Стрим по Affiliate Marketing. Интервью AEZAKMI
--
Друзья, всем привет!
Недавно у нас прошёл стрим вместе с NPPR TEAM (команда арбитражников с полезными сервисами) и dr.cash (известная CPA сетка), после которого Yellow web (один из ярких представителей CPA-рынка на сегодняшний день) задал ряд вопросов.
Ответы вы можете найти внутри этой статьи.
Запись стрима вы можете посмотреть тут:
www.youtube.com/watch?v=nqOSeXn-qFY
Приятного ознакомления!
- Как определили, что фб чекает камеру/колонки/микрофон и речевые синтезаторы?
Исследование проводилось с помощью инжекта JS скрипта, который переопределяет методы WebApi, за счет чего — при вызове соответствующих методов — этот вызов логируется — указывая на функцию которая вызывала метод и аргументы переданные в метод.
Таким образом в режиме реального времени, проводя различные действия на FB — я смог отслеживать какие методы и откуда вызываются, чтобы впоследствии анализировать обфусцированный код шаг за шагом.
Код для детекта сбора фингерпринта установленных речевых синтезаторов:
const original_speechSynthesis = speechSynthesis.getVoices;
speechSynthesis.getVoices = function getVoices() {
let detector = {};
detector.type = "speechSynthesis";
detector.func = "getVoices";
detector.arguments = Array.from(arguments);
console.table(detector);
return original_speechSynthesis.apply(this, arguments);
};Проверить что отдает функция можно на любой вкладке в консоли разраба — speechSynthesis.getVoices();
Код для детекта сбора фингерпринта имеющихся камер,колонок и микрофонов:
const original_enumerateDevices = navigator.mediaDevices.enumerateDevices;
navigator.mediaDevices.enumerateDevices = function () {
let detector = {};
detector.type = "navigator";
detector.func = "mediaDevices";
detector.arguments = Array.from(arguments);
console.table(detector);
return original_enumerateDevices.apply(this, arguments);
};Проверить что отдает функция можно на любой вкладке в консоли разраба — navigator.mediaDevices.enumerateDevices();
2. Чем отличаются браузерные плагины для Chrome и Chromium?
Плагины Chromium:
Plugin {0: MimeType, application/x-google-chrome-pdf: MimeType, name: "Chromium PDF Plugin", filename: "internal-pdf-viewer", description: "Portable Document Format", length: 1}Plugin {0: MimeType, application/pdf: MimeType, name: "Chromium PDF Viewer", filename: "mhjfbmdgcfjbbpaeojofohoefgiehjai", description: "", length: 1}
Плагины Chrome:
Plugin {0: MimeType, application/x-google-chrome-pdf: MimeType, name: "Chrome PDF Plugin", filename: "internal-pdf-viewer", description: "Portable Document Format", length: 1}Plugin {0: MimeType, application/pdf: MimeType, name: "Chrome PDF Viewer", filename: "mhjfbmdgcfjbbpaeojofohoefgiehjai", description: "", length: 1}Plugin {0: MimeType, 1: MimeType, application/x-nacl: MimeType, application/x-pnacl: MimeType, name: "Native Client", filename: "internal-nacl-plugin", description: "", …}
Проверить можно вызвав в консоли: navigator.plugins
3. Откуда инфа о том, что фб использует Passive OS Fingerprint? Пруфы, плз.
Пруфов не будет — так как анализ TCP пакетов происходит за счет прослушки сетевого интерфейса на стороне инфраструктуры FB. Это та часть АФ системы — работа которой всегда будет скрыта от глаз исследователей. Единственный возможный пруф — это если FB сам об этом публично заявит.
Беря в расчет экономику этих данных и подключив дедукцию — напрашивается следующий вывод.
У любой крупной системы имеется то или иное DLP решение которое слушает интерфейс и собирает cap файлы логов для последующего анализа.
Как я и говорил — отпечатки которые нельзя получить из сторонней БД или за счет вычислительных ресурсов юзера — считаются дорогими и этот метод несомненно к ним относится.
Для понимания как это скорее всего происходит — системе нужно обратиться к поисковому движку (fb юзает elasticsearch) для получения указателя на соответствующий юзеру cap файл (у них скорее всего не в капах они лежат) и грепнуть его на наличие строки типа “4:120+8:0:1452:65535,0:mss,nop,nop,sok:df,id+:0”
В случае когда скоринг спорный и АФ системе нужно принять решение — она исходя из коммерческой ценности юзера принимает решение — кинуть на селфи или запросить из имеющихся данных доп инфу. На лету такие данные парсить из пакета и класть в базу конечно бессмысленно и FB себе такого никогда не позволит. Но никаких законов сбор этих данных не нарушает так как они лежат в открытом виде внутри каждого TCP пакета.
Если сопоставить это с тем — что FB использует более дорогие методы проверок, и с тем что GDRP значительно урезал их возможности в плане сбора данных, то кажется очевидным что их антифрод будет анализировать эти данные при необходимости.
4. Как фб видит, что у меня два монитора?
Если окно браузера развернуто не на крайнем левом экране, то значение Screen.availLeft — будет показывать ширину левого экрана в пикселях.
Если же экран является левым-боковым и экранов левее нету — то значение этого параметра будет равно нулю.
То же самое с AvailTop если измерять по оси Y.
Это самый верный и дешевый способ задетектить 2 монитора.
5. Ну и самое главное: откуда у фэбэ есть база тарифных планов Билайна с платной раздачей интернета?
Эти данные доступны в Mobile Data Plan Sharing API от Google.
Так же это можно выявить по косвенным признакам анализируя ttl и ip диапазон. Имея набор исторических данных по клиентам определенного оператора — несложно выявить что мобильных клиентов beeline куда больше чем tele2.
Эти данные FB необходимы в первую очередь для оценки платежеспособности юзера.
6. Тимур, скинь, плз, тот Javascript, где ты увидел прямо во фронтэнде фэбэ списки моделей клавиатур и мышей.
Все методы по анализу клавиатуры и мыши работают с помощью EventListener-ов.
На странице создания BM и на странице настроек рекламной кампании — можно поставить в консоли дебагер на события keydown и keyup. Или уже после загрузки страницы собрать их с помощью
https://gist.github.com/chelovekula/73d82152cabe1724a5962e5d572ea227
Указатели на стартовые функции будут следующими
https://gist.github.com/chelovekula/ffdffd4faf1bbc0be77550dfa4a10e82
Далее — необходимо поставить точку остановки на этих функциях и с помощью “Step over the next function call” пробираться сквозь этот ад. Там будет обфусцированная json-ка о которой и идет речь.
Но из за большого количества рекурсий в обфусцированном коде — дело это не быстрое и в прошлый раз у меня ушло несколько часов прежде чем я добрался до этого момента.
На следующей неделе я планировал выделить время и залезть в это болото еще раз — чтобы более тщательно все изучить и заодно скину вам этот json.
7. Сканирование портов
4 года назад FB действительно мог сотрудничать с этой компанией и сканировать порты с помощью веб сокетов.
Но в последствии появился GDPR и последующие разбирательства связанные с утечками вынудили FB отказаться от этого метода.
Так как метод связан с использованием вебсокетов — сканирование невозможно провести скрытно — во вкладке networks сразу можно будет увидеть запросы вида wss://127.0.0.1:5900/.
Недавно проводилось исследование этой конторы с которой FB раньше сотрудничал и был выявлен список их актуальных клиентов с помощью СNAME анализа — https://docs.google.com/spreadsheets/d/1Nu4lpyZ5PQUIpiLJBddXnr67t5-1y0u40dzyzSYj1gc/edit#gid=0 — судя по этим данным FB там уже нет. И я ни разу не видел в networks запросы к локалхосту на FB.
Что касается дороговизны метода — я имел ввиду, что FB не может себе его позволить из за репутационных и юридических издержек в связи с GDPR.
Хочу еще раз вернуться к первому вопросу.
На стриме я озвучил что использую собственный детектор вызовов WebApi методов для исследования антифрод системы FB. В ближайшее время я выпущу специальную версию Aezakmi в которой будет присутствовать этот инструмент, его код будет полностью открытым и вы на каждом этапе сможете самостоятельно отслеживать что и когда FB собирает — получая отчет по аккам.
Также — вы сможете присоединится к добровольной программе сбора обезличенных данных, которая будет анализировать все ваши действия на FB и логировать все что обнаружил детектор.
Так как антифрод система у них — Динамическая, этот подход позволит нам максимально точно анализировать изменчивое поведение FB — показывая нам закономерности. Все данные будут доступны для анализа любому исследователю который участвует в программе.
NPPR недавно анонсировал народную клоаку и мне кажется подобные кооперативные решения и самоорганизации повысят нашу общую эффективность в целом.
Эта инициатива — при наличии поддержки от сообщества сможет стать народной слежкой за FB
