Всем привет! 👋
Запускаю серию постов по техничке антифрода — для подписчиков и всех, кто копает в сторону фрода
Разберём ежедневку: User-Agent, куки, хедеры, отпечатки устройств, IP и другие “невидимые” детали, которые отличают честных юзеров от мошенников
Начнём с базового, но ключевого — User-Agent. Покажу, что это и как его едят
Что такое User-Agent и зачем он нужен
User-Agent (UA) — это текстовая строка, которую браузер автоматически отправляет серверу при каждом запросе. Это как "визитка" браузера: сервер смотрит на неё и понимает, с какого устройства и браузера зашёл пользователь
Зачем это антифроду: — Мошенники часто подделывают UA, чтобы притвориться обычным пользователем с мобилки, когда на самом деле сидят с ПК через эмулятор — Если UA меняется между сессиями у одного пользователя — это красный флаг — Несовместимые комбинации (например, Windows + iPhone Safari) выдают фрод
Структура User-Agent: разбираем по кусочкам
Берём реальный пример:
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/144.0.0.0 Safari/537.36
Выглядит страшно, но на самом деле тут всего 5 частей. Разберём каждую из них
Часть 1: Mozilla/5.0
Это исторический префикс, который есть у всех современных браузеров — Chrome, Edge, Firefox, Safari, Opera и т.д.
В 90-х годах браузер Netscape назывался "Mozilla", и сайты проверяли эту строку, чтобы понять, что это современный браузер. Когда появились другие браузеры, они тоже начали писать "Mozilla/5.0", чтобы сайты их не отсекали как старые
Что с этим делать: Просто игнорировать. Эта часть ничего не говорит о реальном браузере или устройстве. У всех она одинаковая
Если здесь что-то другое (например, "Mozilla/4.0" или вообще отсутствует) — это либо очень старый браузер, либо подделка. Но встречается редко
Часть 2: (Windows NT 10.0; Win64; x64) — ОС и устройство
Это самая важная часть для нас. В скобках всегда указана операционная система и тип устройства
Как читать:
Windows (десктоп/ноутбук):
(Windows NT 10.0; Win64; x64) это Windows 10 или 11, 64-битная система
(Windows NT 6.1; Win64; x64) это Windows 7 (старая система)
(Windows NT 10.0; WOW64) это 32-битное приложение на 64-битной Windows
Главное: Windows NT + Win64 это всегда стационарный компьютер или ноутбук, не мобильное устройство
Android (телефоны/планшеты):
(Linux; Android 14; SM-G998B) это Android 14 на Samsung Galaxy S21 Ultra
(Linux; Android 13; Pixel 7) это Android 13 на Google Pixel 7
(Linux; Android 12) это Android 12, но модель скрыта (обычное поведение для новых версий)
Главное: Linux; Android это всегда мобильное устройство (телефон или планшет)
iPhone/iPad:
(iPhone; CPU iPhone OS 18_1 like Mac OS X) это iPhone с iOS 18.1
(iPad; CPU OS 17_0 like Mac OS X) это iPad с iPadOS 17.0
Главное: iPhone или iPad в скобках это устройство Apple.
macOS (компьютеры Apple):
(Macintosh; Intel Mac OS X 10_15_7) это MacBook/iMac на macOS Catalina
(Macintosh; Intel Mac OS X 14_1) это MacBook/iMac на macOS Sonoma
Всегда смотрите сначала в скобки — там написано, с какого реального устройства идёт запрос. Это основа для проверки
Часть 3: AppleWebKit/537.36 (KHTML, like Gecko) — движок рендеринга
Это технические детали о том, какой движок используется для отрисовки веб-страниц
Немного истории:
WebKit — это движок, который изначально разработала Apple для Safari. После это Google взял WebKit, доработал и создал свой движок Blink (используется в Chrome, Edge, Opera)
Но в UA до сих пор пишут "AppleWebKit/537.36" для совместимости со старыми сайтами KHTML, like Gecko — ещё более древняя история про движок KHTML и Gecko (Firefox). Это тоже сделано для совместимости, чтобы старые сайты не сломались
Эту информацию нужно гнорировать. Эта часть не говорит о реальном браузере. У Chrome, Edge, Opera — у всех тут будет "AppleWebKit/537.36"
Если здесь что-то странное (например, "AppleWebKit/1.0" или вообще пусто) — это подделка. Но обычно мошенники копируют стандартные строки, так что это слабый сигнал
Часть 4: Chrome/144.0.0.0 — реальный браузер
Здесь указан настоящий браузер и его версия
Как читать разные браузеры:
Chrome:
Chrome/144.0.0.0 это Google Chrome версии 144
Chrome/120.0.6099.130 это Chrome версии 120
Edge:
Edg/144.0.0.0 это Microsoft Edge версии 144
Важно: пишется именно Edg/, а не Edge/
Opera:
OPR/96.0.0.0 это Opera версии 96 Opera/ — старый формат, сейчас пишут OPR/
Firefox:
Firefox/122.0 это Mozilla Firefox версии 122
У Firefox другая структура UA, там нет "Chrome/" и "AppleWebKit/"
Safari (настоящий): Version/17.2 Safari/605.1.15 это Safari версии 17.2
Настоящий Safari НЕ содержит слово "Chrome/" в строке
Чтобы понять, какой браузер на самом деле, ищите последний уникальный токен с версией:
Есть Edg/ это Edge
Есть OPR/ это Opera
Есть Chrome/, но нет Edg/ и OPR/ это Chrome
Есть Safari/ и Version/, но НЕТ Chrome/ это настоящий Safari
Часть 5: Safari/537.36 — хвост совместимости
Вот тут начинается путаница, из-за которой есть вопросы "почему у меня Chrome, а тут ещё и Safari?"
Объяснение:
Chrome и Edge основаны на старом коде Safari (движок WebKit). Когда Google делал Chrome, он взял движок от Safari, переделал, но оставил строку Safari/537.36 в UA для совместимости
Почему это нельзя убрать:
Если Chrome уберёт Safari/537.36 из своего UA, такие сайты начнут показывать ему урезанную версию. Поэтому строка осталась "навсегда"
Число 537.36 — это последняя версия WebKit, на которой основан Chromium. Она не меняется годами, это просто замороженная метка
Главное:
Windows + Chrome + Safari/537.36 — это просто Chrome на Windows, не фрод
Windows + Edge + Safari/537.36 — это Edge на Windows
Android + Chrome + Safari/537.36 — это Chrome на Android
Windows + Safari/605 + НЕТ Chrome/ — это ПК притворяется iPhone
Safari/537.36 в строке — это техническая совместимость, которую Chrome оставил для старых сайтов. Смотреть надо на Chrome/144 или Edg/144 — вот это реальный браузер. Safari там чисто как маркер.
Без призыва к действию
https://t.me/fraud_ops
