Limitando o impacto dos scripts/bots de processamento de cartão de crédito
https://stackoverflow.com/questions/163837
-
03-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Estou envolvido na construção de um formulário de doação para organizações sem fins lucrativos. Recentemente, fomos atingidos por uma rodada rápida de submissões baixas em dólares. Muitos eram cartões inválidos, mas alguns passaram. Obviamente, alguém escreveu um script para verificar um monte de números de cartões quanto à validade, possivelmente para que eles possam vendê -los mais tarde.
Alguma idéia de como prevenir ou limitar o impacto disso no futuro?
Temos controle sobre todos os aspectos do sistema (código, servidor da web, etc). Sim, o formulário ultrapassa HTTPS.
Solução
Quando é detectada uma enxurrada de transações inválidas de um único endereço IP ou pequena gama de endereços, bloqueie esse endereço / rede.
Se um botnet estiver em uso, isso não ajudará. Você ainda pode detectar inundações de submissões de valor baixo em dólares e, portanto, deduzir quando estiver sob ataque; Durante esses períodos, paralisou os submissões de valor baixo para fazê -los levar mais tempo; introduzir captchas para doações de baixa quantidade de dólares; Consulte o departamento de prevenção de fraudes do seu banco, caso eles possam usar os logs do servidor para capturar os autores.
Forçar doadores a criar contas para fazer doações; Proteja a criação da conta com um captcha e as doações de limite de taxa de qualquer conta.
Aumente a doação mínima permitida a um ponto em que não faz mais sentido financeiro para os golpistas usá -lo dessa maneira.
Outras dicas
Em vez de captchas, que irritarão os usuários, você pode aproveitar o fato de que a maioria das pessoas possui JavaScript ativada enquanto os bots não. Basta criar um pequeno pedaço de JavaScript que, quando executado, insere um valor específico em um campo oculto.
Para aqueles que têm JavaScript desativados, você pode mostrar o captcha (use o <noscript> tag) e você poderá aceitar um envio apenas se uma dessas medidas verificar.
Para obter o máximo aborrecimento aos malfeitores, você pode fazer a diferença entre a mensagem de sucesso e a mensagem de falha computacionalmente difícil de distinguir (digamos que tudo seja o mesmo, exceto por uma imagem que exibe a mensagem), mas fácil de entender para os seres humanos.
Limite as submissões do mesmo endereço IP a um por minuto, ou qualquer período razoável de tempo necessário para uma pessoa real para preencher o formulário
Aumentar a doação mínima a um ponto em que não faz mais sentido financeiro para os golpistas usá -lo dessa maneira ajudarão em geral.
Este. Quantas doações legítimas você recebe por menos de 5 dólares, afinal?
