Limitación del impacto de los scripts / bots de procesamiento de tarjetas de crédito
https://stackoverflow.com/questions/163837
-
03-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Estoy involucrado en la creación de un formulario de donación para organizaciones sin fines de lucro. Recientemente nos golpeó una ronda rápida de envíos de dólares bajos. Muchas eran tarjetas inválidas, pero algunas pasaron. Obviamente, alguien escribió un script para verificar la validez de un número de tarjetas, posiblemente para poder venderlas más tarde.
¿Alguna idea sobre cómo prevenir o limitar el impacto de esto en el futuro?
Tenemos control sobre todos los aspectos del sistema (código, servidor web, etc.). Sí, el formulario se ejecuta sobre https.
Solución
Cuando se detecta una avalancha de transacciones no válidas de una sola dirección IP o un pequeño rango de direcciones, bloquee esa dirección / red.
Si una botnet está en uso, esto no ayudará. Todavía puede detectar inundaciones de envíos de cantidades bajas en dólares y así deducir cuando está bajo ataque; durante estos tiempos, demore los envíos de cantidades bajas en dólares para que tarden más; introducir CAPTCHA para donaciones de bajo monto en dólares; consulte al departamento de prevención de fraude de su banco en caso de que puedan utilizar los registros de su servidor para atrapar a los autores.
Forzar a los donantes a crear cuentas para hacer donaciones; proteja la creación de cuentas con un CAPTCHA y limite las donaciones de límite de cualquier cuenta.
Eleve la donación mínima permitida a un punto donde ya no tenga sentido financiero para los estafadores usarlo de esta manera.
Otros consejos
En lugar de CAPTCHA, lo que molestará a los usuarios, es posible que desee aprovechar el hecho de que la mayoría de las personas tienen habilitado JavaScript, mientras que los bots no. Simplemente cree una pequeña pieza de javascript que, cuando se ejecuta, inserte un valor particular en un campo oculto.
Para aquellos que tienen Javascript deshabilitado, puede mostrar el CAPTCHA (use la etiqueta <noscript>), y luego puede aceptar un envío solo si alguna de estas medidas se verifica.
Para una molestia máxima para los malhechores, podría hacer la diferencia entre el mensaje de éxito y el mensaje de falla computacionalmente difícil de distinguir (digamos que todo es lo mismo, excepto una imagen que muestra el mensaje) pero fácil de entender para los humanos.
limite los envíos desde la misma dirección IP a uno por minuto, o cualquier período razonable de tiempo que le tomaría a una persona real completar el formulario
Aumentar la donación mínima hasta el punto en que ya no tenga sentido financiero para los estafadores que lo usen de esta manera ayudará en general.
Esto. ¿Cuántas donaciones legítimas obtienes por menos de 5 dólares, de todos modos?
