Cовременные методы детекции
Мультиаккаунтинг сегодня считается одной из главных проблем для сервисов, где один пользователь может получить 🔝 преимущество за счет создания нескольких аккаунтов: рекламные платформы, маркетплейсы, криптобиржи, букмекерские компании, онлайн-казино, социальные сети и многие другие.
Причины для создания нескольких аккаунтов могут быть разными. Их используют для обхода блокировок, повторного получения бонусов, запуска рекламы, накрутки рейтингов, отзывов и других действий. При этом сам по себе мультиаккаунтинг не всегда запрещен. Некоторые платформы, например, Reddit, допускают наличие нескольких учетных записей, если они не используются для голосования за посты и комментарии.

Однако в большинстве случаев именно злоупотребления становятся причиной активного развития антифрод-систем. О том, насколько серьезно бизнес относится к этой проблеме, говорит сам рынок коммерческих антифрод-решений. По различным оценкам, его объем уже измеряется десятками миллиардов долларов, а аналитики Grand View Research прогнозируют 📈 дальнейший устойчивый рост.

При этом Meta, Google и другие платформы практически не раскрывают детали своих защитных алгоритмов. И это вполне логично: публикация внутренних механизмов упростила бы злоумышленникам задачу по поиску способов их обхода.
Поэтому невозможно с уверенностью сказать, какие именно параметры учитываются при принятии решения о блокировке конкретного аккаунта и какой вес имеет каждый из них. Все, что известно сегодня о современных системах детекции, складывается из открытых исследований, патентов, технической документации, практических наблюдений специалистов и материалов компаний, разрабатывающих коммерческие антифрод-решения.
Наибольший интерес для нашего исследования представляет именно последний источник. Сегодня существует целая индустрия, которая помогает банкам, финтех-компаниям, маркетплейсам, рекламным платформам и iGaming-проектам 🔎 выявлять мультиаккаунтинг и другие виды нарушений.
Например, компания SEON использует не только анализ отпечатка, но и анализ скорости действий, платежных данных, куки, IP и истории активности для поиска связанных аккаунтов. Sumsub также смотрит на поведенческие привычки и предлагает собственную систему оценки риска. SHIELD делает акцент на поведенческой биометрии, непрерывном мониторинге сессии и анализе кластеров устройств, а Cross Classify связывает устройства и аккаунты с помощью графового анализа и моделей машинного обучения.
Несмотря на различия в реализации, все эти решения объединяет ☝️ общая идея: современная детекция давно вышла за рамки проверки Canvas, WebGL или других отдельных параметров цифрового отпечатка. Вместо этого она строится на комплексном анализе, который позволяет оценить вероятность того, что несколькими аккаунтами управляет один и тот же пользователь.
Что на самом деле означает «связь» между аккаунтами
Прежде чем говорить о методах детекции, важно понять, что конкретно ищут современные антифрод-системы. Представьте, что на платформе зарегистрированы два аккаунта. Они не пытаются ответить на вопрос: «Одинаковые ли у них Canvas или User-Agent?». Для антифрода гораздо важнее другое:
🤔 Насколько вероятно, что этими двумя аккаунтами управляет один и тот же человек?
Чтобы получить ответ на этот вопрос, система постепенно собирает, казалось бы, разрозненные данные. Совпадает ли устройство? Используется ли одна и та же сеть? Похожи ли характеристики браузера? Совпадают ли привычки взаимодействия с интерфейсом? Используются ли одинаковые платежные данные? Повторяются ли сценарии регистрации, входа и выполнения действий? Насколько близко совпадает время активности? Есть ли косвенные признаки того, что разные аккаунты входят в одну общую цепочку?
Одинаковый ответ на один вопрос сам по себе редко становится причиной блокировки. Но вот если начинают совпадать ответы на несколько вопросов, то вероятность связи между аккаунтами значительно возрастает.
Именно поэтому представление о том, что безопасность профиля определяется только качеством браузерного отпечатка, уже не отражает реальную картину. Да, он остается важной частью современных антифрод-систем, но является лишь одним из уровней, которые используются при оценке рисков.
В статье мы разберем 🤓 современные методы обнаружения связанных аккаунтов и разделим их на четыре уровня. Это позволит лучше понять, как сегодня работают антифрод-системы и почему зеленый результат в чекере не означает, что профиль не вызовет подозрений.
Уровень 1: Статический отпечаток
Обнаружение мультиаккаунтинга начинается с 👣 цифрового отпечатка браузера, который долгое время считался главным инструментом идентификации устройства. Он формируется из параметров, которые браузер и операционная система передают сайтам автоматически:
- Canvas;
- WebGL;
- AudioContext;
- User-Agent;
- Список шрифтов;
- Разрешение экрана;
- Язык и часовой пояс;
- Аппаратные характеристики устройства;
- Параметры браузера и операционной системы.
Комбинация этих характеристик и их согласованность друг с другом позволяют создать достаточно уникальный профиль пользователя и определить наличие подмены всего отпечатка.
Платформы также проверяют, насколько заявленные характеристики устройства соответствуют его реальным возможностям. Например, браузер может заявлять, что у пользователя современная видеокарта, однако Canvas- или WebGL-рендеринг выполняются с производительностью, характерной для встроенной GPU.
Подобные несоответствия могут возникать при использовании виртуальных машин, эмуляторов, инструментов подмены отпечатков или некорректной настройке браузера. Поэтому современные антифрод-системы оценивают не только заявленные характеристики устройства, но и то, насколько они соответствуют фактическому поведению устройства.
Также до сих пор достаточно часто встречается мнение, что если чекер вроде BrowserLeaks или BrowserScan показывает хороший результат, значит профиль полностью безопасен. Но это далеко не так.

Показательный пример на этом уровне – обновление Chrome M134. В 2025 году браузер начал автоматически добавлять к запросам к сервисам Google четыре новых HTTP-заголовка: X-Browser-Channel, X-Browser-Year, X-Browser-Copyright и X-Browser-Validation.
Первые три содержат информацию о канале и версии сборки браузера. Но наибольший интерес представляет 💡 X-Browser-Validation. Это криптографическая подпись, которая формируется внутри Chrome с использованием встроенного API-ключа и строки User-Agent. Причем для Windows, macOS и Linux используются разные ключи.

То есть, если раньше достаточно было подменить User-Agent и выдать себя за Chrome под Windows, то теперь этого уже недостаточно. Если браузер заявляет одно окружение, а подпись не соответствует настоящему Chrome на этой платформе, сервер Google сразу увидит несоответствие. По сути, компания добавила еще один способ проверить, действительно ли перед ней настоящий Chrome или браузер, который лишь пытается им выглядеть.
Сам по себе этот механизм не используется для поиска мультиаккаунтов. Его задача заключается в том, чтобы убедиться, что клиент не подделывает свое окружение. Но именно из таких небольших проверок и складывается общий профиль пользователя.
Но даже если браузер успешно проходит подобные проверки, это еще не означает, что профиль в безопасности. Статический отпечаток – лишь первый слой анализа. После него платформа начинает оценивать гораздо более сложные аспекты: поведение пользователя, историю устройства, связи между аккаунтами, репутацию сети и другие.
Уровень 2: Анализ поведения пользователя
Даже полностью согласованный браузерный отпечаток не гарантирует, что аккаунт будет выглядеть естественно для платформы. После того как пользователь проходит первичную проверку устройства, современные антифрод-системы переходят к анализу процесса взаимодействия с сайтом или приложением.
Такой подход называется behavioral fingerprinting (поведенческий отпечаток). Вместо статичных характеристик устройства система оценивает, как именно человек использует платформу. Такие привычки невозможно подделать.
Движения мыши и взаимодействие с интерфейсом
Поведение человека редко бывает предсказуемым. Пользователь двигает курсор с определенной скоростью, совершает небольшие корректировки траектории, задерживается над элементами интерфейса, иногда промахивается по кнопкам или прокручивает страницу рывками.
Инструменты ⚙️ автоматизации, наоборот, часто работают слишком идеально. Курсор движется по прямым линиям, клики происходят в строго определенных координатах, а прокрутка страницы выполняется одинаковыми шагами. Статистически такие действия заметно отличаются от поведения реальных пользователей.

Поэтому современные антифрод-системы анализируют не отдельный клик, а весь 🖼 рисунок взаимодействия с интерфейсом. Для них важна не только последовательность действий, но и то, как они происходят и насколько естественно выглядят.
Временные интервалы
Важную роль в оценке поведения играют 🕓 интервалы между действиями. Пользователь не заполняет формы с одинаковой скоростью, не открывает страницы через строго фиксированные промежутки и не нажимает кнопки с точностью до миллисекунд. На его действия влияют скорость чтения, привычки, отвлечение внимания и даже случайные паузы.
При автоматизации интервалы между действиями оказываются слишком короткими или подозрительно одинаковыми. Именно поэтому современные системы анализируют не только сами события, но и их временную структуру.

Даже если каждое действие по отдельности выглядит правдоподобно, временные паттерны могут указывать на использование скриптов, ботов или средств автоматизации.
История активности
Поведенческий профиль формируется на основании каждого использования платформы, которая может учитывать, в какое время пользователь обычно входит в аккаунт, насколько регулярно пользуется сервисом, сколько времени проводит в каждой сессии и как меняется его активность со временем.
Например, если аккаунт несколько месяцев использовался по вечерам из одной страны, а затем внезапно начинает работать круглосуточно с короткими сессиями по десять минут, это уже выглядит как резкое изменение модели поведения. Само по себе такое событие не обязательно означает мошенничество, но может привлечь повышенное внимание к профилю.
Уровень 3: Device graph и связывание аккаунтов
На первых двух уровнях система собирает информацию о каждом аккаунте и пользователе. На третьем она начинает ⚖️ сравнивать эти данные между всеми зарегистрированными аккаунтами и искать признаки того, что за некоторыми из них стоит один человек.
Для этого платформы строят Device Graph – граф связей между устройствами, аккаунтами и пользователями. Его можно представить как карту, где каждый аккаунт, устройство, IP-адрес или способ оплаты становится узлом, а обнаруженные совпадения превращаются в линии между ними. Чем больше таких пересечений обнаруживает система, тем выше вероятность того, что несколькими аккаунтами управляет один и тот же человек.

Если два аккаунта используют один IP-адрес, это еще не означает, что они принадлежат одному пользователю. Аналогично, одинаковый User-Agent или совпадающий часовой пояс сами по себе тоже ничего не доказывают.
Но когда одновременно начинают совпадать сразу несколько признаков не только на уровне отпечатка, то вероятность случайного совпадения резко снижается.
Например, два аккаунта могут:
- Регулярно входить с одного диапазона IP-адресов;
- Использовать похожие устройства и браузеры;
- Иметь одинаковые куки или элементы локального хранилища;
- Работать с одними и теми же платежными данными;
- Повторять одинаковые сценарии регистрации и входа;
- Проявлять схожие поведенческие привычки.
Поэтому на практике в граф связей могут попадать:
- Устройства и их цифровые отпечатки;
- Аккаунты пользователей;
- IP-адреса, ASN и прокси;
- Куки и локальные идентификаторы браузера;
- Способы оплаты и банковские карты;
- Адреса электронной почты и номера телефонов;
- Последовательности действий внутри платформы;
- История входов и активность пользователей.
В результате все эти данные 🔗 связываются между собой, и антифрод-система оценивает место аккаунта внутри общей сети взаимосвязей.
Также следует отметить, что разные устройства не гарантируют отсутствие связи между аккаунтами, зарегистрированными на них. Если они работают через одну сеть, регулярно подключаются к сети в одно и то же время, используют одинаковые браузеры, повторяют похожие сценарии действий и взаимодействуют с одними и теми же сервисами, антифрод-система постепенно начинает воспринимать их как элементы одной модели поведения.
Еще один инструмент, который часто используется вместе с графом связей, называется 🚀 velocity rules. Он помогает понять «насколько быстро происходят действия в разных аккаунтах?»
Например, система может оценить ситуации, когда:
- С одного устройства за короткое время создается большое количество аккаунтов;
- Один и тот же браузерный отпечаток многократно используется для регистрации;
- Несколько аккаунтов практически одновременно выполняют одинаковые действия;
- Одна банковская карта появляется сразу в нескольких новых профилях;
- Десятки регистраций происходят из одного диапазона IP в течение нескольких минут.
Таким образом, интерес антифрода вызывает не только устройство, но и пользователь. Если независимые признаки указывают на мультиаккаунтинг, то платформа может связать между собой аккаунты, работающие даже с разных устройств.
Уровень 4: Network Scoring и репутация сети
Последний уровень детекции связан с сетевой инфраструктурой, через которую аккаунт взаимодействует с платформой. Многие считают, что достаточно найти IP-адрес, который различные чекеры считают «чистым» и который не попадал в черные списки. Однако современные антифрод-системы оценивают не только конкретный IP, но и его историю, окружение и общую репутацию сети, из которой поступает трафик.
Именно поэтому сегодня все чаще говорят о 💯 Network Scoring – комплексной оценке доверия к сетевому окружению пользователя.

❗ Каждый IP-адрес накапливает собственную историю. Платформа может учитывать, как долго он используется, сколько аккаунтов уже работало через него, были ли среди них заблокированные профили, насколько часто адрес менялся и была ли на нем подозрительная активность.
Даже если конкретный IP еще не находится в публичных черных списках, это не означает, что у платформы нет собственной информации о его предыдущем использовании.
Кроме самого IP анализируется и ASN (Autonomous System Number) – это оператор сети или провайдер, через которого пользователь выходит в интернет. Например, если аккаунт регулярно подключается к интернету из дома, то это выглядит более естественно, чем постоянная работа через серверные прокси, VPN-сервисы или инфраструктуру облачных провайдеров. Поэтому репутация сети формируется на нескольких уровнях: конкретного IP, подсети и ASN.
Также внимание уделяется тому, насколько сеть соответствует остальным характеристикам профиля. Например, мобильное устройство обычно подключается через мобильного оператора или домашний интернет. Если же такой профиль постоянно работает через серверный IP, то возникает очевидное противоречие между заявленным устройством и реальным сетевым окружением.
Похожая ситуация возникает и в случаях, когда:
- Домашний компьютер регулярно меняет страны подключения;
- Один и тот же профиль за короткое время появляется в разных ASN;
- Тип соединения не соответствует обычному сценарию использования устройства.
Каждое такое несоответствие увеличивает итоговую оценку риска.
Для антифрод-системы гораздо важнее комплексная оценка и естественность сетевого окружения пользователя. История IP, репутация ASN, тип подключения, география соединений и согласованность этих данных с устройством оцениваются одновременно и формируют итоговый уровень доверия к аккаунту.
Как это выглядит на практике
🛠 Антифрод-системы анализируют все уровни одновременно. Для наглядности представим ситуацию, когда медиабайер создает два рекламных аккаунта. Для каждого используется отдельный профиль антидетект-браузера, разные прокси и разные браузерные отпечатки. Проверка в любом популярном чекере показывает, что оба профиля выглядят корректно.
На первый взгляд связь между аккаунтами отсутствует. Однако есть то, что чекеры уже увидеть не могут.
| Параметр | Аккаунт A | Аккаунт B |
| Браузерный отпечаток | разный | разный |
| IP-адрес | разный | разный |
| Профиль в антидетект браузере | отдельный | отдельный |
| Время первого входа | 09:02 | 09:04 |
| Рабочие часы | 09:00–18:00 | 09:00–18:00 |
| Подключение к домашнему Wi-Fi накануне | да | да |
| BIN банковской карты | одинаковый | одинаковый |
| Business Manager | связан | связан |
| Домен для рекламы | один и тот же | один и тот же |
| Креативы | одинаковые изображения | одинаковые изображения |
| UTM-метки | совпадают | совпадают |
| Тексты объявлений | практически идентичны | практически идентичны |
| Последовательность действий | одинаковая | одинаковая |
По отдельности ни один из этих пунктов не доказывает, что аккаунтами управляет один человек. Одинаковый BIN могут использовать клиенты одного банка. Один домен может обслуживать несколько рекламных кампаний. Совпадение рабочего времени тоже нельзя считать нарушением.
Но современные антифрод-системы обращают внимание на вероятность того, что все эти совпадения возникли случайно. Когда количество независимых совпадений становится критическим, вероятность случайности уменьшается, и для системы это уже не два независимых аккаунта, а два элемента с одной моделью поведения.
Именно поэтому один профиль может выглядеть идеально с точки зрения браузерного отпечатка и одновременно получить высокий риск из-за совокупности других факторов. Именно поэтому недостаточно просто создать хороший браузерный отпечаток, важно его правильно использовать.
Практические выводы
Современные антифрод-системы оценивают не отдельные параметры браузера, а совокупность независимых факторов. Поэтому универсального способа полностью исключить риск связывания аккаунтов не существует. Но в любом случае, защита должна быть комплексной.
Безопасная работа с несколькими аккаунтами начинается с качественной изоляции профилей. Каждый из них должен иметь собственный цифровой отпечаток, независимое хранилище данных, куки и уникальные, но согласованные и правдоподобные параметры цифрового отпечатка. Эту задачу решают антидетект-браузеры.
Так, 📌 Dolphin Anty позволяет создавать любое количество профилей с консистентным отпечатком, индивидуальными прокси (которые автоматически подменяют язык, гео и часовой пояс) и даже подстановкой правильного заголовка X-Browser-Validation.

Однако на этом защита не заканчивается. Даже идеально настроенный цифровой отпечаток не поможет, если все аккаунты работают по одному шаблону.
Для того, чтобы разнообразить поведение профилей в Dolphin Anty есть встроенный 📹 конструктор сценариев, который позволяет автоматизировать действия и имитировать более естественную последовательность работы с аккаунтами.

Каждый блок сценария – это шаг в цепочке действий, который можно настроить. Например, движению мышки можно задать координаты, а скроллингу – скорость прокрутки. Более продвинутые пользователи могут работать с CSS-селекторами.
Но важно понимать, что даже самые современные инструменты автоматизации не способны полностью заменить человеческое поведение. Если оно остается шаблонным, то рано или поздно аккаунты будут связаны между собой.
А для обсуждения любых вопросов по работе браузера в Telegram есть чат, где пользователи обсуждают самые разные темы.
Заключение
Еще несколько лет назад обнаружение мультиаккаунтинга чаще всего сводилось к браузерному отпечатку: Canvas, WebGL, User-Agent, часовому поясу и другим параметрам, которые можно проверить с помощью различных чекеров. Сегодня этого уже недостаточно.
Современные антифрод-системы анализируют пользователя сразу на нескольких уровнях: характеристики устройства, поведение, связи между аккаунтами, сетевое окружение, репутацию IP-адресов и другие факторы. Каждый из них по отдельности редко становится причиной блокировки, но их совокупность позволяет платформе с высокой точностью оценить вероятность того, что несколькими аккаунтами управляет один и тот же человек.
Таким образом, современные платформы пытаются определить не устройство, а человека, который стоит за несколькими аккаунтами. Именно на решение этой задачи и тратятся огромные бюджеты.