Die Begrenzung Auswirkungen der Verarbeitung von Kreditkarten-scripts / Bots
https://stackoverflow.com/questions/163837
-
03-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ich bin involviert in ein Spendenformular für Non-Profit zu bauen. Wir wurden vor kurzem durch eine schnelle Runde von niedrigen Dollar Einreichungen getroffen. Viele waren ungültige Karten, aber ein paar ging durch. Offensichtlich jemand ein Skript schrieb eine Reihe von Kartennummern auf Gültigkeit zu überprüfen, möglicherweise, damit sie sie später verkaufen kann.
Alle Ideen, wie die Auswirkungen dieses in der Zukunft zu verhindern oder zu begrenzen?
Wir haben die Kontrolle über alle Aspekte des Systems (Code, Webserver usw.). Ja, die Form läuft über https.
Lösung
Wenn eine Flut von ungültigen Transaktionen von einer einzigen IP-Adresse oder kleinen Bereich von Adressen erkannt wird, blockiert diese Adresse / Netzwerk.
Wenn ein Botnetz in Gebrauch ist, wird dies nicht helfen. Sie können nach wie vor Überschwemmungen von niedrigeren Dollar-Betrag Eingaben erkennen und so ableiten, wenn Sie angegriffen werden; während dieser Zeiten, Stall niedrigen Dollar-Betrag Einreichungen sie länger dauern, zu machen; einführen CAPTCHAs für niedrige Dollar-Betrag Spenden; Ihre Bank Betrugsprävention Abteilung bei consult können sie Verwendung Ihrer Server-Protokolle machen die Täter zu fangen.
Kraft Geber Konten zu schaffen, um Spenden zu machen; schützt Kontoerstellung mit einem CAPTCHA und Ratenbegrenzung Spenden von einem Konto.
Erhöhen Sie die zulässige Mindestspende an einem Punkt, wo es nicht mehr finanziell sinnvoll ist für die Betrüger Sie auf diese Weise zu verwenden.
Andere Tipps
Anstelle von CAPTCHAs, die Benutzer verärgern wird, sollten Sie sich die Tatsache zunutze nehmen, dass die meisten Menschen haben Javascript aktivieren, damit während Bots nicht. Einfach ein kleines Stück Javascript erstellen, die bei der Ausführung einen bestimmten Wert in einem versteckten Feld einfügt.
Für diejenigen, die haben Javascript deaktiviert Sie die CAPTCHA zeigen können (verwenden Sie die <noscript>-Tag), und Sie können dann eine Vorlage nur akzeptieren, wenn eine dieser Maßnahmen überprüfen.
Für maximale Ärger Missetäter könnten Sie den Unterschied zwischen der Botschaft erfolgreich zu machen und der Fehlermeldung rechnerisch schwer zu unterscheiden (sagen, alles ist gleich, außer für ein Bild, das die Nachricht anzeigt), aber für Menschen einfach zu verstehen.
Limit Eingaben von derselben IP-Adresse auf eine pro Minute, oder was auch immer angemessener Zeit für eine reale Person nehmen würde das Formular ausfüllen
Die Anhebung der Mindestspende an einen Punkt, wo es nicht mehr finanziell sinnvoll ist für die Betrüger Sie auf diese Weise zu verwenden, wird im Allgemeinen helfen.
Dieses. Wie viele legitime Spenden Sie für unter 5 Dollar eigentlich?
