— 🔄 Все транзакции через Shopify Payments проходят через инфраструктуру Stripe
— 🤖 **Stripe Radar** — дополнительный ML-слой антифрода поверх Shopify, работает параллельно
— 📊 Stripe использует данные миллионов транзакций со всех своих клиентов (не только Shopify) для скоринга
— 🛡️ Двойной антифрод: Shopify проверяет заказ + Stripe проверяет платёж = два независимых слоя анализа
— 💳 BIN карты и историю карты в сети Stripe
— ⏱️ Velocity checks (частота транзакций)
— 🧬 ML-паттерны на основе миллиардов транзакций
⚠️ Даже если заказ проходит антифрод Shopify, **Stripe Radar может отклонить платёж отдельно.**
### 🏦 Shopify Payments для US-аккаунтов
Если магазин зарегистрирован в США и использует Shopify Payments:
— ✅ Поддержка всех основных карт: Visa, Mastercard, Amex, Discover, Diners, JCB
— ✅ Apple Pay, Google Pay, Shop Pay
— 💵 Комиссия: 2.4-2.9% + $0.30 (зависит от плана)
— ⏱️ Выплаты на банковский счёт: 2-3 рабочих дня
— 🔒 PCI DSS Level 1 compliance (высший уровень безопасности)
### 💳 VCC — Virtual Credit Cards
🔑 Ключевой момент для специалиста:
— 🏦 **Shopify Credit** — Shopify выпускает собственные VCC для одобренных US-мерчантов через Shopify Balance
— 💳 VCC от банков-эмитентов (Citi, Capital One, Chase) — генерируют уникальные номера карт для каждой транзакции
— 🛡️ VCC повышают безопасность: уникальный номер → сложнее отследить → меньше risk score в определённых сценариях
— ⚠️ Но некоторые антифрод-системы **распознают BIN VCC** и могут отмечать их как фактор риска
— 🔍 BIN-диапазоны виртуальных карт отличаются от физических — это видно в BIN-проверке
📌 **Что знать про VCC и антифрод:**
— 🟢 VCC от крупных банков (Visa/MC) проходят AVS и CVV проверки нормально
— 🟡 Prepaid / gift card BIN'ы = повышенный скоринг в Stripe Radar
— 🔴 Некоторые мерчанты блокируют prepaid / virtual BIN'ы через Fraud Filter
— 📊 Stripe видит, является ли карта virtual/prepaid/physical по BIN — это влияет на risk assessment
1. 🏗️ **Многоуровневость** — техпроверки + ML + поведение + ручная верификация. Ни один слой не достаточен сам по себе.
2. 🎯 **Контекстная оценка** — одни и те же сигналы интерпретируются по-разному в зависимости от комбинации.
3. ⏱️ **Временная динамика** — риск может меняться 24–72 часа по мере поступления данных.
4. 🤖 **Ограниченность автоматики** — ML фиксирует паттерны, но не причины → ложные срабатывания.
5. 🌐 **Экосистемная зависимость** — эффективность зависит от платёжного метода и тарифного плана.
6. 👻 **Скрытый слой** — поведенческий анализ и browser fingerprinting нельзя контролировать только техническими средствами.
7. 🔗 **Когерентность** — все данные должны быть логически связаны и непротиворечивы.
📚 Источники: Shopify Documentation, Reddit r/talkshopify, teletype.in/@glouin · 2026