Предельное влияние сценариев обработки/обработки бонусов кредитной карты
Я участвую в создании формы пожертвования для некоммерческих организаций. Недавно мы получили удар по быстрому раунду низкодоходных заявок. Многие из них были недействительными, но несколько прошли. Очевидно, кто-то написал script, чтобы проверить количество номеров карт на достоверность, возможно, чтобы они могли продать их позже.
Любые идеи о том, как предотвратить или ограничить влияние этого в будущем?
Мы контролируем все аспекты системы (код, веб-сервер и т.д.). Да форма пробегает https.
Ответы
Ответ 1
Когда обнаружен поток недействительных транзакций с одного IP-адреса или малого диапазона адресов, заблокируйте этот адрес/сеть.
Если ботнет используется, это не поможет. Вы все еще можете обнаружить наводнения с небольшими суммами в долларах и так вывести, когда вас атакуют; в течение этих времен, сдерживать поступления в долларах, чтобы заставить их заняться дольше; внедрить CAPTCHA для пожертвований на сумму в несколько долларов; проконсультируйтесь с отделом предотвращения банкротства банка, если они могут использовать ваши журналы сервера, чтобы поймать виновных.
Принудительные доноры для создания аккаунтов для пожертвований; защищать создание учетной записи с помощью CAPTCHA и пожертвования по ставкам с любой учетной записи.
Поднимите минимально допустимое пожертвование до того момента, когда он больше не имеет финансового смысла, чтобы мошенники использовали вас таким образом.
Ответ 2
Вместо CAPTCHA, которые будут раздражать пользователей, вы можете воспользоваться тем фактом, что большинство людей имеют javascript, а боты - нет. Просто создайте небольшой кусок javascript, который при запуске вставляет определенное значение в скрытое поле.
Для тех, у кого отключен Javascript, вы можете показать CAPTCHA (используйте тег <noscript>), и затем вы можете принять подачу, только если какая-либо из этих мер проведет проверку.
Для максимальной досады к злодеям вы можете сделать разницу между сообщением о успешном завершении и сообщением об ошибке, которое сложно вычислить, трудно отличить (скажем, все одно и то же, за исключением одного изображения, отображающего сообщение), но легко понять для людей.
Ответ 3
ограничивать отправку с одного и того же IP-адреса до одного в минуту или любого разумного периода времени, необходимого для того, чтобы реальный человек заполнил форму
Ответ 4
Повышение минимального пожертвования до того момента, когда оно больше не дает финансового смысла мошенникам использовать вас таким образом, поможет в целом.
Это. Сколько легитимных пожертвований вы получаете за 5 баксов? В любом случае?
