طرق الكشف المتقدمة

يوضح هذا القسم المنهجيات التقنية المحددة التي يستخدمها مقدمو خدمات الدفع (PSPs) للكشف عن التجار المخفيين ذوي المخاطر العالية.

1. زحف الويب وتحليل المحتوى

خط الدفاع الأول هو الفحص الآلي لواجهة المتجر الرقمية للتاجر.

تحليل HTML و DOM

تقوم برامج الزحف بتحليل document.body للعثور على:

كثافة الكلمات الرئيسية: تحليل تكرار المصطلحات عالية المخاطر (مثل "نسخة طبق الأصل"، "بث"، "رهان"، "احتمالات").
رسم بياني للروابط: فحص الروابط الصادرة. هل يرتبط موقع "استشارات" ببوابة مقامرة خارجية؟
العناصر المخفية: الكشف عن المحتوى المخفي عبر display: none أو visibility: hidden الذي قد يحتوي على قائمة المنتجات الحقيقية لمستخدمين محددين.

التعرف على الصور (OCR)

غالبًا ما يضع المخفون نصوصًا محظورة داخل الصور للتهرب من برامج الزحف النصية.

التقنية: تستخدم محركات المخاطر OCR (التعرف الضوئي على الحروف) لقراءة النص المضمن في اللافتات وصور المنتجات.
مثال: لافتة تقول "مكافأة 100% على الإيداع الأول" تم اكتشافها في "مدونة ألعاب" عامة.

2. بصمات حركة المرور والشبكة

عندما يتم إخفاء المحتوى، غالبًا ما تكشف حركة مرور الشبكة الحقيقة.

تسريبات المحيل (Referrer Leaks)

المفهوم: عندما ينتقل المستخدم من الصفحة A إلى الصفحة B، يرسل المتصفح رأس Referer.
الكشف: إذا رأت بوابة الدفع Referer: https://illegal-casino.com لتاجر مسجل باسم https://my-bakery.com، فهذا إخفاء مؤكد.
الإجراء المضاد: يستخدم المخفون rel="noreferrer" أو علامات meta لتجريد هذا الرأس. يواجه مقدمو خدمات الدفع هذا من خلال تحليل أنماط حركة المرور (المحيلون المفقودون يثيرون الشك بحد ذاتهم).

سمعة الاستضافة و ASN

المفهوم: يستخدم التجار الشرعيون استضافة قياسية (AWS، Shopify، GoDaddy).
الكشف: غالبًا ما يستخدم التجار ذوو المخاطر العالية "استضافة مضادة للرصاص" أو أرقام أنظمة مستقلة (ASNs) خارجية معروفة بتجاهل تقارير إساءة الاستخدام.
الإشارة: "محل زهور محلي" مستضاف على ASN معروف عالي المخاطر في سيشيل يعد شذوذًا.

سجل DNS

المفهوم: التحقق من السجلات التاريخية للنطاق.
الكشف:
- عمر النطاق: نطاق تم تسجيله قبل يومين يعالج حجم 100 ألف دولار هو عالي المخاطر.
- تبديل سجلات A: يمكن أن تشير التغييرات المتكررة في دقة IP إلى تقنيات "Fast Flux" المستخدمة للتهرب من حظر IP.

3. محاكاة تدفق الدفع

تستخدم محركات المخاطر روبوتات "المتسوق الخفي" للتحقق من رحلة العميل.

تحليل سلسلة إعادة التوجيه

يتتبع الروبوت كل قفزة في سلسلة طلبات HTTP.

mermaid

flowchart TD
    Bot([بوت / زاحف]) -->|طلب| SiteA[merchant.com]
    SiteA -->|301 إعادة توجيه| Tracker[tracker.com]
    Tracker -->|302 إعادة توجيه| LP[landing-page-B.com]
    LP -->|JS إعادة توجيه| Final[final-payment-page.com]

تنبيه: يتم وضع علامة على أي سلسلة إعادة توجيه تتضمن أكثر من قفزتين أو نطاقات لم يتم الإعلان عنها أثناء الانضمام للمراجعة اليدوية.

اختطاف النماذج و Iframe

الكشف: يفحص الروبوت عنوان URL لإجراء <form> في صفحة الدفع.
الإخفاء: إرسال البيانات إلى api.offshore-payment.com بدلاً من API المباشر لـ PSP.

4. تسجيل الشذوذ السلوكي

غالبًا ما يتم تعريف الخطر بما لا يحدث.

مفارقة "حركة المرور الصفرية"

السيناريو: يدعي تاجر أنه يعالج مليون دولار/شهر.
الكشف: يظهر تصنيف SimilarWeb/Alexa أن النطاق لديه < 500 زائر/شهر.
الاستنتاج: حركة المرور لا تحدث في النطاق المزعوم. إنها تحدث في "موقع ظل" مخفي ويتم توجيهها عبر نفق.

قيمة عربة التسوق غير المتسقة

السيناريو: يبيع تاجر "كتب إلكترونية" بسعر 5.00 دولارات.
البيانات: المعاملات باستمرار بقيمة 100 دولار، 200 دولار، 500 دولار.
الاستنتاج: المنتج المباع ليس الكتاب الإلكتروني. من المحتمل أن يكون "شحن محفظة" للمقامرة أو عنصر محظور عالي القيمة.

التالي: إشارات الإخفاء

طرق الكشف المتقدمة ​

1. زحف الويب وتحليل المحتوى ​

تحليل HTML و DOM ​

التعرف على الصور (OCR) ​

2. بصمات حركة المرور والشبكة ​

تسريبات المحيل (Referrer Leaks) ​

سمعة الاستضافة و ASN ​

سجل DNS ​

3. محاكاة تدفق الدفع ​

تحليل سلسلة إعادة التوجيه ​

اختطاف النماذج و Iframe ​

4. تسجيل الشذوذ السلوكي ​

مفارقة "حركة المرور الصفرية" ​

قيمة عربة التسوق غير المتسقة ​