Как платформы выявляют связанный аккаунт: руководство для продавцов

Обнаружение связанности аккаунтов системами контроля платформы — главная техническая проблема для продавцов электронной коммерции и операторов сетевых матриц

Обнаружение связанности аккаунтов системами контроля платформы — это самая важная техническая проблема, с которой сталкиваются продавцы электронной коммерции, осуществляющие международные продажи, и операторы сетевых матриц. Крупные платформы, такие как Amazon, TikTok и Facebook, обрабатывают сотни миллионов операций ежедневно. Их системы контроля, путем перекрестного сопоставления сигналов из множества источников, могут в течение миллисекунд определить, принадлежат ли два аккаунта одному и тому же оператору. Понимание принципов работы этой системы — отправная точка для разработки эффективной стратегии предотвращения связанности.

Что такое обнаружение связанности аккаунтов

Обнаружение связанности аккаунтов — это основной функциональный модуль системы контроля платформы, предназначенный для выявления множества аккаунтов, контролируемых одним и тем же лицом или организацией. Цель платформы — не запретить пользователям иметь несколько аккаунтов, а предотвратить нарушение правил путем использования множества аккаунтов, таких как обход блокировок, накрутка заказов, фальшивые отзывы, мошенничество с рекламой и другие формы нарушений.

Технологическая логика обнаружения заключается в следующем: сбор как можно большего количества сигналов об устройствах и поведении, использование моделей машинного обучения и расчета сходства для определения вероятности связанности между двумя аккаунтами. Когда вероятность превышает установленный порог, система помечает аккаунты как подозрительно связанные и инициирует проверку или блокировку.

Первый аспект: обнаружение отпечатков устройств

Отпечаток устройства — это наиболее зависимый от платформы сигнал связанности, поскольку его трудно подделать и он стабилен между сессиями. Платформа встраивает JavaScript-код на страницу, чтобы собрать десятки характеристик устройства без ведома пользователя, генерируя уникальный идентификатор для данного устройства.

Отпечатки Canvas и WebGL

Отпечаток Canvas создается путем вызова API HTML5 Canvas, отрисовки контента на скрытом холсте, считывания результатов рендеринга на уровне пикселей и их хеширования. Незначительные различия в обработке одного и того же конвейера рендеринга на разных GPU, драйверах и операционных системах приводят к тому, что итоговое хеширование получается очень уникальным для устройства.

Отпечаток WebGL напрямую считывает информацию об оборудовании GPU: производителя видеокарты, модель, версию драйвера, список поддерживаемых расширений OpenGL, а также результаты рендеринга стандартных 3D-сцен. Согласно исследованию EFF (Electronic Frontier Foundation), комбинация отпечатков Canvas и WebGL позволяет уникально идентифицировать устройство в более чем 90 % случаев.

Аудиоотпечаток AudioContext

При генерации аудиосигнала с помощью Web Audio API возникают ошибки в вычислениях с плавающей точкой в алгоритмах обработки звука на разных аппаратных устройствах, что создает незначительные различия в выходных значениях, формируя идентификатор устройства. Аудиоотпечаток более скрытен, чем Canvas. Многие инструменты предотвращения связанности обрабатывают только визуальные отпечатки, оставляя аудиоканалы для раскрытия реальной информации об устройстве.

Комбинация аппаратных параметров

Платформа также систематически собирает следующие параметры в качестве вспомогательных сигналов:

• Количество ядер процессора (navigator.hardwareConcurrency)
• Объем оперативной памяти (navigator.deviceMemory)
• Разрешение экрана и плотность пикселей устройства (screen.width/height, devicePixelRatio)
• Список установленных шрифтов (определяется по разнице ширины рендеринга)
• Список и версии плагинов браузера

Второй аспект: IP-адрес и сетевые характеристики

IP-адрес является базовым сигналом связанности, но также и тем, который пользователи могут легко изменить. Поэтому вес IP-адреса в современных системах контроля значительно снижен, и он чаще используется как вспомогательный аспект для перекрестной проверки.

Анализ репутации IP и ASN

Платформа не просто рассматривает сам IP-адрес, но и проверяет принадлежность этого IP к автономной системе (ASN). Большое количество аккаунтов, использующих IP-адреса из одной ASN, является типичным признаком пула прокси. Точность идентификации IP-адресов дата-центров (IDC IP) и жилых IP-адресов (Residential IP) в настоящее время весьма высока. Основные системы контроля могут различать их на основе признаков маршрутизации BGP и базы данных репутации IP.

Утечка локального IP через WebRTC

Даже при использовании прокси, протокол WebRTC при установлении прямого соединения запрашивает STUN-сервер, что в процессе может привести к утечке реального локального IP-адреса устройства. Если два аккаунта имеют одинаковый локальный IP (например, разные компьютеры в одной локальной сети), этот сигнал может быть зафиксирован платформой и использован в качестве основания для связанности.

Характеристики стека TCP/IP

Различия в реализации сетевого стека операционных систем оставляют распознаваемые следы в полях пакета TCP-рукопожатия, включая начальное значение TTL, размер TCP-окна, опции заголовка IP и т.д. Этот сетевой отпечаток не требует выполнения JavaScript, он виден и в HTTPS-трафике, и является одним из аспектов обнаружения систем продвинутого контроля.

Третий аспект: анализ моделей поведения

Анализ моделей поведения — это самый технически сложный и трудный для противодействия аспект систем контроля. Платформа использует накопленные за долгое время данные о поведении пользователей для обучения моделей машинного обучения, выявляя различия в закономерностях поведения реальных пользователей и аккаунтов, используемых для массовых операций.

Закономерности времени операций

Распределение времени операций реальных пользователей подчиняется естественным распорядкам дня: есть время для сна, время для работы, случайные кратковременные действия. При одновременном управлении множеством аккаунтов часто наблюдаются следующие аномальные закономерности: одновременная активность нескольких аккаунтов в один и тот же период времени, слишком равномерные интервалы между операциями (признак бота) или полное отсутствие периодов ночного отдыха.

Сходство путей операций

Пути навигации реальных пользователей по платформе имеют индивидуальные особенности: предпочтения в поисковых запросах, распределение времени пребывания, привычки в последовательности кликов. Если пути операций нескольких аккаунтов очень схожи, категории товаров, на которые они кликают, полностью совпадают, а время пребывания практически идентично, модели сходства идентифицируют это как принадлежащее одному и тому же субъекту операции.

Биометрические характеристики мыши и клавиатуры

Некоторые системы продвинутого контроля собирают биометрические данные, такие как траектория движения мыши, распределение силы нажатия, ритм ввода текста. Эти данные формируют "биометрический отпечаток поведения". При управлении несколькими аккаунтами одним лицом он проявляет сходные закономерности, даже если устройства и IP-адреса этих аккаунтов полностью изолированы.

Четвертый аспект: Cookie и локальное хранилище

Cookie и локальное хранилище — это наиболее традиционные методы отслеживания, и именно их большинство пользователей знает, что нужно очищать. Однако реальные технологии отслеживания платформ выходят далеко за эти рамки.

Стандартное отслеживание Cookie

Платформа записывает отслеживающие Cookie при первом посещении, сохраняя идентификатор устройства и историю сеансов. Хотя очистка Cookie может удалить эту запись, платформа сравнивает новое устройство с известным отпечатком. Если отпечаток совпадает, новый Cookie будет повторно связан с историческим аккаунтом.

Супер Cookie и отпечатки хранилища

Современные браузеры предоставляют множество механизмов локального хранения, и платформы могут распределять идентификаторы по нескольким уровням хранения:

• localStorage и sessionStorage
• База данных IndexedDB
• Кеш Service Worker (Cache Storage)
• Идентификаторы кеша ETag
• Супер Cookie HSTS

Даже если пользователь очистил стандартные Cookie, пока один из уровней хранения не очищен, платформа все равно сможет восстановить связь между устройством и аккаунтом. Действительно эффективная изоляция требует полного отделения на уровне среды браузера, а не основана на ручной очистке пользователем.

Пятый аспект: граф связей машинного обучения

Сигналы из вышеупомянутых аспектов в конечном итоге поступают в систему контроля машинного обучения платформы, формируя граф связей аккаунтов. Это самая мощная и труднопреодолимая часть современных систем контроля платформ.

Интеграция сходства по множеству факторов

Система контроля не блокирует аккаунт только из-за аномалии в одном аспекте, а рассчитывает комплексную оценку сходства по нескольким аспектам. Каждый аспект имеет свой вес: отпечаток устройства имеет наивысший вес, так как его трудно подделать; IP-адрес имеет меньший вес, так как у пользователя есть веские причины для его смены; поведенческие характеристики имеют вес между этими двумя.

Графовые нейронные сети для обнаружения связей

Ведущие платформы, такие как Amazon и Facebook, внедрили графовые нейронные сети (GNN) для глубокого анализа связей между аккаунтами. Даже если два аккаунта никогда не входили в систему с одного устройства, если у них есть общий элемент устройства или поведения с третьим аккаунтом, модель может вывести потенциальную связь через передачу информации. Это означает, что цепочка связей одного аккаунта, нарушающего правила, может распространиться на множество аккаунтов, которые на первый взгляд кажутся независимыми.

Оценка на основе временной кумуляции

Платформа не завершает все суждения при создании аккаунта, а постоянно обновляет вероятность связанности по мере накопления аккаунтом все большего количества данных о поведении. Это объясняет распространенное явление: новый аккаунт работает нормально на начальном этапе, но через несколько недель внезапно блокируется — платформа за это время накопила достаточно данных для выявления связанности.

Какие действия чаще всего вызывают обнаружение связанности

Исходя из вышеуказанных технических механизмов, следующие действия являются наиболее частыми сценариями, вызывающими обнаружение связанности в реальной работе:

Уровень устройства

• Прямая смена аккаунта на одном компьютере без очистки каких-либо локальных данных
• Регистрация нескольких аккаунтов с использованием одного и того же номера телефона или адреса электронной почты
• Использование одного и того же способа оплаты для нескольких аккаунтов

Сетевой уровень

• Несколько аккаунтов совместно используют один и тот же жилой IP-адрес или один и тот же прокси-IP
• Использование бесплатного VPN (IP-адрес используется многими пользователями, имеет очень плохую репутацию)
• Утечка локального IP из-за неотключенного WebRTC

Поведенческий уровень

• Высокочастотные операции (публикация, размещение товаров, запуск рекламы) сразу после регистрации нового аккаунта
• Одновременное выполнение одинаковых операций несколькими аккаунтами в один и тот же временной интервал
• Взаимные лайки, покупки, отзывы между аккаунтами

Технические решения для предотвращения связанности множества аккаунтов

В ответ на многоаспектные механизмы обнаружения систем контроля платформы, эффективные решения по предотвращению связанности должны обеспечивать изоляцию на каждом аспекте обнаружения.

Изоляция отпечатков устройства — это первый и наиболее важный аспект, который необходимо решить. Каждый аккаунт должен работать в изолированной среде отпечатков браузера, а параметры отпечатков должны сохранять логическую согласованность (а не генерироваться случайным образом). MasBrowser использует базу данных реальных отпечатков устройств для назначения каждому аккаунту полных параметров отпечатков реальных устройств, обеспечивая полную самосогласованность логических связей между такими аспектами, как Canvas, WebGL, AudioContext, аппаратные сведения, язык и часовой пояс.

Сетевая изоляция требует привязки отдельного IP-адреса прокси к каждому аккаунту и обеспечения полного сокрытия утечек WebRTC. В качестве типа IP-адреса приоритет отдается жилым прокси (Residential IP), затем мобильным прокси (Mobile IP), избегая использования IP-адресов дата-центров.

Изоляция хранилища требует полной независимости Cookie, localStorage, IndexedDB, Cache Storage для каждого аккаунта, без перекрестных данных при смене аккаунта. MasBrowser обеспечивает полную изоляцию хранилища на уровне среды, не зависящую от ручной очистки пользователем. Закрытие окна одного аккаунта не влияет на состояние локального хранилища других аккаунтов.

Поведенческая изоляция — это аспект, который сложнее всего полностью решить с помощью инструментов, и он требует скоординированной операционной стратегии. Новые аккаунты должны соответствовать правилам работы в период "выращивания", избегать одновременного выполнения одинаковых действий несколькими аккаунтами и имитировать случайное поведение реальных пользователей.

Часто задаваемые вопросы

Насколько точна система контроля платформ при обнаружении связанности аккаунтов?

Основная точность систем контроля на ведущих платформах (Amazon, Facebook, TikTok) в опубликованных технических статьях достигает более 95 % (на основе интегрированной модели отпечатков устройств + поведенческих характеристик). Однако эта цифра относится к сценариям, где не предпринимается никаких мер защиты. При использовании полной изоляции отпечатков + независимых прокси + соблюдении правил поведения вероятность обнаружения значительно снижается.

Помогает ли смена IP-адреса предотвратить связанность аккаунтов?

Эффект от отдельной смены IP-адреса крайне ограничен. IP-адрес — лишь один из аспектов обнаружения платформы, его вес ниже, чем у отпечатка устройства. Даже если два аккаунта используют разные IP-адреса, но одинаковые отпечатки устройства, платформа все равно сможет идентифицировать связанность по аспекту отпечатков. Для эффективного предотвращения связанности необходима одновременная изоляция по отпечаткам устройства, сети и хранилищу.

Достаточно ли очистки Cookie?

Недостаточно. Современные платформы используют многоуровневые механизмы хранения для распределенной записи идентификаторов отслеживания, а стандартные Cookie — лишь один из этих уровней. Даже после очистки Cookie идентификаторы в localStorage, IndexedDB, Cache Storage могут оставаться. Что еще важнее, отпечатки устройства не зависят от какого-либо локального хранилища — даже если все хранилища очищены, платформа все равно сможет повторно идентифицировать устройство по таким отпечаткам, как Canvas, WebGL и т.д.

Могут ли платформы обнаружить использование антидетект-браузеров (fingerprint browsers)?

Они могут обнаружить наличие инструмента, но ключевым является суждение после его обнаружения. Некоторые антидетект-браузеры начального уровня оставляют распознаваемые следы использования (например, следы модификации определенных JavaScript-свойств). Высококачественные решения для создания отпечатков браузеров гарантируют, что модифицированные параметры ведут себя как реальные устройства, не давая платформе возможности отличить эту среду от виртуальной среды, созданной антидетект-браузером. MasBrowser использует библиотеку реальных отпечатков устройств, а не генерирует параметры случайным образом, что максимально снижает риск быть идентифицированным как инструментальная среда.

Могут ли аккаунты в одной сети Wi-Fi быть связаны?

Да. Несколько устройств в одной сети Wi-Fi совместно используют один и тот же общедоступный IP-адрес. Это нормальная ситуация, и платформа обычно не определяет связанность только по одинаковому IP. Однако, если отпечатки устройств, время операций и модели поведения этих аккаунтов также сильно схожи, совокупность сигналов вызовет обнаружение связанности. При одновременной работе с несколькими аккаунтами в одной сети изоляция отпечатков по-прежнему является необходимой мерой защиты.