Снятие отпечатков устройств: как это работает и как Didit использует этот метод для борьбы с мошенничеством (RU)

Два аккаунта, два имени, два документа — но один и тот же телефон, одна и та же сборка браузера, тот же графический процессор. Файлы cookie были очищены, вторая регистрация произошла в режиме инкогнито, а IP-адрес менялся через VPN. Для большинства систем адаптации это выглядит как два разных человека. Снятие отпечатков устройств позволяет определить, что это не так.

В этом посте объясняется, что такое снятие отпечатков устройств, как оно на самом деле работает, чем отличается от файлов cookie, и как Didit использует его в рамках анализа устройств и IP-адресов для выявления дубликатов устройств, мошеннических групп и мультиаккаунтов во время проверки личности — без ошибочного объединения несвязанных пользователей.

Ключевые выводы

• Снятие отпечатков устройств создает стабильный идентификатор для устройства на основе его браузера, аппаратного обеспечения и сетевых сигналов — независимо от файлов cookie, поэтому оно сохраняется после очистки хранилища, в режиме инкогнито и после переустановки приложения.
• Это один из самых сильных сигналов мошенничества при первом контакте, потому что вещи, которые делают устройство уникальным (GPU, экран, шрифты, сборка ОС, особенности датчиков), трудно изменить в больших масштабах и дорого подделать мошенникам убедительным образом.
• Наиболее ценный вариант использования — обнаружение одного и того же устройства за разными личностями: мультиаккаунтинг, злоупотребление бонусами и рефералами, мошеннические группы, синтетические личности и адаптация дропов.
• Didit автоматически выполняет снятие отпечатков устройств в каждом сеансе проверки в рамках анализа устройств и IP-адресов (0,03 доллара США), возвращая device_fingerprint, совпадения дубликатов устройств, высокоточный сигнал восстановления и настраиваемые предупреждения, которые вы можете использовать для одобрения / проверки / отклонения.
• Didit разделяет точные совпадения и восстановленные совпадения и защищает от коллизий хешей, поэтому вы получаете сигнал мошенничества без ложной привязки устройств, используемых в общем офисе или с общим WebView.

Что такое снятие отпечатков устройств?

Снятие отпечатков устройств — это метод идентификации устройства — телефона, ноутбука или планшета — по комбинации атрибутов, которые оно предоставляет при подключении к вашему приложению. Ни один атрибут не является уникальным, но комбинация десятков из них (разрешение экрана, модель GPU, установленные шрифты, сборка операционной системы, часовой пояс, язык, версия браузера, особенности рендеринга Canvas и WebGL) достаточно отличительна, чтобы позже снова распознать то же устройство.

Результатом является отпечаток: стабильный идентификатор, полученный из этих сигналов. В отличие от имени пользователя или адреса электронной почты, пользователь никогда не выбирает его и обычно не знает о его существовании. Именно поэтому он полезен для предотвращения мошенничества — мошенник может придумать новое имя и купить новый украденный документ, но часто он сидит за той же машиной.

Как работает снятие отпечатков устройств

Снятие отпечатков происходит на стороне клиента: небольшой скрипт или SDK запускается в браузере или мобильном приложении, считывает набор сигналов и превращает их в один или несколько хешей. Сигналы обычно делятся на несколько категорий.

Сигналы браузера и программного обеспечения

• Строка User-agent, семейство и версия браузера, установленные плагины и типы MIME
• Язык, часовой пояс и локаль
• Разрешение экрана, глубина цвета, доступные шрифты
• Порядок заголовков HTTP и характеристики TLS

Сигналы аппаратного обеспечения и рендеринга

• Модель и драйвер GPU, предоставляемые через WebGL
• Снятие отпечатков Canvas — браузеру предлагается отобразить скрытый текст/графику; крошечные различия в GPU, драйверах и сглаживании создают хеш изображения для каждого устройства
• Снятие отпечатков AudioContext — аудиостек обрабатывает сигнал немного по-разному для каждого устройства
• Класс ЦП, память устройства, особенности батареи и датчиков на мобильных устройствах

Сетевые и поведенческие сигналы (часто в паре со снятием отпечатков)

• IP-адрес, геолокация, тип соединения, ASN
• Обнаружение VPN / прокси / Tor / центра обработки данных
• При желании, поведенческие сигналы, такие как ритм набора текста

Эти сигналы объединяются в хеши. Надежная реализация производит более одного: постоянный идентификатор устройства (стабильный, пока сохраняется локальное хранилище), составной хеш (детерминированная группировка сигналов) и вектор сигналов, используемый для восстановления устройства даже при удалении постоянного идентификатора.

Снятие отпечатков устройств против файлов cookie

Файлы cookie и отпечатки устройств распознают возвращающихся посетителей, но работают по-разному — и это различие является причиной, по которой команды по борьбе с мошенничеством полагаются на снятие отпечатков.

	Cookies	Снятие отпечатков устройств
Где хранятся	Файл, который браузер хранит на стороне клиента	Получены из сигналов устройства; эталонные данные хранятся на стороне сервера
Контроль пользователя	Легко удаляются или блокируются	Не могут быть просто удалены; сохраняются после очистки хранилища
Сохраняются в режиме инкогнито?	Нет	Да (сигнал восстановления)
Сохраняются после переустановки?	Нет	Часто да
Основное назначение	Сессии, предпочтения, аналитика	Распознавание устройства за идентификатором

Мошенник, открывающий 50 аккаунтов, будет очищать файлы cookie, переключаться в режим инкогнито или переустанавливать приложение между попытками. Файлы cookie сбрасываются каждый раз; хороший отпечаток устройства продолжает указывать на ту же машину.

Почему снятие отпечатков устройств важно для предотвращения мошенничества

Большинство видов мошенничества на уровне аккаунта имеют одну общую черту: одно устройство за многими личностями. Снятие отпечатков выявляет это на самой ранней стадии — регистрации или адаптации — до того, как деньги начнут двигаться.

• Мультиаккаунтинг — один человек, управляющий множеством аккаунтов для обхода лимитов, запретов или правил соответствия требованиям.
• Злоупотребление бонусами, рефералами и промоакциями — то же устройство, использующее бонусы за регистрацию, бесплатные пробные версии или реферальные выплаты под разными именами.
• Мошеннические группы — скоординированные сети, управляющие десятками аккаунтов с общего набора устройств или инфраструктуры.
• Адаптация синтетических личностей — сфабрикованные личности, созданные в большом количестве, часто из небольшого пула устройств.
• Адаптация дропов — множество «разных» людей, регистрирующихся с одной и той же машины.
• Захват аккаунта (ATO) — вход или повышение уровня доступа с устройства, которое никогда не было связано с законным пользователем.

Обнаружение подозрительных настроек также имеет значение: виртуальные машины, фреймворки автоматизации, эмуляторы или невозможные комбинации сигналов («мобильный» user agent с настольным GPU) сами по себе являются красными флагами.

Как Didit использует снятие отпечатков устройств: анализ устройств и IP-адресов

Didit автоматически выполняет снятие отпечатков устройств в каждом сеансе проверки в рамках анализа устройств и IP-адресов — объединяя отпечаток устройства, восстановление дубликатов устройств, IP-аналитику и геолокацию в одну поверхность риска. Нет необходимости в отдельной интеграции: веб- и мобильные SDK собирают сигналы в процессе KYC, а результат попадает в полезную нагрузку решения в разделе ip_analyses[].

Что фиксирует Didit

Didit отправляет безопасную для конфиденциальности полезную нагрузку отпечатка v2 от клиента проверки:

Сигнал	Для чего используется
Постоянный ID устройства	Собственный идентификатор для точного обнаружения того же устройства, пока сохраняется хранилище.
Составной хеш	Стабильный хеш сгруппированных сигналов для детерминированных проверок дубликатов, с защитой от коллизий.
Вектор сигнала	Векторизованные атрибуты устройства и браузера/приложения для высокоточного восстановления.
Контекст платформы	Браузер, ОС, приложение, аппаратное обеспечение, WebGL/Canvas, медиа, локаль, часовой пояс и сигналы целостности мобильных устройств.

Параллельно он обогащает соединение: геолокация IP, обнаружение VPN / прокси / Tor / центра обработки данных, опциональное закрепление ожидаемого IP и проверки черного списка IP.

Модель сопоставления

Сложность снятия отпечатков устройств заключается не в выявлении очевидного повторного использования — а в выявлении повторного использования после сброса мошенником, без ложной привязки невинных пользователей, которые случайно используют общий пул WebView или офисную сеть. Didit разделяет слои, чтобы вы могли безопасно настраивать свой ответ:

Слой	Что он обнаруживает	Позиция
Точный постоянный ID	Та же самая сторонняя идентификация устройства в сеансе другого пользователя.	Самый сильный сигнал → DUPLICATED_DEVICE_FINGERPRINT.
Составной хеш	Тот же детерминированный хеш устройства для разных пользователей.	Защищен от коллизий, поэтому общие пулы браузеров/WebView подавляются.
Восстановленное устройство v2	Постоянный ID изменился, но богатые сигналы с высокой степенью достоверности совпадают с предыдущим устройством.	Консервативный → DEVICE_RECOVERED_HIGH_CONFIDENCE, только после прохождения жестких проверок.
Повторное использование IP	Тот же IP для разных пользователей.	Контекстуально — общие офисы, домохозяйства и мобильные операторы могут быть законными.

Этот уровень восстановления позволяет обнаружить очистку хранилища / режим инкогнито / трюк с переустановкой: даже когда постоянный ID изменяется, модель v2 может связать сеанс с устройством, которое она видела раньше.

Предупреждения, на которые вы реагируете

Каждая запись в ip_analyses[] содержит device_fingerprint, марку/модель/браузер/ОС устройства, массив matches[] дублирующихся сеансов (сгруппированных по vendor_data, чтобы один и тот же пользователь не помечался как дубликат самого себя) и набор настраиваемых предупреждений:

Предупреждение	Значение	Действие по умолчанию
DUPLICATED_DEVICE_FINGERPRINT	То же самое постоянное устройство повторно использовано под другим идентификатором	Одобрить (настраиваемо)
DEVICE_RECOVERED_HIGH_CONFIDENCE	Восстановленное устройство после очистки хранилища/инкогнито/переустановки	Одобрить (настраиваемо)
DEVICE_FINGERPRINT_IN_BLOCKLIST	Устройство соответствует вашему черному списку	Принудительное отклонение
DUPLICATED_IP_ADDRESS	Тот же IP для разных пользователей	Одобрить (настраиваемо)
PRIVATE_NETWORK_DETECTED	VPN, прокси или Tor	Проверить (настраиваемо)
COUNTRY_FROM_DOCUMENT_DOES_NOT_MATCH_COUNTRY_FROM_IP	Страна документа ≠ страна IP	Проверить (настраиваемо)
EXPECTED_IP_ADDRESS_MISMATCH	Текущий IP ≠ IP, который вы закрепили при создании сеанса	Отклонить (настраиваемо)

Вы настраиваете каждую категорию независимо в Бизнес-консоли — одобрить, отправить на ручную проверку или жестко отклонить — и получаете результат через веб-хуки, API решений, панель управления или PDF-файл проверки. Смотрите полный каталог предупреждений.

Рабочий пример

Вот решение Declined: попадание в черный список IP, маскированный трафик и повторно использованное устройство — все в одном сеансе.

{
  "ip_analyses": [
    {
      "status": "Declined",
      "device_brand": "Generic",
      "device_model": "Linux PC",
      "browser_family": "Chrome",
      "device_fingerprint": "fp_re-used_a13c",
      "warnings": [
        { "risk": "IP_ADDRESS_IN_BLOCKLIST" },
        { "risk": "PRIVATE_NETWORK_DETECTED" },
        { "risk": "DUPLICATED_DEVICE_FINGERPRINT" }
      ],
      "matches": [
        {
          "match_type": "device_fingerprint",
          "matched_value": "fp_re-used_a13c",
          "device_info": { "brand": "Generic", "model": "Linux PC", "os": "Linux", "platform": "desktop" }
        }
      ]
    }
  ]
}

Устройство уже было зарегистрировано под другим vendor_data, трафик маскирован, а IP находится в вашем черном списке — три независимые причины остановить сеанс до того, как он станет аккаунтом.

Конфиденциальность и соответствие требованиям

Снятие отпечатков устройств подпадает под действие законов о конфиденциальности (GDPR, ePrivacy и аналогичные режимы рассматривают идентификаторы устройств как персональные данные). Реализация Didit разработана с учетом безопасности конфиденциальности: она собирает отпечаток для предотвращения мошенничества — законная цель, связанная с уже выполняемой вами проверкой, — а не для межсайтовой рекламы. Сигналы векторизуются и хешируются, сопоставление ограничивается, чтобы избежать объединения несвязанных пользователей, и вся функция работает только в рамках согласованного сеанса проверки. Didit является единственным поставщиком идентификационных данных, официально подтвержденным правительством государства-члена ЕС (песочница Tesoro / Banco de España / SEPBLAC Испании) как более безопасный, чем личная проверка.

Как интегрироваться с Didit

Анализ устройств и IP-адресов является только сеансовым — нет отдельной конечной точки для вызова. Он запускается автоматически в каждом сеансе:

1. (Необязательно) В Бизнес-консоли установите действия в строгом режиме для каждого риска — например, отклонить при использовании VPN, проверить при дублировании устройства, отклонить при несоответствии страны и документа.
2. Создайте сеанс — POST /v3/session/ с вашим workflow_id, vendor_data (всегда отправляйте стабильное значение для каждого пользователя, чтобы дубликаты были правильно ограничены) и callback.
3. Откройте session.url для пользователя — SDK собирает отпечаток и IP в полосе пропускания.
4. Прочитайте результат — GET /v3/session/{sessionId}/decision/ или подпишитесь на session.status.updated и проанализируйте ip_analyses[].

curl -X POST 'https://verification.didit.me/v3/session/' \
  -H 'x-api-key: YOUR_API_KEY' \
  -H 'Content-Type: application/json' \
  -d '{
    "workflow_id": "YOUR_WORKFLOW_ID",
    "vendor_data": "user-123",
    "callback": "https://yourapp.com/post-kyc"
  }'

Полная справка: обзор анализа устройств и IP-адресов, схема отчета и модели данных.

Часто задаваемые вопросы

Сколько стоит снятие отпечатков устройств с Didit?

Это часть анализа устройств и IP-адресов по цене 0,03 доллара США за проверку, и оно выполняется в рамках сеанса проверки — без отдельной интеграции. Didit также предоставляет вам 500 бесплатных проверок каждый месяц.

Могут ли мошенники обойти снятие отпечатков устройств?

Они пытаются — виртуальные машины, браузеры с защитой от обнаружения, поддельные user agents, сброс хранилища. Didit противодействует этому по двум направлениям: модель восстановления связывает устройство даже после изменения постоянного ID, а сигналы маскированного трафика / подозрительных настроек (VPN, Tor, IP-адреса центров обработки данных, невозможные комбинации сигналов) выдаются как отдельные предупреждения. Ни один сигнал не является решающим, поэтому Didit возвращает многоуровневый набор, который вы комбинируете в соответствии с вашей политикой.

Будет ли он ложно связывать двух несвязанных пользователей?

Didit намеренно защищает от этого: составные хеши подавляются защитой от коллизий для общих пулов WebView/браузеров, совпадения восстановленных устройств требуют высокоточных шлюзов, а совпадения ограничиваются vendor_data, чтобы один и тот же пользователь никогда не помечался как дубликат самого себя.

Нужно ли мне обрабатывать случай, когда отпечатка нет?

Да — ip_analyses[] может быть пустым, если пользователь заблокировал скрипт снятия отпечатков SDK с помощью расширения для конфиденциальности или блокировщика контента. Заранее решите, завершать ли работу с ошибкой или возвращаться к другим вашим сигналам риска.

Работает ли это как на мобильных устройствах, так и в Интернете?

Да. Веб- и мобильные SDK собирают отпечаток v2, включая сигналы целостности мобильных устройств, если они доступны.

Готовы начать?

Снятие отпечатков устройств — это один из сигналов в более широкой системе Didit по борьбе с мошенничеством — в сочетании с IP-аналитикой, проверкой документов, биометрией и AML-скринингом, все это компонуется в одном рабочем процессе.

• Изучите функцию → Документация по анализу устройств и IP-адресов
• Посмотрите на платформе → Проверка пользователя
• Проверьте цену → Цены — анализ устройств и IP-адресов за 0,03 доллара США, 500 бесплатных проверок в месяц
• Начните бесплатно → business.didit.me