Como as Plataformas Detectam Contas Vinculadas

Como as Plataformas Detectam Contas Vinculadas

Métodos Modernos de Detecção

Hoje, o multiaccount é considerado um dos maiores desafios para plataformas nas quais os usuários podem obter uma 🔝 vantagem injusta ao criar várias contas, incluindo plataformas de anúncios, marketplaces, exchanges de criptomoedas, casas de apostas esportivas, cassinos online, redes sociais e muitas outras.

Existem diversos motivos pelos quais as pessoas criam várias contas. Elas podem ser usadas para contornar bloqueios, resgatar bônus várias vezes, gerenciar campanhas de anúncios, manipular avaliações e reviews ou realizar outras atividades. Dito isso, o multiaccount nem sempre é proibido. Algumas plataformas, como o Reddit, permitem que os usuários tenham várias contas, desde que elas não sejam usadas para votar em posts ou comentários.

Reddit Rules Dolphin Anty

No entanto, na maioria dos casos, é justamente o abuso que impulsiona o rápido desenvolvimento dos sistemas antifraude. O próprio tamanho do mercado de soluções antifraude mostra o quanto as empresas levam esse problema a sério. Segundo diferentes estimativas, esse mercado já movimenta dezenas de bilhões de dólares, enquanto os analistas da Grand View Research projetam 📈 um crescimento contínuo nos próximos anos.

Antifraud market Dolphin Anty
Previsão da Grand View Research, uma das principais empresas de pesquisa de mercado.

Ao mesmo tempo, a Meta, o Google e outras plataformas revelam muito pouco sobre o funcionamento de seus sistemas de detecção. E por um bom motivo: divulgar esses mecanismos internos tornaria muito mais fácil para agentes mal-intencionados encontrarem formas de contorná-los.

Como resultado, é impossível saber com certeza quais sinais específicos são usados na decisão de suspender uma determinada conta ou qual é o peso de cada um deles. Tudo o que sabemos hoje sobre os sistemas modernos de detecção vem de pesquisas públicas, patentes, documentação técnica, observações práticas de especialistas do setor e materiais publicados por empresas que desenvolvem soluções comerciais de antifraude.

Para os fins deste artigo, a última fonte é a mais relevante. Hoje existe toda uma indústria dedicada a ajudar bancos, empresas de fintech, marketplaces, plataformas de anúncios e negócios de iGaming a 🔎 detectar multiaccount e outros tipos de fraude.

Por exemplo, a SEON analisa não apenas o fingerprint do navegador, mas também padrões de comportamento do usuário, dados de pagamento, cookies, endereços IP e histórico de atividade para identificar contas vinculadas. A Sumsub também avalia padrões comportamentais e oferece seu próprio sistema de pontuação de risco. A SHIELD concentra-se em biometria comportamental, monitoramento contínuo de sessões e análise de clusters de dispositivos, enquanto a CrossClassify relaciona dispositivos e contas usando análise de grafos e modelos de machine learning.

Apesar das diferenças na implementação, todas essas soluções compartilham ☝️ um princípio fundamental: a detecção moderna há muito deixou de se basear apenas na verificação de Canvas, WebGL ou outros parâmetros isolados do fingerprint. Em vez disso, ela utiliza uma análise abrangente para estimar a probabilidade de que várias contas estejam sendo operadas pelo mesmo usuário.

O Que Realmente Significa “Contas Vinculadas”

Antes de falar sobre os métodos de detecção, é importante entender o que os sistemas modernos de antifraude realmente estão procurando. Imagine duas contas registradas na mesma plataforma. O sistema não está tentando responder perguntas como: “Elas têm o mesmo fingerprint de Canvas ou o mesmo User-Agent?”. O que realmente importa para os sistemas antifraude é o seguinte:

🤔 Qual é a probabilidade de que essas duas contas sejam operadas pela mesma pessoa?

Para responder a essa pergunta, o sistema coleta gradualmente dados que, à primeira vista, podem parecer desconexos. As contas estão sendo usadas no mesmo dispositivo? Estão conectadas pela mesma rede? As características dos navegadores são compatíveis? Os usuários interagem com a interface de forma semelhante? Os mesmos dados de pagamento estão sendo utilizados? Os padrões de registro, login e atividade seguem a mesma sequência? Os horários de atividade coincidem com frequência? Existem sinais indiretos de que contas diferentes fazem parte do mesmo padrão de comportamento?

Um único sinal em comum raramente é suficiente para provocar uma suspensão por si só. Mas quando vários desses sinais começam a coincidir, a probabilidade de que as contas estejam vinculadas aumenta significativamente.

É por isso que a ideia de que a segurança de uma conta depende apenas da qualidade do fingerprint do navegador já não corresponde à realidade. Embora o browser fingerprint continue sendo uma parte importante dos sistemas modernos de antifraude, ele é apenas uma das várias camadas utilizadas na avaliação de risco.

Neste artigo, vamos descobrir 🤓 os métodos modernos usados para detectar contas vinculadas e organizá-los em quatro camadas distintas. Isso ajudará você a entender melhor como os sistemas antifraude atuais funcionam e por que obter um resultado positivo em um verificador de fingerprint não significa necessariamente que o seu perfil não levantará suspeitas.

Camada 1: Fingerprint Estático

A detecção de multiaccount começa pelo 👣 fingerprint digital do navegador, que há muito tempo é considerado o principal método de identificação de dispositivos. Ele é formado pelos parâmetros que o navegador e o sistema operacional expõem automaticamente aos sites:

  • Canvas;
  • WebGL;
  • AudioContext;
  • User-Agent;
  • Fontes instaladas;
  • Resolução da tela;
  • Idioma e fuso horário;
  • Especificações de hardware;
  • Configurações do navegador e do sistema operacional.

A combinação dessas características e, mais importante, a consistência entre elas permite que as plataformas criem um perfil de usuário bastante único e detectem tentativas de falsificar todo o fingerprint.

As plataformas também verificam se as características informadas do dispositivo correspondem às suas capacidades reais. Por exemplo, o navegador pode afirmar que o usuário possui uma placa de vídeo moderna, enquanto o desempenho de renderização em Canvas ou WebGL é mais compatível com uma GPU integrada.

Essas inconsistências podem surgir devido ao uso de máquinas virtuais, emuladores, ferramentas de spoofing de fingerprint ou navegadores configurados de forma incorreta. Por esse motivo, os sistemas modernos de antifraude avaliam não apenas as características do dispositivo que estão sendo apresentadas, mas também se elas são compatíveis com o comportamento real do dispositivo.

Também ainda é muito comum ouvir que, se um verificador como o BrowserLeaks ou o BrowserScan mostra um bom resultado, o perfil está completamente seguro. Na prática, isso está longe de ser verdade.

BrowserScan Dolphin Anty
10% da pontuação foi descontada devido a uma incompatibilidade de fuso horário.

Um bom exemplo nessa camada é a atualização do Chrome M134. Em 2025, o navegador passou a adicionar automaticamente quatro novos cabeçalhos HTTP às requisições enviadas para os serviços do Google: X-Browser-Channel, X-Browser-Year, X-Browser-Copyright e X-Browser-Validation.

Os três primeiros contêm informações sobre o canal de lançamento do navegador e a versão da build. O mais interessante, porém, é o 💡 X-Browser-Validation. Trata-se de uma assinatura criptográfica gerada internamente pelo Chrome usando uma chave de API integrada e a string do User-Agent. Chaves diferentes são utilizadas para Windows, macOS e Linux.

X-Browser-Validation Header Dolphin Anty

Há algum tempo, muitas vezes bastava fazer spoofing do User-Agent e se passar pelo Chrome rodando no Windows. Hoje isso já não é suficiente. Se um navegador afirma estar sendo executado em um determinado ambiente, mas sua assinatura não corresponde à de uma instalação legítima do Chrome nessa plataforma, os servidores do Google conseguem detectar essa inconsistência imediatamente. Na prática, a empresa introduziu mais uma forma de verificar se o cliente é realmente o Chrome ou apenas está tentando se passar por ele.

Esse mecanismo não foi criado para detectar multiaccount por si só. Seu objetivo é verificar se o cliente não está falsificando o ambiente em que está sendo executado. No entanto, verificações como essa fazem parte do conjunto de informações que compõe o perfil do usuário.

Mas, mesmo que um navegador passe por essas verificações com sucesso, isso não significa que o perfil esteja seguro. O fingerprint estático é apenas a primeira camada da análise. Depois disso, a plataforma começa a avaliar sinais muito mais complexos, incluindo o comportamento do usuário, o histórico do dispositivo, os vínculos entre contas, a reputação da rede e muito mais.

Camada 2: Análise do Comportamento do Usuário

Mesmo um fingerprint de navegador perfeitamente consistente não garante que a conta pareça legítima para a plataforma. Após concluir a verificação inicial do dispositivo, os sistemas modernos de antifraude passam a analisar como o usuário interage com o site ou aplicativo.

Essa abordagem é conhecida como behavioral fingerprinting. Em vez de se basear apenas nas características estáticas do dispositivo, o sistema avalia como a pessoa realmente utiliza a plataforma. Esses padrões de comportamento são extremamente difíceis de falsificar.

Movimentos do Mouse e Interação com a Interface

O comportamento humano raramente é previsível. Os usuários movem o cursor em velocidades diferentes, fazem pequenos ajustes na trajetória, pausam sobre elementos da interface, ocasionalmente erram o clique em um botão ou rolam a página em intervalos irregulares.

⚙️ Já as ferramentas de automação costumam se comportar de forma perfeita demais. O cursor se move em linhas retas, os cliques acontecem sempre em coordenadas precisamente definidas e a rolagem da página segue exatamente os mesmos incrementos todas as vezes. Estatisticamente, essas ações diferem significativamente do comportamento de usuários reais.

Mouse movement Dolphin Anty
Ao criar scripts de automação em navegadores antidetect modernos, é possível personalizar os movimentos do mouse definindo coordenadas diferentes, fazendo com que cada trajetória do cursor pareça única.

Por esse motivo, os sistemas modernos de antifraude analisam não cliques isolados, mas todo o 🖼 padrão de interação. Eles avaliam não apenas a sequência de ações, mas também a forma como essas ações são executadas e se o comportamento parece natural.

Tempo Entre as Ações

🕓 Os intervalos entre as ações do usuário também desempenham um papel importante na análise comportamental. Usuários reais não preenchem formulários sempre na mesma velocidade, não abrem páginas em intervalos fixos nem clicam em botões com precisão de milissegundos. Seu comportamento é influenciado pela velocidade de leitura, hábitos pessoais, distrações e até por pausas aleatórias.

Na automação, os intervalos entre as ações costumam ser curtos demais ou excessivamente consistentes. Por isso, os sistemas modernos de detecção analisam não apenas os eventos em si, mas também os padrões de tempo entre eles.

Scroll Dolphin Anty
Os navegadores antidetect modernos também permitem personalizar essas características relacionadas ao tempo.

Mesmo que cada ação individual pareça legítima por si só, os padrões de tempo ainda podem revelar o uso de scripts, bots ou outras ferramentas de automação.

Histórico de Atividade

Um perfil comportamental é construído ao longo do tempo com base em cada interação do usuário com a plataforma. Ele pode levar em consideração quando o usuário costuma fazer login, com que frequência utiliza o serviço, quanto tempo suas sessões normalmente duram e como sua atividade muda ao longo do tempo.

Por exemplo, se uma conta foi utilizada durante vários meses sempre no mesmo país, todas as noites, e de repente passa a funcionar 24 horas por dia com sessões curtas de dez minutos, isso representa uma mudança significativa no padrão de comportamento. Embora essa alteração, por si só, não indique necessariamente fraude, ela pode atrair uma análise mais detalhada por parte da plataforma.

Camada 3: Device Graph e Vinculação de Contas

Nas duas primeiras camadas, o sistema coleta informações sobre cada conta e usuário individualmente. Na terceira camada, ele começa ⚖️ a comparar esses dados entre todas as contas registradas para identificar sinais de que algumas delas são controladas pela mesma pessoa.

Para isso, as plataformas constroem um Device Graph — uma rede de relacionamentos entre dispositivos, contas e usuários. Ele pode ser visto como um mapa no qual cada conta, dispositivo, endereço IP ou método de pagamento representa um nó, enquanto as conexões identificadas entre eles formam os vínculos. Quanto mais conexões desse tipo o sistema encontra, maior é a probabilidade de que várias contas estejam sendo operadas pelo mesmo usuário.

Graph Dolphin Anty

Se duas contas utilizam o mesmo endereço IP, isso, por si só, não significa que pertençam ao mesmo usuário. Da mesma forma, compartilhar o mesmo User-Agent ou o mesmo fuso horário não prova nada isoladamente.

No entanto, quando vários sinais começam a coincidir ao mesmo tempo — e não apenas no nível do fingerprint — a probabilidade de que seja apenas uma coincidência cai drasticamente.

Por exemplo, duas contas podem:

  • Fazer login regularmente a partir da mesma faixa de IP;
  • Usar dispositivos e navegadores semelhantes;
  • Compartilhar os mesmos cookies ou identificadores do armazenamento local;
  • Utilizar os mesmos dados de pagamento;
  • Seguir padrões idênticos de registro e login;
  • Apresentar padrões comportamentais semelhantes.

Como resultado, um Device Graph pode incluir:

  • Dispositivos e seus browser fingerprints;
  • Contas de usuários;
  • Endereços IP, ASNs e proxies;
  • Cookies e identificadores locais do navegador;
  • Métodos de pagamento e cartões bancários;
  • Endereços de e-mail e números de telefone;
  • Sequências de ações realizadas na plataforma;
  • Histórico de login e atividade dos usuários.

Todos esses dados são então 🔗 conectados entre si, permitindo que o sistema antifraude avalie a posição de uma conta dentro de toda a rede de relacionamentos.

Também é importante destacar que usar dispositivos diferentes não impede necessariamente que as contas sejam vinculadas. Se elas operam pela mesma rede, se conectam regularmente em horários semelhantes, utilizam os mesmos navegadores, seguem padrões comportamentais parecidos e interagem com os mesmos serviços, o sistema antifraude pode, gradualmente, passar a tratá-las como parte do mesmo modelo comportamental.

Outra técnica frequentemente utilizada em conjunto com o Device Graph é conhecida como 🚀 velocity rules. Ela ajuda a responder à seguinte pergunta: “Com que rapidez as ações estão sendo executadas em diferentes contas?”

Por exemplo, o sistema pode sinalizar situações em que:

  • Um grande número de contas é criado a partir do mesmo dispositivo em um curto período;
  • O mesmo browser fingerprint é reutilizado repetidamente para novos registros;
  • Várias contas executam ações idênticas quase ao mesmo tempo;
  • O mesmo cartão bancário aparece em várias contas recém-criadas;
  • Dezenas de registros são realizados a partir da mesma faixa de IP em apenas alguns minutos.

No fim das contas, os sistemas antifraude não estão interessados apenas no dispositivo, mas também no usuário por trás dele. Se vários sinais independentes apontarem para multiaccount, a plataforma poderá vincular as contas mesmo que elas sejam operadas em dispositivos diferentes.

Camada 4: Network Scoring e Reputação

A camada final da detecção concentra-se na infraestrutura de rede por meio da qual a conta se conecta à plataforma. Muitas pessoas acreditam que basta encontrar um endereço IP considerado “limpo” por diferentes verificadores (e que não esteja presente em nenhuma blacklist). Na prática, os sistemas modernos de antifraude avaliam muito mais do que o próprio endereço IP. Eles também consideram seu histórico, o ambiente de rede ao seu redor e a reputação geral da rede de onde o tráfego se origina.

É por isso que o 💯 Network Scoring se tornou um conceito cada vez mais importante: uma avaliação abrangente da confiabilidade do ambiente de rede utilizado pelo usuário.

Fraud score Dolphin Anty
Um dos verificadores gratuitos de fraude de IP. A maioria das soluções profissionais é paga.

Cada endereço IP constrói seu próprio histórico ao longo do tempo. A plataforma pode considerar há quanto tempo ele está em uso, quantas contas já operaram por meio dele, se alguma dessas contas foi suspensa, com que frequência o IP muda e se ele já foi associado a atividades suspeitas.

Mesmo que um determinado endereço IP não esteja presente em blacklists públicas, isso não significa que a plataforma não possua seu próprio histórico sobre o uso anterior desse IP.

Além do próprio endereço IP, as plataformas também analisam o ASN (Autonomous System Number) — o operador de rede ou provedor de internet por meio do qual o usuário se conecta à internet. Por exemplo, uma conta que se conecta de forma consistente por uma rede residencial parece mais natural do que outra que utiliza constantemente proxies de datacenter, serviços de VPN ou infraestrutura em nuvem. Como resultado, a reputação da rede é avaliada em vários níveis: o endereço IP individual, a sub-rede e o ASN.

As plataformas também verificam se o ambiente de rede é consistente com o restante do perfil. Por exemplo, um dispositivo móvel normalmente se conecta por meio de uma operadora móvel ou de uma conexão residencial. Se esse mesmo perfil opera constantemente por um IP de datacenter, isso cria uma incompatibilidade evidente entre o dispositivo declarado e o ambiente de rede utilizado.

Uma situação semelhante ocorre quando:

  • Um computador residencial se conecta regularmente a partir de diferentes países;
  • O mesmo perfil aparece sob ASNs diferentes em um curto período;
  • O tipo de conexão não corresponde ao padrão de uso esperado para o dispositivo.

Cada uma dessas inconsistências aumenta a pontuação geral de risco.

Para os sistemas antifraude, o mais importante é a consistência e a credibilidade de todo o ambiente de rede do usuário. O histórico do IP, a reputação do ASN, o tipo de conexão, a localização da conexão e o grau de compatibilidade entre esses fatores e o dispositivo são avaliados em conjunto para determinar a pontuação geral de confiança da conta.

Como Isso Funciona na Prática

🛠 Os sistemas antifraude avaliam todas essas camadas simultaneamente. Para ilustrar, imagine um media buyer criando duas contas de anúncios. Cada conta utiliza um perfil separado em um navegador antidetect, um proxy diferente e um browser fingerprint diferente. Todos os verificadores populares de fingerprint indicam que ambos os perfis parecem legítimos.

À primeira vista, não parece haver qualquer conexão entre as contas.

ParâmetroConta AConta B
Browser fingerprintDiferenteDiferente
Endereço IPDiferenteDiferente
Perfil no navegador antidetectSeparadoSeparado
Horário do primeiro login09:0209:04
Horário de atividade09:00–18:0009:00–18:00
Conectada à mesma rede Wi-Fi residencial no dia anteriorSimSim
BIN do cartão bancárioMesmoMesmo
Business ManagerVinculadoVinculado
Domínio dos anúnciosMesmoMesmo
CriativosMesmas imagensMesmas imagens
Parâmetros UTMCorrespondemCorrespondem
Texto do anúncioQuase idênticoQuase idêntico
Sequência de açõesIdênticaIdêntica

Isoladamente, nenhum desses fatores prova que as contas sejam controladas pela mesma pessoa. O mesmo BIN de cartão bancário pode ser compartilhado por clientes do mesmo banco. Um único domínio pode ser utilizado em várias campanhas de anúncios. Até mesmo horários de trabalho idênticos não podem ser considerados uma evidência de abuso.

O que os sistemas modernos de antifraude realmente avaliam é a probabilidade de que todas essas semelhanças tenham ocorrido por acaso. À medida que o número de sinais independentes em comum atinge um limite crítico, a probabilidade de coincidência diminui, e o sistema deixa de enxergar duas contas independentes — passando a identificar duas entidades que seguem o mesmo padrão comportamental.

É por isso que um perfil pode parecer impecável do ponto de vista do browser fingerprint e, ainda assim, receber uma pontuação de risco elevada devido à combinação de outros sinais. É também por isso que criar um bom browser fingerprint, por si só, não é suficiente — ele também precisa ser utilizado corretamente.

Conclusões Práticas

Os sistemas modernos de antifraude avaliam uma combinação de sinais independentes, e não parâmetros isolados do navegador. Por isso, não existe uma forma universal de eliminar completamente o risco de vinculação entre contas. A única abordagem realmente eficaz é uma proteção abrangente.

O gerenciamento seguro de múltiplas contas começa com o isolamento adequado dos perfis. Cada perfil deve ter seu próprio browser fingerprint, armazenamento independente, cookies separados e uma configuração de fingerprint única, mas internamente consistente e realista. É exatamente isso que os navegadores antidetect foram desenvolvidos para oferecer.

Por exemplo, 📌 o Dolphin Anty permite criar um número ilimitado de perfis com browser fingerprints consistentes, proxies individuais (que ajustam automaticamente o idioma, a geolocalização e o fuso horário) e até mesmo o cabeçalho X-Browser-Validation correto.

For example, 📌 Dolphin Anty allows you to create an unlimited number of profiles with consistent browser fingerprints, individual proxies (which automatically adjust language, geolocation and time zone) and even the correct X-Browser-Validation header.

Interface Dolphin Anty

No entanto, a proteção não termina aí. Mesmo um browser fingerprint perfeitamente configurado não será suficiente se todas as contas seguirem o mesmo padrão de comportamento.

Para tornar o comportamento dos perfis mais diversificado, o Dolphin Anty conta com um 📹 Scenario integrado, que permite automatizar ações enquanto simula padrões de interação mais naturais entre diferentes contas.

Scenario Dolphin Anty

Cada bloco do cenário representa uma etapa configurável da sequência de automação. Por exemplo, é possível definir coordenadas personalizadas para os movimentos do mouse ou ajustar a velocidade da rolagem da página. Usuários mais avançados também podem trabalhar com seletores CSS.

No entanto, é importante entender que nem mesmo as ferramentas de automação mais avançadas conseguem reproduzir completamente o comportamento humano. Se a atividade das contas continuar previsível e repetitiva, é muito provável que elas sejam vinculadas mais cedo ou mais tarde.

Conclusão

Just a few years ago multiaccount detection was largely based on browser fingerprints when Canvas, WebGL, User-Agent time zone and other parameters could be verified using various fingerprint checkers. Today that is no longer enough.

Os sistemas modernos de antifraude analisam os usuários em múltiplas camadas, incluindo características do dispositivo, padrões comportamentais, vínculos entre contas, ambiente de rede, reputação do IP e muitos outros sinais. Isoladamente, esses fatores raramente levam à suspensão de uma conta. Mas, quando avaliados em conjunto, permitem que as plataformas determinem, com alto grau de confiança, se várias contas estão sendo operadas pela mesma pessoa.

Como resultado, as plataformas modernas já não estão tentando identificar apenas o dispositivo, mas sim a pessoa por trás de várias contas. E é justamente para resolver esse desafio que elas investem bilhões de dólares.

Aproveite ao máximo os recursos de proteção contra a detecção do seu navegador.

Cadastre-se e receba 5 perfis gratuitamente

Obter perfis gratuitos

Мы используем файлы cookie для сбора информации об аутентификации, вашем устройстве, действиях при просмотре и шаблонах.
Чтобы узнать больше, ознакомьтесь с нашей Политикой конфиденциальности и Условия использования .
Нажимая «Я принимаю» или используя наш веб-сайт, вы соглашаетесь на использование нами файлов cookie.

Aceitar