Como detectar navegadores anti-detecção (Multilogin, GoLogin, Dolphin Anty)
Análise técnica aprofundada de como funcionam os navegadores anti-detecção, por que são usados para fraude e as técnicas de detecção que os identificam.
Os navegadores anti-detecção são a ferramenta de evasão mais sofisticada no arsenal de um fraudador. Ao contrário das VPNs ou das cadeias de proxy, que apenas mascaram endereços IP, os navegadores anti-detecção criam identidades de dispositivo inteiramente novas — falsificando canvas, WebGL, fontes, áudio e dezenas de outros sinais de impressão digital do navegador.
O que são navegadores anti-detecção?
Os navegadores anti-detecção são versões modificadas do Chromium (ou Firefox) projetadas para fazer cada perfil de navegador parecer um dispositivo completamente diferente. Eles são usados para gerenciar múltiplas contas em plataformas que impõem políticas de uma conta por pessoa, para fraude de anúncios em várias contas de publicidade, para fraude de marketing de afiliados e para web scraping em escala.
Os três players dominantes nesse mercado são Multilogin, GoLogin e Dolphin Anty.
Como funciona o Multilogin
O Multilogin é a opção de nível empresarial. Ele traz dois mecanismos de navegador personalizados: Mimic (baseado em Chromium) e Stealthfox (baseado em Firefox). Cada perfil recebe uma combinação única de ruído de canvas, parâmetros de WebGL, listas de fontes, resolução de tela, fuso horário, idioma e configurações de WebRTC.
A principal inovação do Multilogin é a injeção determinística de ruído. Em vez de adicionar ruído aleatório à renderização do canvas (o que é, por si só, um padrão detectável), o Multilogin aplica uma transformação consistente a cada perfil. O mesmo perfil sempre produz o mesmo hash de canvas, fazendo com que pareça um dispositivo real para sistemas de impressão digital ingênuos.
Como funciona o GoLogin
O GoLogin mira no mercado intermediário com seu navegador Orbita. É mais acessível que o Multilogin e oferece capacidades de falsificação semelhantes: canvas, WebGL, fontes, fuso horário, geolocalização e integração com proxy.
A abordagem do GoLogin para a falsificação de impressões digitais é menos sofisticada que a do Multilogin. O ruído de canvas tende a ser mais uniforme entre os perfis, e algumas combinações de parâmetros de WebGL não correspondem a nenhum hardware real. Isso cria oportunidades de detecção.
Como funciona o Dolphin Anty
O Dolphin Anty domina o espaço do marketing de afiliados. Ele oferece recursos de colaboração em equipe — os perfis podem ser compartilhados entre membros da equipe, o que é útil para agências que gerenciam centenas de contas de anúncios.
Técnicas de detecção
Análise de inconsistência de canvas
Os navegadores anti-detecção falsificam a saída do canvas, mas a falsificação se revela por meio de análise estatística. GPUs reais produzem saída de canvas com padrões consistentes de renderização de subpixels que se correlacionam com o modelo de GPU declarado pelo WebGL. Os navegadores anti-detecção injetam ruído na saída do canvas, mas o padrão de ruído não corresponde ao que qualquer GPU real produziria.
Calculamos a entropia de Shannon das vizinhanças de pixels e a comparamos com perfis conhecidos de renderização de GPU. Uma NVIDIA GeForce RTX 3060 real produz saída de canvas com uma assinatura de entropia específica. O navegador Mimic do Multilogin produz saída de canvas com entropia ligeiramente mais alta devido à injeção de ruído. Essa diferença é pequena — menos de 0,3 bit por vizinhança de pixels — mas é consistente e mensurável.
Incompatibilidade de parâmetros de WebGL
O WebGL expõe informações detalhadas sobre a GPU: string do fabricante, string do renderizador, extensões suportadas, tamanho máximo de textura e formatos de precisão. Os navegadores anti-detecção permitem que os usuários selecionem perfis de GPU, mas as combinações nem sempre fazem sentido. Um perfil que afirma ser uma Intel UHD 630, mas relata valores de tamanho máximo de textura que apenas GPUs AMD suportam, é suspeito. Mantemos um banco de dados de combinações válidas de parâmetros para cada GPU importante lançada na última década.
Inconsistências nas propriedades do navigator
O objeto navigator relata propriedades que deveriam ser internamente consistentes. hardwareConcurrency (núcleos de CPU), deviceMemory, platform e userAgent deveriam todos contar uma história coerente sobre o dispositivo. Os navegadores anti-detecção às vezes criam combinações impossíveis: um user agent do Windows com uma platform Linux, ou 32 GB de memória com 2 núcleos de CPU. Verificamos 47 regras de consistência entre propriedades.
Anomalias na renderização de fontes
A renderização de fontes é determinada pelo sistema operacional, pelo mecanismo de renderização de fontes e pelas fontes disponíveis. Os navegadores anti-detecção podem injetar listas de fontes personalizadas, mas não conseguem replicar perfeitamente como um sistema operacional diferente renderiza essas fontes. Renderizamos glifos específicos e analisamos as dimensões da caixa delimitadora, as larguras de avanço e os pares de kerning. Uma máquina Windows renderizando texto produz métricas sutilmente diferentes de um Mac, mesmo para a mesma fonte.
Análise de timing
A falsificação de impressões digitais leva tempo. Cada chamada de API falsificada adiciona uma sobrecarga pequena, mas mensurável, em comparação com a execução nativa. Medimos o tempo de execução de 12 chamadas de API essenciais e as comparamos com os intervalos esperados para o hardware alegado. Em um dispositivo real, canvas.toDataURL() leva de 2 a 8 ms. Com injeção de ruído, leva de 8 a 20 ms.
Artefatos de frameworks de automação
Muitos navegadores anti-detecção deixam vestígios de sua infraestrutura de automação. Versões personalizadas do Chromium podem expor propriedades não padronizadas nos objetos navigator ou window. Verificamos mais de 200 artefatos de automação conhecidos, incluindo vestígios de CDP, propriedades específicas do Puppeteer e propriedades personalizadas injetadas pelo navegador Orbita do GoLogin.
A vantagem polimórfica
A lógica de detecção em JavaScript estático é vulnerável à engenharia reversa. O script polimórfico da tracio.ai resolve isso. Cada visitante recebe um JavaScript único — as mesmas verificações, mas com nomes de variáveis diferentes, ordens de execução diferentes, estruturas de código diferentes. Um fornecedor de anti-detecção precisaria fazer engenharia reversa de cada variação, o que é economicamente inviável.
Exemplo de resposta da API
Quando a tracio.ai detecta um navegador anti-detecção, a resposta da API inclui sinais específicos:
O sinal antiDetectBrowser inclui a família detectada (Multilogin, GoLogin ou Dolphin Anty), a variante específica do mecanismo e os indicadores que dispararam a detecção — como canvas_entropy_anomaly, webgl_param_mismatch e timing_deviation.
Recomendações
Se multicontas ou fraude de afiliados forem um problema para a sua plataforma:
- Implemente impressão digital de dispositivo no cadastro, no login e nos principais eventos de conversão
- Ative a detecção de navegadores anti-detecção
- Use o Verdict Engine para automatizar decisões de BLOCK e CHALLENGE
- Monitore novas técnicas de evasão — o cenário de anti-detecção evolui todo mês
Comece com o plano gratuito da tracio.ai
para ver como é o seu tráfego atual de navegadores anti-detecção. A maioria das plataformas se surpreende com o volume.