GH GambleHub

Logika wykrywania botów i zwalczania nadużyć finansowych

Krótkie podsumowanie

Skuteczna ochrona przed botami i oszustwami to połączenie warstw: zbierania sygnałów (klient, sieć, urządzenie, zachowanie), punktacji ryzyka w czasie rzeczywistym, zasad (deterministycznych) + modeli ML (probabilistycznych), analizy wykresów połączeń i ścisłych procesów eskalacji. Celem jest zablokowanie szkód przy zachowaniu UX i konwersji.

Zagrożenia i wektory

Boty i skrobaki: rejestracja, wyszukiwanie logowania, kody promocyjne gospodarstwa, promocja sald, automatyczne tworzenie aplikacji/stawek.
Przejęcie konta (ATO): nadziewanie, phishing, kradzież sesji.
Oszustwa płatnicze: kradzione karty, testowanie limitów, rolnictwo obciążeń zwrotnych.
Nadużycia bonusowe: multiaccounting, „rodziny” urządzeń/adresów, serwerów proxy/emulatorów.
Nadużycie partnerskie/CPA: fałszywe rejestracje/depozyty, kliknij oszustwo.

Architektura anty-botów/przeciw oszustwom

Warstwy i komponenty:

1. Czujniki i telemetria: front-JS/SDK (ludzkie sygnały), SDK mobilne, metryki sieci/HTTP, zdarzenia backendowe.

2. Sklep funkcyjny (online/offline): normalizacja, agregaty na okna T + N (1 min, 1 h, 24 h).

3. Silnik w czasie rzeczywistym: zasady + wnioskowanie ML (niskie opóźnienie), orkiestra wyzwań.

4. Silnik wykresu: połączenia użytkownika według urządzeń, płatności, IP/ASN, pliki cookie, adresy.

5. Przechowywanie incydentów i znakowanie: aktywny model szkolenia, RCA.

6. Orkiestrator odpowiedzi: block/challenge/freeze/limit/manual check.

7. Obserwowalność/SLO: wskaźniki jakości (TP/FP/FN), czas podejmowania decyzji, wpływ na konwersję.

Sygnały i odciski palców

Klient i urządzenie

Odcisk palca urządzenia: pochodne użytkownika-agenta, platforma/procesor/GPU, renderowanie płótna/WebGL, czcionki, timezon, język, czujniki; odporność na obrót.
Dynamika przeglądarki: zdarzenia myszy/dotyku, prędkość wejścia/rytm, ostrość/rozmycie, przewijanie, sekwencje przejścia, wzory bezczynności.
Metryki mobilne: jailbreak/root, funkcje emulatora, flagi debug, sygnały SDK.
Sieć: IP/ASN/geo, proxy/VPN/hosting-ASN, częstotliwość zmiany IP, stabilność RTT, JA3/TLS odciski palców.

Zachowanie i kontekst biznesowy

Mierniki prędkości (rejestracje/loginy/depozyty/stawki za okno).
Anomalie stref czasowych/lokalizacje/waluty, niedopasowanie urządzenia geo.
Powtarzanie wzorów ścieżek/zapytań, tworzenie sekwencji (typowych dla skryptów).
Ekonomia działania: niedopasowanie LTV, nienaturalne kombinacje promo/inferencji.

Analiza wykresów (rodziny i klastry)

Topy: użytkownicy, urządzenia, IP/ASN, narzędzia płatnicze, adresy, pliki cookie.
Żebra: „zalogowane”, „płatne”, „dzielone urządzenie”, „dopasowane odciski palców”.

Przykłady zasad:
  • "k-core ≥ 3ousers per payment instrument → ręczna weryfikacja.
    • 💡 X komponent łączności utworzony w <24 h → promocyjne zamrożenie i przegląd KYC.
  • Wysoka centralizacja przez IP-node (Gini-index) w obszarze rejestracji → wyzwanie anty-łódź.

Reguły (deterministyczne) i punktacja (ML)

Charakterystyka podejścia hybrydowego

Zasady: szybkie i wyjaśnione (CUS/zgodność, głowa-on bloku).
ML: połowy „szare obszary” i nowe wzory; pracować w trybie cienia przed włączaniem działań.

Typowe reguły (przykład pseudokoda)

yaml
- id: ATO_LoginBurst when:
path: "/login"
failures_last_10m_by_ip > 20 distinct_accounts_last_10m_by_ip > 5 action: challenge_mfa

- id: Bonus_MultiAccount when:
promo_code = "WELCOME100"
devices_shared_with_accounts >= 2 first_deposit_time_delta < 10m action: freeze_bonus_and_review

- id: Payment_CardTesting when:
card_decline_rate_30m_by_ip > 0. 6 unique_cards_attempted_30m_by_ip > 5 action: block_24h_and_notify

Funkcje <> ML (z przykładami)

Czas: częstotliwości/odstępy, sezonowość według godziny/dzień.
Kategoria: ASN, kraj, urządzenie, przeglądarka.
Wykres: stopień węzła, współczynnik klastrowania, węzeł IP/pagerank urządzenia.
Techniczna: długość sesji, entropia danych wejściowych, rzadkość sekwencji kliknięć.
Finanse: średnia kontrola, zmienność, czas do wewnątrz, udział w odmowie płatności.

Orkiestra odpowiedzi

Miękkie: JS-challenge, proof-of-work, przedłużenie ważności e-mail/telefonu, limit prędkości/limit.
Silny: MFA/JIT-KYC, tymczasowe fundusze/bonus zamrożenie, tymczasowy zakaz.
Adaptacyjny: wzrost progów wysokiego ryzyka (TOR/hosting ASN), listy grace dla VIP/partnerów.
Zasady UX: niewidoczne kontrole domyślnie; wyraźne wyzwania - tylko ryzyko.

Przeciwdziałanie oszustwom w celach promocyjnych i gier

Promo-integracja: limity promo per-device/per-payment-instrument; pakiet promo ze statusem KYC.
Multiaccounting: wykresy urządzenia/IP, podobieństwo trajektorii behawioralnych; „rodzina” → limit nagród/zamrożenie.
Zwiększenie wygranych: nieprawidłowa korelacja zakładów między powiązanymi kontami → dochodzenie.
iGaming KPI: ochrona konwersji (registratsiya → depozit), Time-to-Wallet; nie dławić legalnych graczy.

Płatności przeciwko oszustwom (w skrócie)

3-D Secure/multifactor: dynamiczny według ryzyka.
mTLS/podpis haków PSP: obowiązkowy.
Idempotencja: klucz do operacji wypłaty/wpłaty.
Sygnały płatnicze: BIN/emitent, wyniki AVS/CVV, wskaźnik awarii, rozbieżność geograficzna.

Dane, fichester, okna agregacyjne

Agregaty online (niskie opóźnienie): 1/5/15 minut dla prędkości, wyjątkowości, awarii.
Blisko-w czasie rzeczywistym: 1-24 godziny dla logiki promocyjnej i bonusowej.
Funkcje offline: 7-90 dni do trenowania modeli.
Jakość danych: deduplikacja zdarzeń, ochrona przed ponownym dostarczeniem, systemy walidacji.

Obserwowalność, SLO i wskaźniki jakości

Techniczne SLI/SLO:
  • p95 podejmowania decyzji (zwalczanie nadużyć finansowych) ≤ 50 ms na ścieżkach krytycznych (logowanie, depozyty).
  • Dostępność silnika punktowego ≥ 99. 95 %/miesiąc
  • Odsetek zdarzeń „incognito” bez cech ≤ 0. 1%.
Jakość zwalczania nadużyć finansowych:
  • TP/FP/FN dla scenariuszy ATO/promo/płatności; biznes-koszt PR.
  • Wpływ na konwersję (registratsii → depozit, Dzień realizacji transakcji).
  • Wyzwania hit-rate (ile wyzwań potwierdza ryzyko).
  • Monitorowanie dryfu (cechy/wyniki/opóźnienia).

Prywatność i zgodność

Minimalizacja danych: przechowywać dokładnie to, czego potrzebujesz; PII - tokenizacja/szyfrowanie.
Przejrzystość: możliwość wyjaśnienia decyzji (zwłaszcza w przypadku niepowodzeń i ograniczeń).
RODO/PCI DSS: segmentacja domeny danych, dostęp tylko według roli; rejestrowanie dostępu i zmiany reguł.
Etyka i stronniczość: regularny audyt funkcji/progów dyskryminacji.

Operacje i incydenty

Książki startowe: kolec ATO, testowanie kart, burza promo, degradacja SDK.
Flagi funkcji: szybkie osłabienie/wzmocnienie zasad, przełączanie modeli, wyzwania „kill-switch”.
Nauki: powtórka ataków historycznych, „szare” kampanie, nagły dryf znaków.
RCA/markup: oznaczanie i powrót spraw granicznych do zestawu danych szkoleniowych (aktywne uczenie się).

Przykłady artefaktów

1) Kruszywa punktowe SQL (koncepcja)

sql
-- velocity of logins by IP in 10 minutes
SELECT COUNT() AS logins_10m
FROM auth_events
WHERE ip =:ip AND ts > now() - interval '10 minutes';

-- unique accounts by device_id in 24 hours
SELECT COUNT(DISTINCT user_id) AS accounts_24h
FROM sessions
WHERE device_id =:device_id AND ts > now() - interval '24 hours';

2) Przepis OPA/Rego (uproszczony)

rego package antifraud. login

default action:= "allow"

high_risk_ip {
input. ip. asn in {"AS9009, ""AS14061,"" AS16509"} # example input. metrics. failures_10m_by_ip > 20 input. metrics. distinct_accounts_10m_by_ip > 5
}

action:= "challenge_mfa" { high_risk_ip }

3) Pseudokoda orkiestry wyzwań

python risk = score(features) # 0..1 if risk >= 0. 9: block()
elif risk >= 0. 7: challenge("MFA")
elif risk >= 0. 5: throttle(rate="low")
else: allow()

Częste błędy

Postaw tylko na captcha: boty omijają go; potrzebuje wielofaktorowego stosu sygnału.
Długie opóźnienia punktacji: UX przerwa, awaria rośnie.
Globalne zakazy IP/ASN na zawsze: ogranicza legalny ruch; używać TTL i wersji.
Brak wykresu: Konta wielofunkcyjne pozostają „niewidzialne”.
Trudne zasady bez kanarów/cienia: FP wzrost sprzedaży.
Zero cykl sprzężenia zwrotnego: modele nie są przekwalifikowane, reguły nie są aktualizowane.

Plan realizacji

1. Spis ścieżek ryzyka: rejestracja, login, promo, depozyty/wnioski.
2. Kolekcja sygnału i SDK: front-JS/mobile, sieć, zdarzenia serwerowe; jednolity system.
3. Fichestore online: 1/5/15/60 minut windows; deduplikacja i funkcja SLA.
4. Podstawowy profil reguły: prędkość + anomalie + prosta heurystyka wykresu.
5. ML w trybie cienia: porównać ROC/PR, ocenić efekt biznesowy, częściowo uwzględniać.
6. Analiza wykresu: klastrowanie rodzinne, automatyczne oznaczanie z ręcznym potwierdzeniem.
7. Orkiestra odpowiedzi: matryca (risk × stsenary → deystviye), kontrola A/B na UX.
8. Obserwowalność i SLO: deski rozdzielcze o jakości i technice, alarmowanie, puli przypadków po incydencie.
9. Prywatność/zgodność: minimalizacja PII, tokenizacja, dostęp do ról, raportowanie.

Wynik

Silny system zwalczania nadużyć finansowych to wielowarstwowy i adaptacyjny obwód, w którym czujniki i zachowania zmieniają się w funkcje, decyzje są podejmowane przez hybrydę zasad i ML, a wykres połączenia ujawnia rodziny nadużyć. Dodaj w czasie rzeczywistym orkiestrę odpowiedzi, obserwowalność z SLO i prywatności - i zrównoważyć bezpieczeństwo, UX i metryki biznesowe nawet pod presją dobrze zorganizowanych botów i sieci oszustw.

Contact

Skontaktuj się z nami

Napisz do nas w każdej sprawie — pytania, wsparcie, konsultacje.Zawsze jesteśmy gotowi pomóc!

Telegram
@Gamble_GC
Rozpocznij integrację

Email jest wymagany. Telegram lub WhatsApp są opcjonalne.

Twoje imię opcjonalne
Email opcjonalne
Temat opcjonalne
Wiadomość opcjonalne
Telegram opcjonalne
@
Jeśli podasz Telegram — odpowiemy także tam, oprócz emaila.
WhatsApp opcjonalne
Format: kod kraju i numer (np. +48XXXXXXXXX).

Klikając przycisk, wyrażasz zgodę na przetwarzanie swoich danych.