诈骗分子可以利用篡改的 Cookie、伪装的互联网协议 (IP) 地址或窃取的登录凭证来隐藏身份。浏览器指纹识别技术则通过检查网站访问期间共享的浏览器信号(例如版本、语言、屏幕设置和 WebGL 输出)来增加一层防范。
浏览器指纹信号有助于识别回访设备并标记可疑活动,而无需仅仅依赖 Cookie。对于反欺诈团队而言,在做出决策前,结合设备、网络和行为等相关信息,浏览器指纹信号将发挥更大的作用。
要点总结
- 浏览器指纹识别技术通过屏幕设置、语言、插件和 WebGL 输出等信号创建用户画像。
- 这些配置文件可以在 cookie、互联网协议 (IP) 地址或登录详细信息发生更改时识别回头客。
- 反欺诈团队利用这些数据来发现欺骗、账户盗用、多账户和不寻常的浏览器设置。
- 指纹信息只有在结合设备、网络和行为背景进行评估时才最有价值。
什么是浏览器指纹识别?
浏览器指纹识别技术通过分析浏览器在会话期间暴露的设置和信号组合来识别浏览器。这种分析方法与 Cookie 不同,因为即使用户清除网站存储的数据,它仍然可以保留。在反欺诈领域,其目的是识别风险模式,而不是个性化网络内容。
浏览器指纹识别示例
浏览器指纹识别技术在后台静默运行,收集浏览器数据并将其组合成一个称为哈希值的唯一标识符。这个哈希值可以由数十个甚至数百个数据点构成。
由于目标是创建独特的浏览器配置文件,因此任何单一属性本身都无法证明存在欺诈行为。然而,某些信号与可疑行为的关联性更强,例如那些旨在绕过欺诈预防系统的浏览器。
与较高风险相关的常见浏览器指纹信号包括:
已安装插件,特别是反指纹识别扩展程序,例如 AdBlocker Ultimate 或 Canvas Blocker。
浏览器版本过旧,这可能表明有人试图利用未修补的安全漏洞。
屏幕分辨率异常,可能表明存在设备模拟、多账户或虚拟机活动。
非常不寻常的配置,尤其是当多个可疑信号同时出现时。
有些用户可能只是有不常见的偏好或设置。但当异常的浏览器信号以反复或不一致的方式出现时,反欺诈团队可以提高风险评分并触发进一步审查。
浏览器指纹识别的工作原理是什么?
浏览器指纹识别通常通过一小段 JavaScript 代码来实现,该代码会在访客访问网站时运行。在连接过程中,它会收集正常浏览过程中已经存在的浏览器和环境信号,例如浏览器类型、操作系统、屏幕设置、语言、时区和已安装的插件。
这些数据点会被组合成一个唯一的哈希值或画像,并可与之前的会话进行比对。单个信号很少能证明存在欺诈行为,但重复出现、异常或不一致的组合则可能增加风险。
浏览器哈希
这种类型的哈希值使用浏览器数据点(例如用户代理、操作系统、屏幕和字体设置)来创建 ID。
优点:即使用户清除缓存和 cookie 或使用隐身模式,哈希值也不会改变。
缺点:同一台电脑上使用多个浏览器(例如 Edge、Chrome 和 Firefox)会生成不同的哈希值。即使浏览器更新也会导致生成新的哈希值。
Cookie 哈希
每次浏览器会话都会创建一个新的ID。
优点:如果多个用户共享同一个 cookie 哈希值,则很容易证明他们是同一个人。
缺点:清除浏览器 cookie 和缓存会生成新的缓存。
设备哈希
ID 是根据硬件数据创建的,例如设备类型、HTML5 画布、是否支持触摸等。
优点:基于设备相关数据点总和生成的唯一ID。反欺诈工具(例如AntiDetect或FraudFox)会生成相同的哈希值,这可以证明使用了虚拟机、模拟器或远程桌面连接。用于伪造设备的插件也会生成唯一ID,这会增加怀疑。
缺点:唯一 ID 的数量要少得多,因为任何使用相同手机或笔记本电脑和浏览器版本的人都会生成相同的哈希值。
如您所见,为了更全面地了解用户身份, 最好将三个哈希值结合起来使用。传统的欺诈检测方法仅关注 cookie 哈希值或用户代理,但如今的欺诈者手段高明,这种方法难以奏效。
什么是跨浏览器指纹识别?
虽然标准的浏览器指纹识别取决于用户使用的浏览器,但一种称为跨浏览器指纹识别的方法使研究人员能够仅根据硬件来识别用户身份。
这一进展可能会对注重隐私的用户和反欺诈公司产生深远影响。但需要注意的是,研究人员在跨浏览器指纹识别领域提出的一些方法和创新已被整合到指纹识别解决方案中。
欺诈团队如何利用浏览器指纹
即使诈骗分子更换电子邮件地址、清除 cookie 或轮换 IP 地址,浏览器指纹也能帮助识别再次作案者。当一个熟悉的账户突然出现在陌生的浏览器设置下时,同样的信号集还可以用于账户盗用检测。
对于滥用奖金、机器人和多账户等情况,跨多个账户的重复配置可以揭示仅凭身份数据无法发现的关联。
识别用户
每个用户的软硬件配置都是独一无二的。在防欺诈方面,这种配置就像一个数字身份标识,有助于验证回头客的身份。
一旦识别出用户,您就可以跟踪他们在您网站上的活动。了解他们是否是回头客也很有帮助。
提供定制内容
拥有一个事实上的用户ID的关键优势之一在于,您可以为用户提供特定内容。这可以是地理位置相关的网页,也可以是将他们重定向到合适的资源。
同样的道理也适用于精准营销。一旦你确定对方是忠实客户,就可以向他们发送专属优惠,例如奖励、积分或特别折扣。
阻止账户盗用(ATO)企图
ATO攻击是指有人登录了不属于自己的账户。但如果你设法创建了原账户持有人的身份标识,就更容易发现可疑的登录行为。
例如,来自以前从未见过的设备的新登录以及 IP 地理位置信息可能会增加您的怀疑。
值得注意的是,有效的反欺诈工具并不会阻止所有新设备的登录,因为有时可能只是有人从新的移动设备或电脑登录。关键在于,您应该根据数据点的组合及其含义,了解何时需要额外的身份验证。
发现用户之间的联系
当多个用户的配置相似时,您可以有根据地猜测,您正在与同一个人进行多账户攻击。
在防范欺诈方面,这将有助于防止诸如滥用奖金之类的问题。iGaming 公司和在线赌场更有动力阻止玩家群体之间的串通作弊(或一人冒充多名玩家)。
标记可疑连接
浏览器指纹识别的另一个重要用途是检测可疑设置。这些设置可能包括模拟器、欺骗工具,或通过 VPN、代理和 Tor 网络路由的流量。
模拟器和欺骗工具:旨在掩盖真实数据并复制来自其他设置的配置的软件。
VPN、代理和 Tor 的使用:旨在隐藏真实 IP 地址并将用户流量路由到另一个网络的软件。
并非所有异常设置都意味着欺诈,但它们值得密切关注。持续监控有助于您识别高风险用户,同时又不影响合法用户。
局限性和隐私考虑
浏览器指纹会随着用户更新浏览器、更换设备或安装隐私工具而随时间变化。这意味着浏览器指纹应该作为风险决策的辅助依据,而不是单独作为封禁用户的理由。企业还应咨询法律顾问,审查信息披露、用户同意和数据使用方面的要求,因为不同司法管辖区和使用场景的相关规定各不相同。
8 种用于防范欺诈的浏览器指纹识别技术
浏览器指纹识别是一个过程,这意味着几种不同的工具可以提供类似的结果。让我们来看看一些标准功能以及它们的工作原理。
哈希
所有通过在线指纹识别返回的数据都会经过哈希函数处理。哈希函数是一长串字母和数字,可以将任意长度的数据处理成固定长度的值。这使得信息的记录、加密、分析和比较更加便捷。
画布指纹
用 HTML5 编写的网站包含一个名为 canvas 的代码元素。该元素用于在网页上绘制图形。它还会生成诸如字体大小或当前背景颜色设置等数据,这些数据在创建用于跟踪的唯一用户 ID 时会发挥作用。它是浏览器指纹识别中最强大的功能。
HTML5 Canvas 指纹识别技术可以检测: 已安装的客户端字体、浏览器字体大小、活动背景颜色、显卡、操作系统等等......
HTML5 指纹识别技术是一种防欺诈技术,其原理是同一画布图像在不同的计算机上可能会呈现不同的效果。
WebGL指纹识别
与 canvas 元素类似,WebGL 是一种 JavaScript API,用于渲染屏幕上的图像和图形。图像以固定大小渲染,并且由于不同的 GPU 使用不同的算法来显示图像,因此您可以估算用户安装的显卡类型。
WebGL 指纹识别器可以检测: 显卡型号、屏幕分辨率......
用户代理检测
用户代理(UA)是软件的一部分,用于识别网站所使用的浏览器。它是一个字符串,网站检测到该字符串后,可以为特定浏览器显示定制内容。
用户代理检测存在一些局限性,这些局限性都与该数据点在实际应用中的方式有关。首先,Web 开发人员通常依赖用户代理切换工具来预览网站在各种设备上的显示效果。
诈骗分子也使用类似的工具来伪造浏览器。为了提高兼容性,Android 默认浏览器使用与 Safari 相同的用户代理。此外,谷歌也在 Chrome 浏览器中逐步弃用用户代理。
不过,用户代理检测仍然是浏览器指纹识别的一个组成部分,与其他因素结合使用时仍然很有用。
用户代理检测结果显示: 浏览器名称、版本或版本号
音频指纹识别
从移动浏览器和设备音频堆栈生成声音的过程比想象中要复杂得多。在音频指纹识别中,网站使用 AudioContext API 通过浏览器向设备发送低频声音,并测量设备如何处理该数据。这有助于了解设备如何处理音频------但不会录制、收集或播放任何音频,因此无需访问麦克风和扬声器。然而,这项技术可以利用多个参数和值来识别音频指纹。
音频指纹识别功能可检测: AudioBuffer 值、DynamicsCompressor 值......
设备指纹识别
专门为智能手机操作系统开发移动应用程序的公司可以使用特定的 SDK(软件开发工具包)来获取有关设备的更多信息,无论这些设备是由苹果、三星还是其他供应商制造的。
此类移动 设备指纹识别 产品可检测: MAC 地址、序列号(仅限安卓系统)、设备时区、电池健康状况、CPU 详细信息......
Tor 检测
默认情况下,Tor 会为每个用户创建完全相同的指纹。这确保了公司无法获取 Tor 用户的指纹信息,最终使诈骗分子能够躲过基本的反欺诈措施,从而保持匿名。
然而,Tor 检测的工作原理是运行测试,查看用户的 IP 地址是否与已知的 Tor 出口节点匹配,从而判断用户是否正在运行 Tor。虽然 Tor 用户可能并无恶意,但由于统计上欺诈活动的可能性更高,因此默认情况下应将 Tor 用户标记为高风险用户。
Selenium 检测
Selenium 是一款开源的浏览器自动化工具,最初旨在帮助进行 Web 应用程序测试。Selenium 设置非常简单,允许用户以分布式方式运行脚本操作。
虽然它对开发者来说是一个有用的工具,但同时也是恶意行为者(例如票贩子)用来抓取网站数据的首选工具。不幸的是,这些人有动机隐藏他们的行为,因此你需要主动出击来抓捕他们。
虽然 Selenium 本身难以检测,但您可以使用 JavaScript 来检查是否存在 WebDriver(其背后的技术)的痕迹。事实上,我们即将推出的规则更新会自动将自动化浏览器标记为风险浏览器,从而允许您阻止机器人流量和服务滥用。
