Решение продактовской задачи с хакерским опытом
Задание взято из 3-го конкурсов продактов (осень 2021) Карьерного цеха. На платформе нет ограничений на публикацию своего мнения и райтапов на сторонних платформах. Так что рассказываю про свой взгляд со стороны на первую задачу, которая про фрод.
Звучит так:
Я прочитала большинство решений от продактов и выделила несколько типов: анализ профилей, использование средств аналитики профилей и работа кнутом и пряником с донором. У меня есть другая идея.
Ранее я занималась пентестеми (белым хакерством) и знаю как средства защиты (далее СЗИ) ищут злоумышленников в инфраструктуре. Да, есть такой подход как поиск аномалий. Например, если пользователь начинает вводить password1, password2, password3 в качестве пароля или заходит в профиль используя нетипичный для него user agent, то можно предположить, что это злоумышленник. Хакеры учатся адаптироваться и не демонстрировать аномальное поведение, чтобы не выглядеть как обезьяна с гранатой для СЗИ. Например вводить 1 пароль в час или использовать user agent который смогли получить от пользователя. Ровно как хакеры могут адаптироваться под СЗИ, ботоводы могут адаптировать аккаунты под алгоритмы, назначать читаемые имена, добавлять фотографии и так далее (если профитность будет перекрывать затраты).
СЗИ шагнули вперед, и помимо поиска аномалий еще ловят взломщиков на honeypot. Honeypot — ловушка, которая выглядит как обычный хост, но имеет характеристики, которые могут заинтересовать злоумышленника. Это может быть компьютер с не самой новой версией винды в админской подсети.
Теперь к делу: такие же ловушки можно использовать для определения ботоводов. После регистрации, донору предлагаются в первую очередь пул из совершенно разномастных постов для рекламы. Таким образом можно отслеживать не только качество пришедших подписчиков, такие параметры как наличие аватарки, количество постов и так далее, но и взаимодействие донора с платформой. Далее, анализируются пересечения по подписавшейся аудитории от донора. Предположу, что ЦА детских досуговых центров и ночных клубов не будет сильно пересекаться. Так что при большом пересечении пользователей подписывающихся на различные аккаунты от одного донора можно делать вывод о мошенничестве. Далее предлагать рекламные посты-ловушки подозрительным аккаунтам можно на регулярной основе.
Самокритика: я не видела реализацию подобной фичи в других сервисах (или она хорошо скрыта). Возможно, потому что этот способ слишком сложный для реализации и есть пути проще. Или отработанные механики типа — пройдите капчу, анализ аккаунтов по метрикам являются best practice и нет причин изобретать велосипед. Но в любом случае хотела предложить способ работы с фродом из другой области.