Limitare l'impatto degli script / bot di elaborazione delle carte di credito
https://stackoverflow.com/questions/163837
-
03-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Sono coinvolto nella costruzione di un modulo di donazione per organizzazioni non profit. Di recente siamo stati colpiti da un rapido giro di proposte a basso costo. Molte erano carte non valide, ma alcune sono passate attraverso. Ovviamente qualcuno ha scritto una sceneggiatura per verificare la validità di un numero di carte, possibilmente in modo da poterle vendere in seguito.
Qualche idea su come prevenire o limitare l'impatto di ciò in futuro?
Abbiamo il controllo su tutti gli aspetti del sistema (codice, server web, ecc.). Sì, il modulo viene eseguito su https.
Soluzione
Quando viene rilevata un'ondata di transazioni non valide da un singolo indirizzo IP o un piccolo intervallo di indirizzi, bloccare tale indirizzo / rete.
Se viene utilizzata una botnet, ciò non sarà di aiuto. È ancora possibile rilevare inondazioni di invii a basso importo in dollari e quindi dedurre quando si è sotto attacco; durante questi periodi, bloccare gli invii a basso importo in dollari per farli richiedere più tempo; introdurre CAPTCHA per donazioni a basso importo in dollari; consultare il dipartimento di prevenzione delle frodi della propria banca nel caso in cui possano utilizzare i registri del proprio server per catturare gli autori.
Forza i donatori a creare account per effettuare donazioni; proteggere la creazione di account con un CAPTCHA e donare limiti di velocità da qualsiasi account.
Aumenta la donazione minima consentita a un punto in cui non ha più senso finanziario che i truffatori ti usino in questo modo.
Altri suggerimenti
Invece di CAPTCHA, che infastidiranno gli utenti, potresti voler sfruttare il fatto che molte persone hanno abilitato javascript mentre i bot no. Basta creare un piccolo pezzo di javascript che, quando eseguito, inserisce un valore particolare in un campo nascosto.
Per coloro che hanno Javascript disabilitato, puoi mostrare il CAPTCHA (usa il tag <noscript>), e puoi quindi accettare un invio solo se una di queste misure è verificata.
Per il massimo fastidio per i malfattori potresti fare la differenza tra il messaggio di successo e il messaggio di errore dal punto di vista computazionale difficile (dire che tutto è uguale, tranne per un'immagine che mostra il messaggio) ma facile da capire per gli umani.
limita gli invii dallo stesso indirizzo IP a uno al minuto, o qualunque periodo di tempo ragionevole ci vorrebbe per una persona reale per compilare il modulo
Aumentare la donazione minima a un punto in cui non ha più senso finanziario per i truffatori di usarti in questo modo aiuterà in generale.
Questa. Quante donazioni legittime ricevi per meno di 5 dollari, comunque?
