A partilha de conta é a forma de abuso de primeira parte mais tolerada nas plataformas de subscrição. A maioria das equipas de produto e fraude sabe que está a acontecer. A maioria não tem as evidências para agir com confiança em escala. A detecção não é a parte difícil. A contagem de sessões simultâneas, os sinais de contagem de dispositivos e as anomalias geográficas podem sinalizar contas que provavelmente estão a ser partilhadas. A parte difícil é a lacuna entre sinalizar e agir: que evidências tem de que o sinal está correcto, como executa sem gerar falsos positivos que frustram utilizadores legítimos, e o que acontece quando um titular de conta disputa a acção de execução?
Os limites de sessões simultâneas abordam o caso mais óbvio: dois logins simultâneos de endereços IP diferentes na mesma conta. Não distinguem entre um único utilizador num laptop e num telemóvel e duas pessoas diferentes a partilhar credenciais. Não lhe dizem qual dispositivo pertence ao titular da conta e qual pertence ao utilizador não autorizado. Não produzem evidências que suportem uma acção de execução dos termos de serviço ou que defendam um chargeback subsequente se o titular da conta disputar a restrição.
Este artigo explica o que a contagem de sessões simultâneas captura e onde deixa de ser suficiente, o que o device fingerprinting acrescenta, e como as evidências da camada de browser transformam a detecção de partilha de conta de um sinal num achado executável.
O que é realmente a partilha de conta e o que não é
Resposta rápida: A partilha de conta significa uma única conta paga acedida por múltiplas pessoas reais que não pagaram pelo acesso individual. É distinta do uso de múltiplos dispositivos por um único utilizador, que é legítimo, e do multi-accounting, onde uma pessoa controla múltiplas contas. O desafio de detecção é que os três geram sinais de sessão semelhantes. Distinguir a partilha de conta do uso legítimo de múltiplos dispositivos requer evidências ao nível do dispositivo, não apenas contagens de sessão.
Três padrões geram sinais sobrepostos ao nível da sessão, e confundi-los produz tanto falsos positivos como falsos negativos.
O primeiro é o uso de múltiplos dispositivos por um único utilizador, que é inteiramente legítimo. Um utilizador que trabalha num laptop durante o dia e lê no telemóvel à noite gera sessões simultâneas ou quase simultâneas de dois dispositivos diferentes e potencialmente dois endereços IP diferentes. Se viajarem, essas sessões aparecem de cidades diferentes. Este padrão parece partilha de conta em qualquer sinal que dependa puramente da diversidade de IP ou concorrência de sessões.
O segundo é a partilha genuína de conta: duas ou mais pessoas reais a aceder à mesma conta com credenciais partilhadas. O titular da conta partilha o seu nome de utilizador e palavra-passe com um familiar, colega ou amigo. Cada pessoa usa o seu próprio dispositivo, da sua própria localização, no seu próprio browser. As sessões são genuinamente distintas ao nível do dispositivo e da rede. Os dispositivos têm fingerprints diferentes. As sessões ocorrem em contextos geográficos diferentes. Os padrões de uso reflectem o comportamento de duas pessoas diferentes, não de uma pessoa em dois dispositivos.
O terceiro é o roubo de credenciais: um atacante que obteve as credenciais do titular da conta e está a aceder à conta simultaneamente ou alternadamente com o titular legítimo. Os sinais ao nível da sessão são semelhantes à partilha de conta, mas a implicação de risco é muito diferente: o roubo de credenciais é um vector de tomada de conta, não uma violação dos termos de serviço.
Os limites de sessões simultâneas tratam os três padrões identicamente: actuam quando o limiar é excedido, independentemente do motivo. A execução baseada apenas em sinais de sessão simultânea produz falsos positivos contra utilizadores legítimos de múltiplos dispositivos, falha em distinguir a partilha de conta do roubo de credenciais, e não fornece evidências para suportar a acção de execução se o titular da conta a disputar.
Onde a detecção de sessões simultâneas deixa de ser suficiente
Resposta rápida: Os limites de sessão funcionam contra a partilha de conta que é simultânea, de alto volume, e que não faz qualquer tentativa de ficar dentro do limite. A partilha de credenciais moderna raramente é tão simples. O uso escalonado na mesma conta nunca acciona um limite de sessão simultânea. A partilha geográfica entre membros do mesmo agregado familiar parece idêntica ao acesso distribuído de um único utilizador. Qualquer execução baseada puramente na concorrência gera demasiados falsos positivos para ser operacionalmente gerível em escala.
O mecanismo de um limite de sessão simultânea é simples: se mais de N sessões estiverem activas na mesma conta ao mesmo tempo, a sessão mais antiga é terminada ou um novo login é bloqueado. Isso funciona quando todos os utilizadores da conta partilhada estão activos simultaneamente e quando não é feita qualquer tentativa de evitar o limite.
Na prática, a partilha de conta raramente é tão sofisticada. Duas pessoas que partilham uma subscrição frequentemente não a usam ao mesmo tempo. Um agregado familiar partilha uma plataforma SaaS entre dois membros da equipa que trabalham em horários diferentes, ou uma subscrição de streaming usada alternadamente por pessoas diferentes em divisões diferentes. As sessões são sequenciais, não simultâneas. Nenhum limite de sessão simultânea é alguma vez accionado.
A distribuição geográfica cria um problema de falso positivo. Um único utilizador que trabalha num escritório, usa a mesma conta de casa à noite e ocasionalmente viaja gera sessões de múltiplas cidades. Este padrão acciona sinais de anomalia geográfica mas é inteiramente legítimo. Uma acção de execução baseada apenas em sinais de diversidade geográfica afectaria uma grande população de utilizadores genuinamente legítimos cuja única característica distintiva é que usam a sua conta em mais de um lugar.
A partilha com escalonamento temporal é particularmente difícil para qualquer mecanismo de detecção que dependa da sobreposição de sessões. Se duas pessoas que partilham uma conta nunca fazem login ao mesmo tempo, não há sessão simultânea para detectar. A única evidência de que a conta está a ser partilhada é o histórico de fingerprint de dispositivo: dois perfis de dispositivo distintos a aparecer no histórico de sessões da conta, cada um mostrando padrões de uso solo consistentes mas nunca sobrepostos.
O risco de falso positivo é a barreira operacional que impede a maioria das plataformas de agir agressivamente nos sinais de partilha de conta. Terminar uma sessão ou restringir uma conta afecta clientes reais. Cada acção de execução baseada num falso positivo gera tickets de suporte, reclamações nas redes sociais e potencial churn. Sem evidências de que o sinal está correcto, a execução agressiva não é operacionalmente viável.
O que o device fingerprinting acrescenta à detecção de partilha de conta
Resposta rápida: O device fingerprinting expande o sinal da contagem de sessões para a identidade do dispositivo. Uma conta acedida por dois fingerprints de dispositivo distintos que não se enquadram no padrão de múltiplos dispositivos de um único utilizador, classes de hardware diferentes, configurações de browser diferentes, contextos geográficos diferentes que não se correlacionam com a localização principal do titular da conta, é um sinal de partilha de conta muito mais forte do que as sessões simultâneas por si só. O fingerprinting também constrói um histórico de dispositivos reconhecidos para cada conta, tornando detectável ao longo do tempo o acesso de novo dispositivo a partir de um contexto inesperado.
Um fingerprint de dispositivo captura as características de hardware e software do browser e dispositivo numa sessão: resolução de ecrã, renderer da GPU, conjunto de fontes, comportamento de renderização de canvas, características de contexto de áudio, configuração de plugins de browser, e dezenas de outros atributos. Estas características são mais estáveis e mais informativas do que um endereço IP e mais informativas do que uma contagem de sessões.
Para a detecção de partilha de conta, o output principal é um histórico de perfil de dispositivo por conta: quais as configurações de dispositivo distintas que acederam a esta conta, em que localizações, a que horas, e com que padrões de uso. Um único utilizador com um laptop e um telemóvel tem dois dispositivos, mas esses dispositivos tendem a ser usados em contextos relacionados, a mesma rede doméstica, o mesmo itinerário de viagem, e os padrões de uso nos dois dispositivos reflectem o comportamento de uma única pessoa.
Duas pessoas reais que partilham uma conta produzem um histórico de dispositivos com dois perfis distintos que têm contextos geográficos independentes, timing de uso independente e padrões de interacção independentes. A rede doméstica de um utilizador não é a rede doméstica do outro. As alturas em que cada um está activo não se correlacionam da forma que esperaríamos para o uso de múltiplos dispositivos de uma única pessoa. O conteúdo ou funcionalidades acedidas por cada um reflecte as preferências e fluxos de trabalho de duas pessoas diferentes.
Esta distinção não é visível nos dados de contagem de sessões. É visível no histórico de fingerprint de dispositivo quando esse histórico é mantido e analisado ao longo de uma janela de tempo suficiente. Uma conta com dois perfis de dispositivo distintos, cada um mostrando uso independente consistente que não se correlaciona, é um sinal de partilha de conta de muito maior confiança do que duas sessões ao mesmo tempo.
Na análise de dispositivos ao nível da conta da cside, o padrão que mais distingue de forma fiável o acesso de múltiplos dispositivos de um único utilizador da partilha genuína de credenciais é a independência geográfica dos perfis de dispositivo ao longo do tempo. Os dispositivos de um único utilizador tendem a partilhar a mesma rede doméstica, o mesmo itinerário de viagem e o timing de sessão correlacionado. Duas pessoas que partilham uma conta geram perfis de dispositivo com históricos de localização genuinamente independentes e períodos activos não sobrepostos que se tornam claramente distinguíveis após uma janela de observação de 14 dias.
O uso de anti-detect browser é uma contra-medida que alguns utilizadores sofisticados de partilha de conta empregam para evitar a detecção de fingerprint de dispositivo: partilhar credenciais juntamente com instruções para usar um perfil de browser específico ou VPN. A monitorização de camada de browser da cside detecta o próprio anti-detect browser, que é em si mesmo um sinal anómalo num contexto de subscrição de consumidor. Um utilizador que executa um anti-detect browser para aceder a uma plataforma SaaS ou subscrição de media não é um padrão de uso normal.
Mais sobre o device fingerprinting e análise de sessão ao nível da conta da cside.
O que as evidências da camada de browser permitem para a execução
Resposta rápida: A detecção identifica contas que provavelmente estão a ser partilhadas. A execução requer evidências que possam justificar uma acção nos termos de serviço, resistir a uma disputa do cliente, e onde relevante defender um chargeback apresentado após a execução. As evidências da camada de browser fornecem um registo estruturado dos perfis de dispositivo que acederam a uma conta, os seus históricos de sessão, e os sinais que distinguem o acesso partilhado do uso legítimo de múltiplos dispositivos.
A lacuna entre detecção e execução é a maior barreira operacional que a maioria das equipas enfrenta na partilha de conta. Sinalizar uma conta como provavelmente partilhada é uma operação de baixo custo. Contactar o titular da conta, restringir o acesso, ou converter a conta para um plano pago multi-utilizador requer confiança de que o sinal está correcto. Agir num falso positivo significa tomar uma acção de execução contra um cliente pagante que não fez nada de errado.
As evidências da camada de browser mudam o cálculo de confiança. Em vez de uma regra que foi accionada com base num limiar de sessão simultânea ou numa contagem de diversidade geográfica, a equipa de fraude ou produto tem um registo estruturado: esta conta foi acedida por dois fingerprints de dispositivo distintos nos últimos 30 dias, o dispositivo A aparece consistentemente da localização X com padrões de uso consistentes com o tipo de utilizador A, e o dispositivo B aparece consistentemente da localização Y com padrões de uso consistentes com o tipo de utilizador B, e os dois nunca aparecem em janelas activas sobrepostas. Esse registo suporta uma acção de execução com um grau de confiança que uma contagem de sessões não suporta.
A execução gradual é a abordagem operacionalmente recomendada quando a qualidade das evidências melhora. O primeiro passo é o contacto: uma notificação ao titular da conta de que a conta parece estar a ser acedida a partir de múltiplos dispositivos e ambientes distintos, com um convite para rever o acesso à conta ou para fazer upgrade para um plano multi-utilizador. Muitos utilizadores que partilham convertem neste passo sem que seja necessária qualquer acção de execução. O próprio contacto é evidência de que a plataforma está ciente e a monitorizar.
O segundo passo é a restrição: limitar o acesso ao dispositivo principal ou requerer re-autenticação quando um perfil de dispositivo secundário aparece. Isso ainda é reversível se o titular da conta demonstrar que o dispositivo secundário é legitimamente seu.
O terceiro passo é a execução: suspensão de conta, downgrade de plano, ou conversão obrigatória para um arranjo multi-licença. Nesta fase, o titular da conta pode disputar a acção com o seu emissor de cartão se sentir que a restrição foi injustificada. As evidências de sessão da camada de browser suportam a decisão de execução: o registo mostra diversidade de perfil de dispositivo e padrões de uso independentes que estabelecem a partilha de conta como a explicação mais provável.
A ligação com a defesa de chargeback importa em mercados de subscrição de alto valor. Um subscritor que é restringido após detecção de partilha de conta pode disputar os débitos de subscrição do período anterior. As evidências de sessão da camada de browser que demonstram diversidade de dispositivos e padrões de uso independentes podem ser submetidas como parte da resposta à disputa, documentando por que a restrição foi tomada e estabelecendo que a subscrição estava a ser usada por mais de uma pessoa.
O que isso significa para as plataformas de SaaS e media
Resposta rápida: As plataformas de SaaS e media têm a maior exposição financeira à partilha de conta: uma licença SaaS partilhada é uma venda de licença perdida; uma subscrição partilhada é uma subscrição perdida. A detecção de partilha de conta da cside identifica contas acedidas por múltiplos perfis de dispositivo distintos, fornece evidências ao nível da sessão para suportar a execução, e encaminha casos limítrofes para revisão em vez de acção automática. O output integra-se com os fluxos de trabalho existentes de gestão de subscrições e execução de termos de serviço.
O impacto de receita da partilha de conta é mais directo em SaaS por licença e media de subscrição. Uma licença SaaS partilhada significa que a plataforma está a fornecer o valor de duas licenças pelo preço de uma. Ao longo de um período de contrato, isso é uma oportunidade de upsell perdida em cada licença partilhada na base de clientes. Para as plataformas de media, as dinâmicas demonstradas pelos principais serviços de streaming nos últimos anos ilustram tanto a escala do problema como a recuperação de receita disponível quando a partilha é abordada com evidências adequadas e estratégia de execução.
O ângulo de conversão importa tanto quanto o ângulo de execução. Muitos utilizadores que partilham, quando contactados com evidências claras de que a plataforma detectou acesso de múltiplos dispositivos e convidados a fazer upgrade para um plano multi-utilizador, converterão em vez de disputar. A conversão é receita; a disputa é custo. O contacto baseado em evidências que apresenta o registo de acesso de dispositivos, aqui está o que vemos, aqui está o custo da opção multi-utilizador, aqui está como fazer upgrade, converte uma maior proporção de utilizadores detectados que partilham do que uma acção de execução abrupta.
A calibração do limiar é importante porque nem todo o acesso de múltiplos dispositivos é partilha de conta. Uma subscrição pessoal com dois dispositivos é provavelmente um único utilizador. A mesma subscrição com cinco perfis de dispositivo distintos em quatro contextos geográficos diferentes ao longo de 30 dias é provavelmente partilhada. Os limiares de contagem de dispositivos e diversidade geográfica que distinguem estes casos são específicos da plataforma, e o output de pontuação de confiança da cside permite às equipas definir limiares que correspondem ao esperado conjunto de dispositivos de um único utilizador do produto.
A integração com os sistemas existentes de subscrição e facturação está concebida para ser leve. Os sinais de partilha de conta da cside alimentam o sinal de risco com que a equipa de fraude já actua. Para equipas de SaaS que usam ferramentas existentes de sucesso do cliente ou facturação para gerir a execução de planos, o registo de perfil de dispositivo é um input para esse fluxo de trabalho existente, não um sistema separado. A cside é certificada SOC 2. A documentação completa está em trust.cside.com.
