Limiter l'impact des scripts / robots de traitement de cartes de crédit
https://stackoverflow.com/questions/163837
-
03-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Je participe à la création d'un formulaire de donation pour les organisations à but non lucratif. Nous avons récemment été touchés par une série de soumissions rapides et peu coûteuses. Beaucoup étaient des cartes invalides, mais quelques-unes ont été acceptées. Il est évident que quelqu'un a écrit un script pour vérifier la validité d'un ensemble de numéros de cartes, éventuellement pour pouvoir les vendre plus tard.
Avez-vous des idées sur la manière d’empêcher ou de limiter l’impact de cette situation à l’avenir?
Nous contrôlons tous les aspects du système (code, serveur Web, etc.). Oui, le formulaire fonctionne sur https.
La solution
Lorsqu'un flot de transactions non valides provenant d'une seule adresse IP ou d'une petite plage d'adresses est détecté, bloquez cette adresse / ce réseau.
Si un botnet est en cours d'utilisation, cela ne vous aidera pas. Vous pouvez toujours détecter des inondations de soumissions de faible montant et ainsi en déduire lorsque vous êtes attaqué; pendant ces périodes, stoppez les soumissions de faible montant pour les rendre plus longues; présenter les CAPTCHA pour les dons de faible montant; consultez le service de prévention des fraudes de votre banque au cas où celle-ci pourrait utiliser les journaux de votre serveur pour identifier les auteurs.
Forcer les donateurs à créer des comptes afin de faire des dons; protégez la création de compte avec un CAPTCHA et limitez les dons à un seul compte.
Augmentez le don minimum autorisé à un point où il n’a plus de sens financier pour les fraudeurs de vous utiliser de cette manière.
Autres conseils
Au lieu des CAPTCHA, qui gêneront les utilisateurs, vous voudrez peut-être tirer parti du fait que la plupart des gens ont javascript activé, contrairement aux robots. Créez simplement un petit morceau de javascript qui, lorsqu'il est exécuté, insère une valeur particulière dans un champ caché.
Pour ceux dont le Javascript est désactivé, vous pouvez afficher le CAPTCHA (utilisez la balise <noscript>), puis accepter une soumission uniquement si l'une de ces mesures est vérifiée.
Pour un ennui maximum aux malfaiteurs, vous pourriez faire la différence entre le message de succès et le message d’échec, ce qui est difficile à distinguer (par exemple, tout est la même chose, à l’exception d’une image qui affiche le message) mais facile à comprendre pour les humains.
limiter les envois provenant de la même adresse IP à un par minute, ou à tout autre délai raisonnable avant qu'une personne réelle remplisse le formulaire
Augmenter le don minimum à un point où il n’a plus de sens financier pour les fraudeurs de vous utiliser de cette manière aidera en général.
Ceci. Combien de dons légitimes obtenez-vous pour moins de 5 dollars, de toute façon?
