Большинство людей думают, что антифрод — это чёрный список IP-адресов и пара проверок браузера. На самом деле это не так.

Дмитрий Момот (Vektor T13) — основатель Detect Expert, разработчик антидетект-систем и исследователь антифрода — провёл больше десяти лет, изучая эту область с обеих сторон: как системы защиты строятся и как они ломаются.

Антифрод не ловит вас по одному признаку. Он строит картину — и оценивает, насколько она правдоподобна.

— Дмитрий Момот, Vektor T13

Что такое антифрод на самом деле

Антифрод — это не фильтр. Это корреляционная система.

Она не ищет один «запрещённый» параметр. Она собирает десятки сигналов одновременно, сравнивает их с нормой для вашего типа поведения, сопоставляет с историей — и считает итоговую оценку доверия (Trust score / Fraud score).

При этом универсальной модели не существует. Банк оценивает транзакцию за миллисекунды и ставит на первое место сетевые сигналы. Рекламная платформа анализирует сессию целиком — ей важнее поведенческие паттерны. Маркетплейс комбинирует оба подхода.

Три вопроса, которые система задаёт каждый раз

01 — Кто вы с точки зрения инфраструктуры? Сеть, провайдер, тип соединения, маршрутизация, география.

02 — Какая среда вас представляет? Браузер, цифровой отпечаток, графика, плагины, API-следы.

03 — Насколько вы последовательны во времени? Стабильность сигналов между сессиями, история изменений, поведенческие паттерны.

Три столпа антифрод-анализа: инфраструктура, окружение, история

Четыре уровня, которые формируют «картину риска»

Уровень Что анализируется Почему важно
🌐 Сеть IP, ASN, VPN, геолокация Первый и самый быстрый фильтр
🖥 Браузер Canvas, WebGL, шрифты, локаль Отличает реальную среду от «маски»
⚙️ ОС Идентификаторы, язык, системное время Ловит несвязность между параметрами
🔩 Железо GPU, CPU, сенсоры, тайминги Самый «липкий» слой — его сложно подделать
Пирамида уровней антифрод-проверки: Hardware → OS → Browser → Network → Fraud Score

На выходе — два числа: Fraud score (риск прямо сейчас) и репутационный рейтинг (доверие в динамике).

Сетевой уровень: IP, ASN, VPN/Proxy detection и география

Сеть — это то, что антифрод видит ещё до того, как ваш браузер успел отрисовать страницу. Никаких скриптов, никаких сложных проверок — достаточно посмотреть, откуда пришёл запрос.

Что именно видит антифрод на сетевом уровне

IP-адрес и его репутация. Каждый IP имеет историю. Система проверяет: был ли он замечен в бот-сетях, спаме, кардинге. Как часто фигурирует в запросах от разных аккаунтов.

ASN и провайдер. ASN — это «паспорт» вашей сети. Он рассказывает антифроду, кто владеет диапазоном адресов.

Тип провайдера Как воспринимает антифрод
Домашний ISP Обычный пользователь. Ожидаемый сценарий. ✅ Низкий риск
Мобильная сеть Естественный трафик, часто динамический IP. ✅ Низкий риск
Корпоративный сегмент Допустимо, но может быть связано с VPN. ⚠️ Средний риск
Дата-центр Обычные пользователи не заходят с серверов. 🔴 Высокий риск

Типы сети: Residential / Mobile / Datacenter

  • Residential (домашний) — самый «естественный» тип. IP принадлежит реальному интернет-провайдеру
  • Mobile (мобильный) — динамичный, часто меняющийся. Системы учитывают, что мобильные IP могут использоваться множеством людей
  • Datacenter (серверный) — для обычного пользователя нетипично. Вход в маркетплейс с IP Amazon AWS — сразу вопросы

Геолокация и её правдоподобие

  • Регион и город — совпадает ли с прошлыми входами?
  • Часовой пояс — соответствует ли заявленной геолокации?
  • Язык интерфейса — логично ли, что человек из Берлина пользуется браузером на португальском?
  • Скорость «перемещения» — был в Москве, через 20 минут зашёл из Бразилии? Физически невозможно

VPN / Proxy detection

  • Базы известных VPN и прокси
  • Сигнатуры серверных сетей
  • Анализ RTT и маршрутизации — время отклика может не соответствовать заявленной локации
  • Поведенческие корреляции — множество разных «пользователей» с похожими характеристиками
Воронка фильтрации запросов: IP → ASN → геолокация → VPN-детект → решение
Что происходит Почему это подозрительно
50 аккаунтов из одного ASN Одна инфраструктура = одна ферма 🔴
Логины повторяют паттерны времени Автоматизация или единый оператор 🔴
География меняется быстрее перелёта Переключение прокси, а не реальное перемещение 🔴
IP из дата-центра при потребительском сценарии Нет причин заходить в магазин с сервера 🔴

Браузерный уровень: Canvas, WebGL, шрифты и «цифровая кожа» сессии

Если сетевой уровень отвечает на вопрос «откуда вы подключились», то браузерный уровень отвечает на другой: «какое устройство вас представляет».

Из чего складывается цифровой отпечаток

Canvas fingerprint — когда сайт просит браузер нарисовать скрытое изображение, результат зависит от GPU, драйверов и настроек ОС. Два устройства почти никогда не нарисуют одинаковую картинку.

WebGL fingerprint — отпечаток 3D-рендеринга. Часто «выдаёт» связку GPU + драйвер + ОС. Если вы заявляете macOS, но WebGL показывает Windows-драйвер — это конфликт.

Шрифты и метрики рендеринга — какие шрифты установлены, как они рисуются, ширина/высота/кернинг символов. Высокая энтропия.

AudioContext — уникальный отпечаток обработки аудиосигнала. Завязан на физику аудиочипа — подделать правдоподобно трудно.

User-Agent и Client Hints — платформа, архитектура, версия браузера. Главное — согласованность между ними.

Timezone / Locale / Language — пользователь «из Германии», но часовой пояс UTC+7, язык португальский, формат даты американский? Три красных флага.

Расширения и API-следы — следы Selenium, Puppeteer, Playwright. Попытка скрыть автоматизацию сама становится сигналом.

Что антифрод реально ищет: несогласованности

Что заявлено Что видит система Результат
macOS в User-Agent NVIDIA-драйвер от Windows в WebGL 🔴 Конфликт
Немецкая геолокация Язык браузера — вьетнамский 🔴 Конфликт
Chrome 120 Набор API соответствует Chrome 95 🔴 Конфликт
Мобильное устройство 1920×1080, нет тач-событий 🔴 Конфликт
Реальный пользователь vs маскировка — сравнение согласованности параметров

Реальные устройства несовершенны. И именно эта несовершенность делает их правдоподобными.

Уровень ОС: идентификаторы, языки и системная согласованность

Когда базовый риск уже повышен, антифрод начинает задавать вопрос: «Как ОС проявляется через окружение — и совпадает ли это с тем, что заявил браузер?»

Именно на этом уровне чаще всего возникают противоречия. Замаскировать браузер — относительно просто. Сделать так, чтобы вся операционная среда выглядела правдоподобно — гораздо сложнее.

Устойчивые системные маркеры

Что «протекает» Как это используется
Комбинация системных параметров через JS API Формирует устойчивый «слепок» среды
Поведение системных таймеров Отличает реальную ОС от виртуализации
Специфика обработки системных вызовов Идентифицирует тип и версию ОС
Характеристики файловой системы (косвенно) Указывает на виртуальную машину

Поведение среды исполнения

  • Какие API доступны, какие ограничены — реальная Windows 11 и эмулированная отвечают по-разному
  • Скорость операций — VM и реальное железо дают разные тайминги
  • Особенности JavaScript — различия в округлении чисел, обработке Unicode, поведении Intl API
  • Следы виртуализации — паттерны в производительности, работе памяти

Язык и региональные настройки

  • OS Locale — основной язык и регион системы
  • Раскладки клавиатуры — могут рассказать больше, чем заявленный язык
  • Формат чисел и валюты — точка или запятая, символ валюты
  • Формат даты — MM/DD/YYYY или DD.MM.YYYY
Айсберг: видимый browser fingerprint vs скрытый OS-level fingerprint

Антифрод не ищет ложь. Он ищет несвязность — когда разные части окружения рассказывают о разных людях.

— Дмитрий Момот, Vektor T13
Браузер заявляет ОС показывает Что видит антифрод
macOS 14, Safari Тайминги и API-поведение Windows 🔴 Эмуляция
Немецкая локаль Русские раскладки, кириллические кодировки 🔴 Ручная настройка
Высокопроизводительный CPU Микрозадержки виртуальной машины 🔴 Виртуализация
Матрица консистентности параметров: IP-Geo, OS Locale, Browser Lang, Timezone

Аппаратный уровень: GPU, CPU, сенсоры и тайминги

Три предыдущих уровня можно в разной степени настроить или подменить. Но под ними лежит физическое железо. И оно оставляет следы, которые крайне трудно контролировать.

GPU: графический процессор как отпечаток

Что анализируется Почему это важно
Vendor и Renderer Точная модель GPU и драйвер
Производительность рендеринга Каждая модель GPU даёт характерную «кривую»
Точность вычислений Микро-различия зависят от архитектуры чипа
Расширения WebGL Набор уникален для комбинации GPU + драйвер + ОС
Результат рендер-тестов Два GPU никогда не нарисуют идентичную картинку

Можно подменить строку «NVIDIA RTX 4090» на «Intel UHD 620». Но заставить мощный GPU вести себя как слабый — нельзя.

CPU: тайминги и микро-характеристики

  • Количество ядер — если заявлено 2, а параллельные операции выполняются со скоростью 16-ядерного — конфликт
  • Микро-бенчмарки — каждая архитектура CPU даёт свой «профиль производительности»
  • Тайминги системных вызовов — зависят от реального процессора
  • Точность performance.now() — VM демонстрируют характерные паттерны

Сенсоры: гироскоп, акселерометр, батарея

  • Гироскоп и акселерометр — реальный телефон в руке всегда слегка двигается. Эмулятор — нет
  • Battery API — устройство «мобильное», но батарея всегда 100%? Аномалия
  • Тач-события — реальные касания имеют характерную «физику»: давление, площадь контакта

Тайминги: микросекунды, которые не врут

  • Рендеринг-тайминги — скорость отрисовки зависит от реального GPU
  • Вычислительные тайминги — реальный iPhone 15 и эмулятор дают разные профили
  • Тайминговые аномалии виртуализации — периодические «всплески» задержки
Устройство в разрезе: GPU, CPU, аудиочип, сеть — аппаратные отпечатки

Можно сменить IP за секунду. Можно пересобрать браузерный профиль за минуту. Но заставить одно железо вести себя как другое — задача совсем другого порядка.

Fraud score и репутационный рейтинг: как система считает итог

Все четыре уровня сливаются в единую оценку. И она устроена сложнее, чем «подозрительно / нормально».

Fraud score: моментальный снимок риска

Фактор Вес Пример
Сетевые аномалии Высокий IP из дата-центра + VPN-сигнатура
Браузерные конфликты Высокий macOS в UA, но Windows-драйвер в WebGL
Согласованность ОС Средний Locale не совпадает с геолокацией
Аппаратные тайминги Средний Признаки виртуализации
Поведение Переменный Слишком быстрое заполнение формы

Пороги Fraud score:

  • 0–20: Низкий риск. Без дополнительных проверок
  • 20–50: Средний риск. SMS, капча или усиленный мониторинг
  • 50–80: Высокий риск. Ограничение функциональности, задержка транзакций
  • 80–100: Критический. Блокировка, заморозка аккаунта

Репутационный рейтинг: доверие в динамике

Уникальный vs повторяющийся цифровой отпечаток — детекция дубликатов
Fraud score Репутационный рейтинг
Горизонт Одна сессия Недели, месяцы, годы
Что измеряет Риск конкретного действия Доверие к идентичности
Что влияет Текущие сигналы История, стабильность, привычки
Как меняется Мгновенно Медленно, постепенно
Аналогия Термометр Кредитная история
Двойной спидометр: Fraud Score (моментальный риск) и Trust Score (доверие)

Из чего складывается репутация:

  • Стабильность среды — один браузер, ОС, устройство из месяца в месяц
  • Предсказуемость географии — входы из одного-двух городов, в привычное время
  • Отсутствие инцидентов — ни одного спорного действия за полгода
  • Паттерны использования — регулярные покупки, нормальная навигация
  • Возраст аккаунта — чем дольше без инцидентов, тем выше доверие
  • Социальный граф — связи с другими проверенными аккаунтами

Репутацию нельзя купить или подделать за один сеанс. Она строится на согласованности поведения во времени.

Почему «понимание обеих сторон» меняет всё

Большинство специалистов смотрят на антифрод с одной стороны. Дмитрий Момот (Vektor T13) — один из немногих, кто последовательно работает с обеих сторон этого уравнения.

Как это реализовано на практике

Antidetect System на базе VirtualBox — полноценная виртуализация на уровне гипервизора: изоляция среды, контроль аппаратных отпечатков, минимизация корреляции между сессиями.

IP Auditor — профессиональный инструмент для анализа IP-адресов и сетевой репутации — те же проверки, которые выполняет антифрод, но доступные для анализа с вашей стороны.

FraudLab — обучение через Академию Detect Expert. Структурированные знания: как устроены антифрод-системы, методы детектирования, практические кейсы.

Эффективная кибербезопасность начинается не с инструментов. Она начинается с понимания, как работают системы на фундаментальном уровне.

— Дмитрий Момот, Vektor T13
Два взгляда на антифрод: защита vs обход — понимание обеих сторон

Заключение

Антифрод — это не один алгоритм и не один фильтр. Это мультисигнальная система корреляции, которая работает на четырёх уровнях одновременно:

  • Сеть — откуда вы пришли
  • Браузер — какая среда вас представляет
  • ОС — насколько ваше окружение согласовано
  • Железо — что происходит на физическом уровне

Каждый уровень добавляет контекст. Ни один не работает изолированно — антифрод ищет не одиночные ошибки, а несвязности между слоями.

На выходе — два числа: Fraud score (моментальный риск) и репутационный рейтинг (доверие во времени). Вместе они определяют, пропустит ли вас система — или остановит.

Именно так думает антифрод. И именно так думает Vektor T13.

Купить

Антидетект на основе ВМ. 300 000+ комбинаций. Есть бесплатная версия.

Купить

Если вы хотите оплатить картой или PayPal, оформите подписку через Patreon (уровень не ниже VIP, $90). После оплаты вам придёт вся необходимая информация.
Если вы хотите оплатить BTC или LTC, просто напишите нам и мы выставим вам счёт. После оплаты вы получите антидетект и доступ к сервисам detect.expert.
Оплатить через Patreon Оплатить BTC/LTC