{"id":13506,"url":"\/distributions\/13506\/click?bit=1&hash=27fcb5113e18b33c3be66ae079d9d20078d1c30f1b468cdc86ecaeefa18446c2","title":"\u0415\u0441\u0442\u044c \u043b\u0438 \u0442\u0432\u043e\u0440\u0447\u0435\u0441\u0442\u0432\u043e \u0432 \u043f\u0440\u043e\u0433\u0440\u0430\u043c\u043c\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0438? \u0410 \u0435\u0441\u043b\u0438 \u043d\u0430\u0439\u0434\u0451\u043c?","buttonText":"\u0423\u0436\u0435 \u043d\u0430\u0448\u043b\u0438","imageUuid":"2c16a631-a285-56a4-9535-74c65fc29189","isPaidAndBannersEnabled":false}
Мнения
ACSE

Решение продактовской задачи с хакерским опытом

Задание взято из 3-го конкурсов продактов (осень 2021) Карьерного цеха. На платформе нет ограничений на публикацию своего мнения и райтапов на сторонних платформах. Так что рассказываю про свой взгляд со стороны на первую задачу, которая про фрод.

Звучит так:

Вы продакт сервиса крупной платформы для блогеров Perfluence.

Один из продуктов позволяет закупать рекламу своего Инстаграм аккаунта через других Инстаграм блогеров. Оплата по CPA модели. Пользователь платит только за тех подписчиков, которые перейдут от одного аккаунта в другой и не отпишутся в течение 7 дней.

Система анализирует подписчиков донора (блогер, у которого заказывают рекламу) и подписчиков акцептора (тот, кто заказывает рекламу). Если подписчик донора подписался на акцептора и не отвалился в течение 7 дней — он засчитывается донору и за него проводится оплата.

Одна из проблем платформы — фрод с помощью ботов. Недобросовестные владельцы каналов льют покупателям ботов вместо реальных подписчиков.

Я прочитала большинство решений от продактов и выделила несколько типов: анализ профилей, использование средств аналитики профилей и работа кнутом и пряником с донором. У меня есть другая идея.

Ранее я занималась пентестеми (белым хакерством) и знаю как средства защиты (далее СЗИ) ищут злоумышленников в инфраструктуре. Да, есть такой подход как поиск аномалий. Например, если пользователь начинает вводить password1, password2, password3 в качестве пароля или заходит в профиль используя нетипичный для него user agent, то можно предположить, что это злоумышленник. Хакеры учатся адаптироваться и не демонстрировать аномальное поведение, чтобы не выглядеть как обезьяна с гранатой для СЗИ. Например вводить 1 пароль в час или использовать user agent который смогли получить от пользователя. Ровно как хакеры могут адаптироваться под СЗИ, ботоводы могут адаптировать аккаунты под алгоритмы, назначать читаемые имена, добавлять фотографии и так далее (если профитность будет перекрывать затраты).

СЗИ шагнули вперед, и помимо поиска аномалий еще ловят взломщиков на honeypot. Honeypot — ловушка, которая выглядит как обычный хост, но имеет характеристики, которые могут заинтересовать злоумышленника. Это может быть компьютер с не самой новой версией винды в админской подсети.

Теперь к делу: такие же ловушки можно использовать для определения ботоводов. После регистрации, донору предлагаются в первую очередь пул из совершенно разномастных постов для рекламы. Таким образом можно отслеживать не только качество пришедших подписчиков, такие параметры как наличие аватарки, количество постов и так далее, но и взаимодействие донора с платформой. Далее, анализируются пересечения по подписавшейся аудитории от донора. Предположу, что ЦА детских досуговых центров и ночных клубов не будет сильно пересекаться. Так что при большом пересечении пользователей подписывающихся на различные аккаунты от одного донора можно делать вывод о мошенничестве. Далее предлагать рекламные посты-ловушки подозрительным аккаунтам можно на регулярной основе.

Самокритика: я не видела реализацию подобной фичи в других сервисах (или она хорошо скрыта). Возможно, потому что этот способ слишком сложный для реализации и есть пути проще. Или отработанные механики типа — пройдите капчу, анализ аккаунтов по метрикам являются best practice и нет причин изобретать велосипед. Но в любом случае хотела предложить способ работы с фродом из другой области.

0
Комментарии
Читать все 0 комментариев
null