GH GambleHub

Botların aşkarlanması və antifrod məntiqi

Qısa xülasə

Botlardan və fırıldaqçılıqdan effektiv qorunma qatların birləşməsidir: siqnalların toplanması (müştəri, şəbəkə, cihaz, davranış), real vaxt riskinin hesablanması, qaydalar (deterministic) + ML modelləri (probabilistic), əlaqələrin qrafik analizi və ciddi eskalasiya prosesləri. Məqsəd zərəri bloklamaq və eyni zamanda UX və dönüşümü qorumaqdır.

Təhdidlər və vektorlar

Botlar və skreyperlər: qeydiyyat, giriş-həddindən artıq, promo-kodların ferması, balansların təşviqi, müraciətlərin/mərclərin avtomobil yaradılması.
Account Takeover (ATO): credential stuffing, fishing, seans oğurluqları.
Payment fraud: oğurlanmış kartlar, sınaq limitləri, chargeback-pharming.
Bonus abuse: multiakkounting, «ailə» cihazlar/ünvanlar, proxy/emulyatorlar.
Affiliate/CPA sui-istifadə: saxta qeydiyyat/depozitlər, klik.

Antibot/antifrod yığının arxitekturası

Laylar və komponentlər:

1. Sensorlar və telemetriya: ön-JS/SDK (human signals), mobil SDK, şəbəkə/NTTR metrikləri, arxa-arxa hadisələr.

2. Feature Store (onlayn/oflayn): normallaşma, T + N pəncərələri üçün aqreqatlar (1 dəq, 1 saat, 24 saat).

3. Real-time mühərrik: qaydalar + ML inference (aşağı gecikmə), challenge orkestrasiyası.

4. Qraf mühərriki: cihazlar, ödənişlər, IP/ASN, cookies, ünvanlar üzrə istifadəçi əlaqələri.

5. Hadisə anbarı və nişan: aktiv model təlimi, RCA.

6. Cavab orkestratoru: blok/çağırış/dondurma/limit/manual yoxlama.

7. Müşahidə/SLO: keyfiyyət metrikası (TP/FP/FN), həll vaxtı, dönüşüm təsiri.

Siqnallar və «izlər»

Müştəri və cihaz

Device fingerprint: User-Agent-derivasiya, platforma/CPU/GPU, Canvas/WebGL render, şriftlər, timezone, dil, sensorlar; rotasiya müqavimət.
Brauzer dinamikası: siçan/taç hadisələri, sürət/giriş ritmi, fokus/blur, skroll, keçid ardıcıllığı, idle-modellər.
Mobil metriklər: jailbreak/rut, emulyasiya əlamətləri, debaq bayraqları, SDK siqnalları.
Şəbəkə: IP/ASN/geo, proxy/VPN/hosting-ASN, IP smena tezliyi, RTT sabitliyi, JA3/TLS izləri.

Davranış və biznes konteksti

Velocity metrik (qeydiyyat/giriş/depozitlər/pəncərə başına dərəcələr).
Zaman zonaları/lokal/valyuta anomaliyaları, geo cihaz uyğunsuzluğu.
Təkrarlanan yol/sorğu nümunələri, forma ardıcıllığı (skriptlərə xas).
Fəaliyyət iqtisadiyyatı: LTV uyğunsuzluğu, qeyri-təbii promo/nəticə kombinasiyaları.

Qrafik analiz (ailələr və klasterlər)

Zirvələr: istifadəçilər, cihazlar, IP/ASN, ödəniş alətləri, ünvanlar, cookies.
Rebra: «ilə giriş», «vasitəsilə ödədi», «cihazı böldü», «fingerprint üst-üstə düşdü».

Qaydaların nümunələri:
  • 'k-core ≥ 3' istifadəçilər üçün bir ödəniş aləti → manual yoxlama.
  • Ölçü bağlılığı komponenti> X, <24 h → dondurma promosu və KYC-review üçün yaradılmışdır.
  • Qeydiyyat sahəsində IP qovşağı (Gini-indeks) üzrə yüksək mərkəzləşdirmə → antibot-çağırış.

Qaydalar (determinated) və skoring (ML)

Hibrid yanaşmanın xüsusiyyətləri

Qaydalar: sürətli və başa düşülən (KUS/komplayens, alnına blok).
ML: «boz zonaları» və yeni nümunələri tutur; aktivləşdirmədən əvvəl shadow rejimində işləmək.

Standart qaydalar (psevdokod nümunəsi)

yaml
- id: ATO_LoginBurst when:
path: "/login"
failures_last_10m_by_ip > 20 distinct_accounts_last_10m_by_ip > 5 action: challenge_mfa

- id: Bonus_MultiAccount when:
promo_code = "WELCOME100"
devices_shared_with_accounts >= 2 first_deposit_time_delta < 10m action: freeze_bonus_and_review

- id: Payment_CardTesting when:
card_decline_rate_30m_by_ip > 0. 6 unique_cards_attempted_30m_by_ip > 5 action: block_24h_and_notify

ML-fiçlər (nümunələrlə)

Müvəqqəti: tezliklər/intervallar, saat/gün mövsümiliyi.
Kateqoriya: ASN, ölkə, cihaz, brauzer.
Qrafik: node degree, clustering coefficient, pagerank IP qovşağı/cihaz.
Texniki: sessiyanın uzunluğu, daxil edilən məlumatların entropiyası, nadir klik ardıcıllığı.
Maliyyə: orta çek, dispersiya, time-to-withdraw, ödəniş uğursuzluqları payı.

Çağırışlar və cavablar (response orchestration)

Soft: JS-challenge, proof-of-work, e-mail/telefon təkrar validasiya, sürət/kvota limiti.
Strong: MFA/JIT-KYC, vəsaitlərin/bonusların müvəqqəti dondurulması, müvəqqəti qadağan.
Adaptive: yüksək risk həddi (TOR/ASN hosting), VIP/partnyorlar üçün grace siyahıları.
UX prinsipləri: default görünməz yoxlamalar; açıq çağırışlar - yalnız risk.

Promo və oyun üçün antifrod

Promo inteqratet: promo per-device/per-payment-instrument limitləri; KYC statusu ilə bir dəstə promo.
Multiakcounting: device/IP qrafları, davranış trayektoriyalarının oxşarlığı; «ailə» → mükafat limiti/dondurma.
Qazanc artırma: bağlı hesablar arasında anormal bahis korrelyasiyası → araşdırma.
iGaming KPI: dönüşüm qorunması (qeydiyyat → depozit), vaxt-to-Wallet; legit oyunçuları «boğmaq» deyil.

Ödəniş antifrod (qısaca)

3-D Secure/multi-faktor: dinamik risk.
mTLS/PSP vebhuk imzası: məcburidir.
İdempotentlik: Geri çəkilmə/depozit əməliyyatlarının açarı.
Ödəniş siqnalları: BIN/issuer, AVS/CVV nəticələri, nasazlıq sürəti, geo uyğunsuzluq.

Data, fichestor, aqreqasiya pəncərələri

Onlayn aqreqatlar (low-latency): velocity, unikallıq, uğursuzluqlar üçün 1/5/15 dəqiqə.
Near-real-time: promo və bonus məntiq üçün 1-24 saat.
Offline Fich: Modelləri öyrətmək üçün 7-90 gün.
Data keyfiyyəti: hadisələrin təkrarlanması, təkrar çatdırılmadan qorunma, validasiya sxemi.

Müşahidə, SLO və keyfiyyət metrikası

Texniki SLI/SLO:
  • p95 qərar (antifrod) ≤ kritik yollarda 50 ms (login, depozitlər).
  • Skoring mühərrikinin mövcudluğu ≥ 99. 95 %/ay.
  • «Gizli» hadisələrin nisbəti ≤ 0. 1%.
Antifrod keyfiyyəti:
  • ATO/promo/ödəniş ssenariləri üzrə TP/FP/FN; business-cost FP.
  • Conversion impact (qeydiyyat Δ → depozit, Δ checkout success).
  • Hit-rate challenge (neçə challenge risk təsdiq).
  • Drift-monitorinq (Fich/qiymətləndirmə/gizli).

Gizlilik və uyğunluq

Minimum məlumat: tam zəruri saxlamaq; PII - tokenləşdirmək/şifrələmək.
Şəffaflıq: qərarların açıqlanması (xüsusilə imtina və məhdudiyyətlər zamanı).
GDPR/PCI DSS: məlumat domenlərinin seqmentləşdirilməsi, yalnız rollara çıxış; giriş və qaydaların dəyişdirilməsi.
Etika və bias: müntəzəm diskriminasiya üçün fich/eşik auditi.

Əməliyyatlar və hadisələr

Runbooks: ATO spike, card-testing, promo-storm, SDK deqradasiya.
Feature flags: qaydaların sürətli zəifləməsi/gücləndirilməsi, modellərin dəyişdirilməsi, «kill-switch» çağırış.
Təlimlər: tarixi hücumlar, «boz» kampaniyalar, əlamətlərin qəfil drift.
RCA/nişan: Sərhəd halları nişanlanır və training-datasetə (active learning) qaytarılır.

Artefaktların nümunələri

1) SQL-toplama üçün aqreqatlar (konsepsiya)

sql
-- velocity of logins by IP in 10 minutes
SELECT COUNT() AS logins_10m
FROM auth_events
WHERE ip =:ip AND ts > now() - interval '10 minutes';

-- unique accounts by device_id in 24 hours
SELECT COUNT(DISTINCT user_id) AS accounts_24h
FROM sessions
WHERE device_id =:device_id AND ts > now() - interval '24 hours';

2) OPA/Rego qaydası (sadələşdirilmiş)

rego package antifraud. login

default action:= "allow"

high_risk_ip {
input. ip. asn in {"AS9009, ""AS14061,"" AS16509"} # example input. metrics. failures_10m_by_ip > 20 input. metrics. distinct_accounts_10m_by_ip > 5
}

action:= "challenge_mfa" { high_risk_ip }

3) Challenge orkestrinin psevdokodu

python risk = score(features) # 0..1 if risk >= 0. 9: block()
elif risk >= 0. 7: challenge("MFA")
elif risk >= 0. 5: throttle(rate="low")
else: allow()

Tipik səhvlər

Yalnız kapçaya bahis: botlar onu aşır; çox faktorlu siqnal yığını lazımdır.
Uzun skoring gecikmələri: UX qırır, uğursuzluq artır.
Qlobal IP/ASN qadağan əbədi: legit trafik kəsir; TTL istifadə edin və yenidən baxın.
Qrafik yoxdur: multiakkauntlar «görünməz» olaraq qalır.
Canareas/shadow olmadan sərt qaydalar: Prod FP sıçrayışı.
Sıfır fidbek dövrü: modellər yenidən hazırlanmır, qaydalar yenilənmir.

Yol xəritəsi

1. Risk yollarının inventarlaşdırılması: qeydiyyat, giriş, promo, depozitlər/nəticələr.
2. Siqnalların toplanması və SDK: ön-JS/mobil, şəbəkə, server hadisələri; vahid sxem.
3. Online fichestor: pəncərələr 1/5/15/60 dəqiqə; deduplication və SLA fich.
4. Əsas qaydalar profili: velocity + anomaliyalar + sadə qrafik evristiklər.
5. ML kölgə rejimində: ROC/PR müqayisə, iş təsiri qiymətləndirmək, qismən daxil.
6. Qraf-analiz: ailələrin klasterləşdirilməsi, əl təsdiqi ilə avto-etiketləmə.
7. Cavab orkestrasiyası: matris (risk × ssenari → hərəkət), UX-də A/B-nəzarət.
8. Müşahidə və SLO: keyfiyyət və texnika dashboard, alerting, post-insident test case hovuzlar.
9. Gizlilik/uyğunluq: PII-nin minimuma endirilməsi, tokenizasiya, rollara giriş, hesabat.

Yekun

Güclü antifrod sistemi sensorlar və davranışların fiqurlara çevrildiyi, qərarlar qaydalar və ML hibridləri tərəfindən qəbul edildiyi və əlaqələr qrafiki sui-istifadə ailələrini aşkar etdiyi çox qatlı və adaptiv dövrədir. Real vaxt cavab orkestrini, SLO ilə müşahidə və məxfiliyi əlavə edin - və siz təhlükəsizlik, UX və biznes metriklər arasında balans təmin edəcək, hətta yaxşı təşkil edilmiş botlar və frod şəbəkələrinin təzyiqi altında.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

Telegram
@Gamble_GC
İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.