تحليل حركة المرور والطب الشرعي

تحليل حركة المرور هو عملية فحص البيانات الوصفية لحركة مرور الويب - بدلاً من المحتوى فقط - لتحديد الحالات الشاذة التي تشير إلى الإخفاء أو التجميع.

🚦 أنماط تمويه التدفق

غالبًا ما يحاول التجار ذوو المخاطر العالية "تنظيف" حركة المرور الخاصة بهم قبل وصولها إلى صفحة الدفع.

1. "غسل حركة المرور" (Referrer Scrubbing)

يستخدم التجار صفحات وسيطة لتجريد رأس "Referer" حتى لا يتمكن مزود خدمة الدفع (PSP) من رؤية مصدر حركة المرور.

mermaid

flowchart TD
    Origin[موقع مقامرة غير قانوني] -->|إجراء المستخدم| WashPage["صفحة جاري التحميل...<br/>Meta Refresh / إعادة توجيه مزدوجة"]
    WashPage -->|حركة مرور نظيفة| Merchant[صفحة تاجر نظيفة]
    
    style Origin fill:#b91c1c,stroke:#7f1d1d,color:#fff
    style Merchant fill:#15803d,stroke:#14532d,color:#fff

الكشف:

ارتفاعات حركة المرور المباشرة: الارتفاع المفاجئ بنسبة 100% في حركة المرور "المباشرة" (بدون محيل) أمر مريب للغاية لمتجر تجارة إلكترونية جديد. المتاجر الحقيقية تعتمد على SEO/الإعلانات.

2. حشو التابعة (التلاعب بـ UTM)

يستخدم التجار معلمات UTM مضللة لجعل حركة المرور تبدو وكأنها إعلانات مدفوعة.

الرابط: myshop.com/pay?utm_source=google_ads&utm_campaign=summer_sale
الواقع: حركة المرور ليست من Google. إنها روابط مشفرة من موقع ظل.
الكشف: الإسناد الترافقي مع واجهات برمجة تطبيقات منصة الإعلانات. إذا كان utm_source=google_ads ولكن لم يتم تسجيل أي نقرات في حساب إعلانات Google الخاص بالتاجر، فهي مزيفة.

🕸 تحليل الرسم البياني والشبكة

نادرًا ما يقوم المخفون بتشغيل موقع واحد. إنهم يديرون شبكات.

مجموعات الهوية المشتركة

تقوم محركات المخاطر ببناء قواعد بيانات الرسم البياني لربط الكيانات.

العقدة أ: التاجر 1 (محظور)
العقدة ب: التاجر 2 (نشط)

الروابط:

مشاركة معرف Google Analytics (UA-XXXXX)
مشاركة معرف Facebook Pixel
مشاركة معرف تطبيق Intercom
مشاركة تجزئة CSS/JS (استخدام نفس ملف السمة المخصص بالضبط)
مشاركة نمط بريد الدعم (support@domain1.com, support@domain2.com)

الإجراء: إذا تم حظر العقدة أ بسبب الاحتيال، يسمح الرسم البياني لمزود خدمة الدفع بحظر العقدة ب بشكل استباقي قبل أن تعالج دولارًا واحدًا.

يقوم مقدمو خدمات الدفع بإسقاط ملفات تعريف الارتباط "بصمة الجهاز". إذا قام مستخدم بزيارة "كازينو أ" المحظور ثم زار "متجر قمصان ب"، يمكن لمزود خدمة الدفع رؤية نفس معرف ملف تعريف الارتباط.

الاستنتاج: إذا تداخلت قاعدة العملاء بنسبة 90% بين موقع مقامرة معروف و "متجر قمصان"، فمن المحتمل أن يكون متجر القمصان واجهة.

تحليل حركة المرور والطب الشرعي ​

🚦 أنماط تمويه التدفق ​

1. "غسل حركة المرور" (Referrer Scrubbing) ​

2. حشو التابعة (التلاعب بـ UTM) ​

🕸 تحليل الرسم البياني والشبكة ​

مجموعات الهوية المشتركة ​

مزامنة ملفات تعريف الارتباط (Cookie Syncing) ​