Come rilevare i browser anti-rilevamento (Multilogin, GoLogin, Dolphin Anty)
Approfondimento tecnico su come funzionano i browser anti-rilevamento, perché vengono usati per le frodi e le tecniche di rilevamento che li individuano.
I browser anti-rilevamento sono lo strumento di evasione più sofisticato nell'arsenale di un truffatore. A differenza delle VPN o delle catene di proxy che mascherano solo gli indirizzi IP, i browser anti-rilevamento creano identità di dispositivo completamente nuove — falsificando canvas, WebGL, font, audio e decine di altri segnali di fingerprinting del browser.
Cosa sono i browser anti-rilevamento?
I browser anti-rilevamento sono build modificate di Chromium (o Firefox) progettate per far apparire ogni profilo del browser come un dispositivo completamente diverso. Vengono usati per gestire più account su piattaforme che impongono politiche di un-account-per-persona, per frodi pubblicitarie su più account advertising, per frodi nel marketing di affiliazione e per lo scraping web su larga scala.
I tre attori dominanti di questo mercato sono Multilogin, GoLogin e Dolphin Anty.
Come funziona Multilogin
Multilogin è l'opzione di livello enterprise. Distribuisce due motori browser personalizzati: Mimic (basato su Chromium) e Stealthfox (basato su Firefox). Ogni profilo riceve una combinazione unica di rumore del canvas, parametri WebGL, elenchi di font, risoluzione dello schermo, fuso orario, lingua e impostazioni WebRTC.
L'innovazione chiave di Multilogin è l'iniezione deterministica del rumore. Anziché aggiungere rumore casuale al rendering del canvas (di per sé un pattern rilevabile), Multilogin applica una trasformazione costante a ciascun profilo. Lo stesso profilo produce sempre lo stesso hash del canvas, facendolo apparire come un dispositivo reale ai sistemi di fingerprinting ingenui.
Come funziona GoLogin
GoLogin punta alla fascia media del mercato con il suo browser Orbita. È più economico di Multilogin e offre capacità di falsificazione simili: canvas, WebGL, font, fuso orario, geolocalizzazione e integrazione con i proxy.
L'approccio di GoLogin alla falsificazione dei fingerprint è meno sofisticato di quello di Multilogin. Il rumore del canvas tende a essere più uniforme tra i profili e alcune combinazioni di parametri WebGL non corrispondono ad alcun hardware reale. Questo crea opportunità di rilevamento.
Come funziona Dolphin Anty
Dolphin Anty domina il settore del marketing di affiliazione. Offre funzionalità di collaborazione di team — i profili possono essere condivisi tra i membri del team, il che è utile per le agenzie che gestiscono centinaia di account pubblicitari.
Tecniche di rilevamento
Analisi delle incoerenze del canvas
I browser anti-rilevamento falsificano l'output del canvas, ma la falsificazione si rivela attraverso l'analisi statistica. Le GPU reali producono un output del canvas con pattern di rendering sub-pixel coerenti che si correlano al modello di GPU dichiarato da WebGL. I browser anti-rilevamento iniettano rumore nell'output del canvas, ma il pattern del rumore non corrisponde a ciò che produrrebbe una GPU reale.
Calcoliamo l'entropia di Shannon dei vicinati di pixel e la confrontiamo con profili di rendering di GPU noti. Una vera NVIDIA GeForce RTX 3060 produce un output del canvas con una specifica firma entropica. Il browser Mimic di Multilogin produce un output del canvas con un'entropia leggermente più alta a causa dell'iniezione di rumore. Questa differenza è piccola — meno di 0,3 bit per vicinato di pixel — ma è costante e misurabile.
Discrepanza dei parametri WebGL
WebGL espone informazioni dettagliate sulla GPU: stringa del vendor, stringa del renderer, estensioni supportate, dimensione massima delle texture e formati di precisione. I browser anti-rilevamento consentono agli utenti di selezionare profili di GPU, ma le combinazioni non hanno sempre senso. Un profilo che dichiara di essere una Intel UHD 630 ma riporta valori di dimensione massima delle texture supportati solo dalle GPU AMD è sospetto. Manteniamo un database di combinazioni di parametri valide per ogni GPU importante rilasciata nell'ultimo decennio.
Incoerenze delle proprietà di navigator
L'oggetto navigator riporta proprietà che dovrebbero essere internamente coerenti. hardwareConcurrency (core della CPU), deviceMemory, platform e userAgent dovrebbero tutti raccontare una storia coerente sul dispositivo. I browser anti-rilevamento a volte creano combinazioni impossibili: uno user agent Windows con una platform Linux, o 32GB di memoria con 2 core di CPU. Verifichiamo 47 regole di coerenza tra proprietà.
Anomalie del rendering dei font
Il rendering dei font è determinato dal sistema operativo, dal motore di rendering dei font e dai font disponibili. I browser anti-rilevamento possono iniettare elenchi di font personalizzati, ma non possono replicare perfettamente il modo in cui un diverso sistema operativo renderizza quei font. Renderizziamo glifi specifici e analizziamo le dimensioni del bounding box, le larghezze di avanzamento e le coppie di crenatura. Una macchina Windows che renderizza del testo produce metriche leggermente diverse rispetto a un Mac, anche per lo stesso font.
Analisi delle tempistiche
La falsificazione dei fingerprint richiede tempo. Ogni chiamata API falsificata aggiunge un overhead piccolo ma misurabile rispetto all'esecuzione nativa. Misuriamo il tempo di esecuzione di 12 chiamate API chiave e lo confrontiamo con gli intervalli attesi per l'hardware dichiarato. Su un dispositivo reale, canvas.toDataURL() impiega 2-8ms. Con l'iniezione di rumore, impiega 8-20ms.
Artefatti dei framework di automazione
Molti browser anti-rilevamento lasciano tracce della loro infrastruttura di automazione. Le build personalizzate di Chromium possono esporre proprietà non standard sugli oggetti navigator o window. Verifichiamo oltre 200 artefatti di automazione noti, incluse tracce CDP, proprietà specifiche di Puppeteer e proprietà personalizzate iniettate dal browser Orbita di GoLogin.
Il vantaggio polimorfico
La logica di rilevamento in JavaScript statico è vulnerabile al reverse engineering. Lo script polimorfico di tracio.ai risolve questo problema. Ogni visitatore riceve un JavaScript unico — gli stessi controlli, ma con nomi di variabili diversi, ordini di esecuzione diversi, strutture di codice diverse. Un fornitore di browser anti-rilevamento dovrebbe decodificare ogni variazione, il che è economicamente insostenibile.
Esempio di risposta API
Quando tracio.ai rileva un browser anti-rilevamento, la risposta API include segnali specifici:
Il segnale antiDetectBrowser include la famiglia rilevata (Multilogin, GoLogin o Dolphin Anty), la specifica variante del motore e gli indicatori che hanno attivato il rilevamento — come canvas_entropy_anomaly, webgl_param_mismatch e timing_deviation.
Raccomandazioni
Se il multi-account o le frodi di affiliazione sono un problema per la sua piattaforma:
- Implementi il fingerprinting del dispositivo alla registrazione, al login e agli eventi di conversione chiave
- Attivi il rilevamento dei browser anti-rilevamento
- Usi il Verdict Engine per automatizzare le decisioni BLOCK e CHALLENGE
- Monitori le nuove tecniche di evasione — il panorama anti-rilevamento evolve ogni mese
Inizi con il piano gratuito di tracio.ai
per vedere che aspetto ha attualmente il traffico dei browser anti-rilevamento sulla sua piattaforma. La maggior parte delle piattaforme resta sorpresa dal volume.