إشارات الإخفاء ومؤشرات المخاطر

يوضح هذا الدليل المرجعي الأعلام الحمراء و الإشارات المحددة التي يبحث عنها محللو المخاطر عند التحقيق في إخفاء المدفوعات المحتمل.

🚨 1. الإشارات التقنية ("البصمة")

تُشتق هذه الإشارات من رؤوس HTTP وعناوين IP وتكوينات الخادم.

الإشارة	الوصف	مستوى الخطر
عدم تطابق المحيل	`Referer` المعاملة لا يطابق عنوان URL المسجل.	🔴 حرج
محيل مفقود	حجم كبير من حركة المرور بدون بيانات محيل (مباشر/مظلم).	🟠 مرتفع
استضافة خارجية	عمل "محلي" مستضاف على خوادم خارجية مضادة للرصاص.	🟠 مرتفع
SSL غير متطابق	الاسم الشائع لشهادة SSL (CN) لا يطابق النطاق.	🟡 متوسط
خيارات X-Frame مفقودة	تسمح الصفحة بالتضمين (Framing)، وهو شائع في هجمات "حقن Iframe".	🟡 متوسط
كشف بروكسي مفتوح	نسبة عالية من حركة المرور من نطاقات IP معروفة لـ VPN/Proxy.	🟠 مرتفع

📝 2. إشارات المحتوى ("الشكل والمظهر")

توجد هذه الإشارات من خلال تحليل المحتوى المرئي والنصي للموقع.

"موقع الزومبي"

موقع يبدو حيًا ولكنه يعمل كقشرة.

روابط اجتماعية معطلة: أيقونات FB/Twitter ترتبط بـ facebook.com (الرئيسية) أو ترجع 404.
نص لوريم إيبسوم: نص نائب متروك في صفحات "من نحن" أو "الشروط".
أصول عامة: صور مخزنة لأشخاص "دعم العملاء" مستخدمة في أكثر من 1000 موقع آخر.
مدونة فارغة: قسم "أخبار" بمنشور واحد بعنوان "مرحبًا بالعالم" منذ 3 سنوات.

"العمل المستحيل"

شذوذ التسعير: بيع iPhone 15 بسعر 50 دولارًا. (من المحتمل أن يكون مقلدًا أو تصيدًا).
منتجات غامضة: بيع "باقة استشارات أ"، "مستوى خدمة 1" بدون تفاصيل.
نسخ ولصق الشروط: تشير صفحة الشروط والأحكام إلى اسم شركة مختلف (بقايا من القالب).

💳 3. الإشارات المعاملاتية ("التدفق")

مشتقة من بيانات الدفع الفعلية التي تمر عبر البوابة.

عدم تطابق الوصف (Descriptor Mismatch)

الملاحظة: الموقع يقول "محل برجر بوب".
وصف البيان: MKT-SVS-LTD-CYPRUS.
السبب: غالبًا ما يستخدم التجار ذوو المخاطر العالية أسماء شركات وهمية عامة لإخفاء الشراء في كشف حساب حامل البطاقة.

تشويش الفاتورة النظيفة

الملاحظة: العميل يشتري "باقة IPTV مميزة".
بيانات المستوى 3: الفاتورة ترسل "ساعات دعم الشبكة - الكمية 1".
السبب: لمنع المصدر (البنك) من وضع علامة على MCC كـ "سلع رقمية" أو "بث".

ارتفاعات السرعة (Velocity Spikes)

الملاحظة: تاجر خامل يعالج فجأة 50 ألف دولار في ساعة واحدة.
السبب: "تفريغ" تشغيل اختبار البطاقة أو تفريغ غسيل ضخم قبل حظر الحساب.

🎭 4. الإشارات السلوكية ("المستخدم")

مشتقة من كيفية تفاعل المستخدمين مع الدفع.

"متسوق الصفر ثانية"

السلوك: يصل المستخدم إلى الصفحة الرئيسية ويكمل الدفع في أقل من 5 ثوانٍ.
الواقع: مستحيل للإنسان. يشير إلى حركة مرور برمجية (روبوتات) أو رابط مباشر من موقع مخفي (المستخدم تسوق بالفعل في موقع الظل وتمت إعادة توجيهه فقط للدفع).

تعارضات Geo-IP

الادعاء: التاجر مقره الولايات المتحدة، ويشحن إلى الولايات المتحدة.
البيانات: 90% من حاملي البطاقات لديهم BINs (أرقام تعريف البنك) من روسيا أو الصين.
الواقع: التاجر يخدم منطقة جغرافية عالية المخاطر محظورة من قبل المستحوذ.

إشارات الإخفاء ومؤشرات المخاطر ​

🚨 1. الإشارات التقنية ("البصمة") ​

📝 2. إشارات المحتوى ("الشكل والمظهر") ​

"موقع الزومبي" ​

"العمل المستحيل" ​

💳 3. الإشارات المعاملاتية ("التدفق") ​

عدم تطابق الوصف (Descriptor Mismatch) ​

تشويش الفاتورة النظيفة ​

ارتفاعات السرعة (Velocity Spikes) ​

🎭 4. الإشارات السلوكية ("المستخدم") ​

"متسوق الصفر ثانية" ​

تعارضات Geo-IP ​