So erkennen Sie Anti-Detect-Browser (Multilogin, GoLogin, Dolphin Anty)
Technischer Deep-Dive dazu, wie Anti-Detect-Browser funktionieren, warum sie für Betrug genutzt werden und mit welchen Erkennungstechniken man sie fasst.
Anti-Detect-Browser sind das ausgefeilteste Umgehungswerkzeug im Arsenal eines Betrügers. Anders als VPNs oder Proxy-Ketten, die nur IP-Adressen verschleiern, erzeugen Anti-Detect-Browser vollständig neue Geräteidentitäten — sie fälschen Canvas, WebGL, Schriftarten, Audio und Dutzende weiterer Signale des Browser-Fingerprinting.
Was sind Anti-Detect-Browser?
Anti-Detect-Browser sind modifizierte Chromium- (oder Firefox-)Builds, die jedes Browser-Profil wie ein völlig anderes Gerät erscheinen lassen sollen. Sie werden eingesetzt, um mehrere Konten auf Plattformen zu verwalten, die eine Ein-Konto-pro-Person-Richtlinie durchsetzen, für Werbebetrug über mehrere Werbekonten hinweg, für Affiliate-Marketing-Betrug und für Web Scraping in großem Maßstab.
Die drei dominierenden Anbieter in diesem Markt sind Multilogin, GoLogin und Dolphin Anty.
Wie Multilogin funktioniert
Multilogin ist die Option für Unternehmen. Es liefert zwei eigene Browser-Engines aus: Mimic (Chromium-basiert) und Stealthfox (Firefox-basiert). Jedes Profil erhält eine einzigartige Kombination aus Canvas-Rauschen, WebGL-Parametern, Schriftlisten, Bildschirmauflösung, Zeitzone, Sprache und WebRTC-Einstellungen.
Die zentrale Innovation von Multilogin ist die deterministische Injektion von Rauschen. Statt dem Canvas-Rendering zufälliges Rauschen hinzuzufügen (was selbst ein erkennbares Muster ist), wendet Multilogin auf jedes Profil eine konsistente Transformation an. Dasselbe Profil erzeugt stets denselben Canvas-Hash, sodass es für naive Fingerprinting-Systeme wie ein echtes Gerät aussieht.
Wie GoLogin funktioniert
GoLogin zielt mit seinem Orbita-Browser auf den mittleren Markt. Es ist günstiger als Multilogin und bietet ähnliche Fälschungsfunktionen: Canvas, WebGL, Schriftarten, Zeitzone, Geolokalisierung und Proxy-Integration.
GoLogins Ansatz zur Fingerprint-Fälschung ist weniger ausgefeilt als der von Multilogin. Das Canvas-Rauschen ist tendenziell einheitlicher über Profile hinweg, und einige WebGL-Parameterkombinationen passen zu keiner echten Hardware. Das schafft Erkennungsmöglichkeiten.
Wie Dolphin Anty funktioniert
Dolphin Anty dominiert den Affiliate-Marketing-Bereich. Es bietet Funktionen zur Teamzusammenarbeit — Profile können unter Teammitgliedern geteilt werden, was für Agenturen nützlich ist, die Hunderte von Werbekonten verwalten.
Erkennungstechniken
Analyse von Canvas-Inkonsistenzen
Anti-Detect-Browser fälschen die Canvas-Ausgabe, doch die Fälschung verrät sich durch statistische Analyse. Echte GPUs erzeugen Canvas-Ausgaben mit konsistenten Sub-Pixel-Rendering-Mustern, die mit dem aus WebGL angegebenen GPU-Modell korrelieren. Anti-Detect-Browser injizieren Rauschen in die Canvas-Ausgabe, doch das Rauschmuster passt nicht zu dem, was eine echte GPU erzeugen würde.
Wir berechnen die Shannon-Entropie von Pixel-Nachbarschaften und vergleichen sie mit bekannten GPU-Rendering-Profilen. Eine echte NVIDIA GeForce RTX 3060 erzeugt Canvas-Ausgaben mit einer bestimmten Entropie-Signatur. Der Mimic-Browser von Multilogin erzeugt Canvas-Ausgaben mit leicht höherer Entropie aufgrund der Rausch-Injektion. Dieser Unterschied ist klein — weniger als 0.3 Bit pro Pixel-Nachbarschaft — aber er ist konsistent und messbar.
WebGL-Parameter-Diskrepanz
WebGL legt detaillierte Informationen über die GPU offen: Vendor-String, Renderer-String, unterstützte Erweiterungen, maximale Texturgröße und Präzisionsformate. Anti-Detect-Browser lassen Nutzer GPU-Profile auswählen, doch die Kombinationen ergeben nicht immer Sinn. Ein Profil, das vorgibt, eine Intel UHD 630 zu sein, aber maximale Texturgrößen meldet, die nur AMD-GPUs unterstützen, ist verdächtig. Wir pflegen eine Datenbank gültiger Parameterkombinationen für jede wichtige GPU der letzten zehn Jahre.
Inkonsistenzen bei Navigator-Eigenschaften
Das navigator-Objekt meldet Eigenschaften, die intern konsistent sein sollten. hardwareConcurrency (CPU-Kerne), deviceMemory, platform und userAgent sollten alle eine kohärente Geschichte über das Gerät erzählen. Anti-Detect-Browser erzeugen manchmal unmögliche Kombinationen: einen Windows User Agent mit einer Linux-Plattform oder 32GB Speicher mit 2 CPU-Kernen. Wir prüfen 47 Konsistenzregeln zwischen Eigenschaften.
Anomalien im Font-Rendering
Das Font-Rendering wird vom Betriebssystem, der Font-Rendering-Engine und den verfügbaren Schriftarten bestimmt. Anti-Detect-Browser können eigene Schriftlisten injizieren, aber sie können nicht perfekt nachbilden, wie ein anderes Betriebssystem diese Schriftarten rendert. Wir rendern bestimmte Glyphen und analysieren Abmessungen der Bounding Box, Advance Widths und Kerning-Paare. Ein Windows-Rechner erzeugt beim Textrendering subtil andere Metriken als ein Mac, selbst bei derselben Schriftart.
Timing-Analyse
Fingerprint-Fälschung kostet Zeit. Jeder gefälschte API-Aufruf fügt gegenüber nativer Ausführung einen kleinen, aber messbaren Overhead hinzu. Wir messen die Ausführungszeit von 12 zentralen API-Aufrufen und vergleichen sie mit den erwarteten Bereichen für die angegebene Hardware. Auf einem echten Gerät dauert canvas.toDataURL() 2-8ms. Mit Rausch-Injektion dauert es 8-20ms.
Artefakte von Automatisierungs-Frameworks
Viele Anti-Detect-Browser hinterlassen Spuren ihrer Automatisierungsinfrastruktur. Eigene Chromium-Builds können nicht standardmäßige Eigenschaften an den navigator- oder window-Objekten offenlegen. Wir prüfen auf über 200 bekannte Automatisierungsartefakte, darunter CDP-Spuren, Puppeteer-spezifische Eigenschaften und eigene Eigenschaften, die von GoLogins Orbita-Browser injiziert werden.
Der polymorphe Vorteil
Erkennungslogik in statischem JavaScript ist anfällig für Reverse Engineering. Das polymorphe Skript von tracio.ai löst dies. Jeder Besucher erhält einzigartiges JavaScript — dieselben Prüfungen, aber mit anderen Variablennamen, anderen Ausführungsreihenfolgen, anderen Codestrukturen. Ein Anti-Detect-Anbieter müsste jede Variante per Reverse Engineering knacken, was wirtschaftlich nicht tragbar ist.
Beispiel einer API-Antwort
Wenn tracio.ai einen Anti-Detect-Browser erkennt, enthält die API-Antwort spezifische Signale:
Das antiDetectBrowser-Signal enthält die erkannte Familie (Multilogin, GoLogin oder Dolphin Anty), die spezifische Engine-Variante und die Indikatoren, die die Erkennung ausgelöst haben — etwa canvas_entropy_anomaly, webgl_param_mismatch und timing_deviation.
Empfehlungen
Wenn Multi-Accounting oder Affiliate-Betrug für Ihre Plattform ein Problem ist:
- Implementieren Sie Device-Fingerprinting bei Registrierung, Login und wichtigen Conversion-Events
- Aktivieren Sie die Erkennung von Anti-Detect-Browsern
- Nutzen Sie die Verdict Engine, um BLOCK- und CHALLENGE-Entscheidungen zu automatisieren
- Überwachen Sie neue Umgehungstechniken — die Anti-Detect-Landschaft entwickelt sich monatlich weiter
Starten Sie mit dem Free-Tarif von tracio.ai
, um zu sehen, wie Ihr aktueller Anti-Detect-Browser-Traffic aussieht. Die meisten Plattformen sind vom Umfang überrascht.