Ограничение влияния скриптов обработки кредитных карт / ботов

StackOverflow https://stackoverflow.com/questions/163837

Вопрос

Я участвую в создании формы пожертвования для некоммерческих организаций.Недавно на нас обрушился поток заявок по низким ценам.Многие карты были недействительными, но некоторые прошли проверку.Очевидно, кто-то написал скрипт для проверки нескольких номеров карт на действительность, возможно, для того, чтобы потом продать их.

Есть какие-нибудь идеи о том, как предотвратить или ограничить последствия этого в будущем?

Мы контролируем все аспекты системы (код, веб-сервер и т.д.).Да, форма работает по протоколу https.

Это было полезно?

Решение

При обнаружении потока недействительных транзакций с одного IP-адреса или небольшого диапазона адресов заблокируйте этот адрес / сеть.

Если ботнет используется, это не поможет. Вы по-прежнему можете обнаружить потоки заявок на низкую сумму в долларах и, таким образом, делать выводы, когда вас атакуют; в это время откладывайте заявки на небольшие суммы, чтобы они занимали больше времени; ввести капчи для пожертвований на небольшие суммы в долларах; проконсультируйтесь с отделом по предотвращению мошенничества вашего банка, если они могут использовать журналы вашего сервера, чтобы поймать злоумышленников.

Заставить доноров создавать учетные записи, чтобы делать пожертвования; защитить создание учетной записи с помощью CAPTCHA и ограничить размер пожертвований с любой учетной записи.

Поднимите минимально допустимое пожертвование до такой степени, что мошенники больше не имеют финансового смысла использовать вас таким образом.

Другие советы

Вместо CAPTCHA, которые будут раздражать пользователей, вы можете воспользоваться тем, что у большинства людей включен JavaScript, а у ботов - нет. Просто создайте небольшой фрагмент JavaScript, который при запуске вставляет определенное значение в скрытое поле.

Для тех, у кого отключен Javascript, вы можете показать CAPTCHA (используйте тег <noscript>), и затем вы можете принять отправку, только если какая-либо из этих мер будет проверена.

Для максимального раздражения злодеев вы могли бы сделать разницу между сообщением об успешном завершении и сообщением об отказе в вычислительном отношении, которое трудно различить (скажем, все то же самое, за исключением одного изображения, которое отображает сообщение), но легко понять для людей.

ограничить количество отправлений с одного и того же IP-адреса одним разом в минуту или в течение разумного периода времени, необходимого реальному человеку для заполнения формы

Повышение минимального пожертвования до уровня, когда мошенникам больше не имеет финансового смысла использовать вас таким образом, поможет в целом.

Это.Кстати, сколько законных пожертвований вы получаете менее чем за 5 баксов?

Лицензировано под: CC-BY-SA с атрибуция
Не связан с StackOverflow
scroll top