Настройка проверки заказов на фрод 1С-Битрикс
Фрод-проверка — это скоринговая система, которая оценивает каждый заказ по набору сигналов и принимает решение: пропустить, поставить на ручную проверку или заблокировать. В отличие от простого rate limiting, скоринг учитывает совокупность факторов — один из которых может быть в норме, а три вместе — красный флаг.
Скоринговая система
Каждый проверочный фактор даёт количество очков риска. Итоговый балл определяет действие.
namespace Local\Fraud;
class FraudScorer
{
// Пороги
private const BLOCK_SCORE = 70;
private const REVIEW_SCORE = 40;
public function score(\Bitrix\Sale\Order $order): ScoreResult
{
$signals = [];
$ip = $_SERVER['REMOTE_ADDR'] ?? '';
$props = $order->getPropertyCollection();
$email = $props->getItemByOrderPropertyCode('EMAIL')?->getValue() ?? '';
$phone = $props->getItemByOrderPropertyCode('PHONE')?->getValue() ?? '';
$name = trim(
($props->getItemByOrderPropertyCode('NAME')?->getValue() ?? '') . ' ' .
($props->getItemByOrderPropertyCode('LAST_NAME')?->getValue() ?? '')
);
// IP-сигналы
$signals['ip_orders_1h'] = $this->ipOrders($ip, 1) * 8; // макс ~80 при 10 заказах
$signals['ip_orders_24h'] = $this->ipOrders($ip, 24) * 2; // макс ~40 при 20 заказах
$signals['ip_in_stoplist'] = $this->isInStopList($ip) ? 80 : 0;
// Email-сигналы
$signals['disposable_email'] = $this->isDisposableEmail($email) ? 35 : 0;
$signals['no_email'] = empty($email) ? 25 : 0;
$signals['email_orders_24h'] = $this->emailOrders($email, 24) * 5;
// Телефон-сигналы
$signals['invalid_phone'] = !$this->isValidPhone($phone) ? 20 : 0;
// Сумма и история
$signals['high_amount_new'] = $this->highAmountNewUser($order) ? 30 : 0;
$signals['unusual_amount'] = $this->isUnusualAmount($order, (int)$order->getUserId()) ? 15 : 0;
// Имя
$signals['suspicious_name'] = $this->isSuspiciousName($name) ? 20 : 0;
$total = min(100, array_sum($signals));
return new ScoreResult(
score: $total,
signals: array_filter($signals),
action: match(true) {
$total >= self::BLOCK_SCORE => 'block',
$total >= self::REVIEW_SCORE => 'review',
default => 'allow',
}
);
}
private function ipOrders(string $ip, int $hours): int
{
$safe = \Bitrix\Main\Application::getConnection()->getSqlHelper()->forSql($ip);
return (int)\Bitrix\Main\Application::getConnection()->query(
"SELECT COUNT(*) cnt FROM b_sale_order
WHERE CREATED_BY_IP = '{$safe}'
AND DATE_INSERT > DATE_SUB(NOW(), INTERVAL {$hours} HOUR)"
)->fetch()['cnt'];
}
private function isInStopList(string $ip): bool
{
$safe = \Bitrix\Main\Application::getConnection()->getSqlHelper()->forSql($ip);
return (bool)\Bitrix\Main\Application::getConnection()->query(
"SELECT ID FROM b_stop_list WHERE IP_ADDR = '{$safe}' AND ACTIVE = 'Y' LIMIT 1"
)->fetch();
}
private function emailOrders(string $email, int $hours): int
{
if (empty($email)) return 0;
$safe = \Bitrix\Main\Application::getConnection()->getSqlHelper()->forSql($email);
return (int)\Bitrix\Main\Application::getConnection()->query(
"SELECT COUNT(*) cnt
FROM b_sale_order_props_value pv
JOIN b_sale_order_props p ON p.ID = pv.ORDER_PROPS_ID
JOIN b_sale_order o ON o.ID = pv.ORDER_ID
WHERE p.CODE = 'EMAIL'
AND pv.VALUE = '{$safe}'
AND o.DATE_INSERT > DATE_SUB(NOW(), INTERVAL {$hours} HOUR)"
)->fetch()['cnt'];
}
private function isDisposableEmail(string $email): bool
{
$domain = strtolower(substr(strrchr($email, '@'), 1));
return in_array($domain, [
'mailinator.com', 'guerrillamail.com', 'tempmail.com',
'throwam.com', 'yopmail.com', '10minutemail.com',
], true);
}
private function isValidPhone(string $phone): bool
{
$digits = preg_replace('/\D/', '', $phone);
return strlen($digits) >= 10 && strlen($digits) <= 15;
}
private function highAmountNewUser(\Bitrix\Sale\Order $order): bool
{
$userId = (int)$order->getUserId();
if ($order->getPrice() < 30000 || $userId <= 0) return false;
$prevCount = (int)\Bitrix\Main\Application::getConnection()->query(
"SELECT COUNT(*) cnt FROM b_sale_order WHERE USER_ID = {$userId}"
)->fetch()['cnt'];
return $prevCount === 0;
}
private function isUnusualAmount(\Bitrix\Sale\Order $order, int $userId): bool
{
if ($userId <= 0) return false;
$avg = (float)\Bitrix\Main\Application::getConnection()->query(
"SELECT AVG(PRICE) avg FROM b_sale_order
WHERE USER_ID = {$userId} AND STATUS_ID NOT IN ('C')"
)->fetch()['avg'];
return $avg > 0 && $order->getPrice() > $avg * 5;
}
private function isSuspiciousName(string $name): bool
{
// Полностью числовое имя, слишком короткое, только спецсимволы
return preg_match('/^\d+$/', $name)
|| mb_strlen($name) < 3
|| preg_match('/[<>{}\\\\]/', $name);
}
}
Результат проверки
namespace Local\Fraud;
class ScoreResult
{
public function __construct(
public readonly int $score,
public readonly array $signals,
public readonly string $action, // 'allow', 'review', 'block'
) {}
public function isBlocked(): bool { return $this->action === 'block'; }
public function needsReview(): bool { return $this->action === 'review'; }
public function getComment(): string
{
$parts = ["[FRAUD_SCORE:{$this->score}]"];
foreach ($this->signals as $signal => $value) {
$parts[] = "{$signal}:{$value}";
}
return implode(' ', $parts);
}
}
Логирование результатов скоринга
Все проверки логируются в HL-блок FraudLog для анализа и настройки порогов:
| Поле | Значение |
|---|---|
UF_ORDER_ID |
ID заказа (если создан) |
UF_IP |
IP-адрес |
UF_EMAIL |
Email из заказа |
UF_SCORE |
Итоговый балл |
UF_ACTION |
allow / review / block |
UF_SIGNALS |
JSON с детализацией сигналов |
UF_DATE |
Дата проверки |
Анализ логов за 2-4 недели позволяет откалибровать пороги под конкретный магазин.
Сроки реализации
| Конфигурация | Срок |
|---|---|
| Скоринговая система с базовыми сигналами | 3–4 дня |
| + логирование, административный интерфейс | +2 дня |
| + калибровка на исторических данных | +1 неделя |