悪意のある1人のユーザーをブロックするためのアイデアが必要
私が持っているこの問題をいくつかの技術的な覗き見に捨てて、皆さんに新しい提案があるかどうか見てみましょう:
クライアントにテキストメッセージとボイスメールを送信するWebサイトがあります。クライアントはクレジットを購入し、SMSおよび音声通話を送信するときにそれらのクレジットを使用できます。
私たちはこのナイジェリアの詐欺師がいます。彼は私たちを台無しにしたいと考えており、アカウントのセットアップ、他の人のカードへの請求、メッセージの送信を続けています。彼は、CVV2、住所、有効期限などの完全なカードデータを持っているようです。 (PCIに準拠していないサイトから収穫されたと思います)彼はこれらのチェックに失敗していません。時々、彼はカードを請求してメッセージを送ります、時々、彼はただカードを請求します。 (おそらく、有効性をテストするためですが、今週に3回カードチェックに失敗したアカウントを自動的にブロックするため、90%の有効なカードを取得しています)
私たちは激しくチャージカードを検証する方法を開発しています。これには、2ドル未満の料金を請求し、カードを検証するために金額を入力する必要があります。しかし、それは現在プログラムするのが遅く、多くの私たちのよりカジュアルなユーザーにとってエントリーへの本当の障壁になるでしょう。 SMSベースの検証も検討していますが、彼が少なくとも5または6台の電話、またはSkype SMSなどにアクセスできると確信しているため、安全性は低くなります。
さらに、これらの請求の多くが消費者によって取り消された場合、販売アカウントを失うことになります。それらが通過する前にそれらを無効にするために取り組んでいますが、それは苦痛な手動プロセスです。
それで、しっかりしたカード検証の追加に取り組んでいる間に、私たちは何ができますか?短期的および/または長期的ですか?この人は、すべての種類の名前、アドレス、IPソース(通常はナイジェリアにあるが、常にではないが、他の場所からのプロキシも)を使用して、1日に5または10のアカウントを作成します。
要するに、今この男を阻止するために私たちが行うすべてのことは、正当なユーザーが自分のアカウントにアクセスしたり、お金を提供したりするのを阻止することです。
他にどのような種類の防御策を講じて、合理的に技術的に関与した悪意のある単一のユーザーを防ぐことができますか?チューリングテストを検出しているある種の悪?
認めたくないのですが、ブレーンストーミングのアイデアが不足しています。だから私はここに来ました。
@logicalscopeはいくつかの良い提案を提起しますが、全体としては、1つの冷たい難しい事実に対処する必要があります。
技術的に言えば、このナイジェリアの王子様でさえ、完全に正当なユーザーです。
彼の唯一の問題は、彼が提供しているクレジットカードを所有していないことです-彼が必要なすべての検証を提供したという事実にもかかわらず。
これは実際にはクレジットカードシステム自体の障害です-扱いwhat you know(CC番号)としてsomething you have(クレジットカード自体)。
そして、これらの番号はほとんどパブリックドメインにあるため(つまり、多くのサイトに番号を提供し、スーパーマーケットのレジの女の子とガソリンスタンドの係員などに物理的なカードを渡します)、それらの知識カードの所有権の証拠として扱われるべきではありません。
結論として、正式にはあなたが証明を信頼できるはずです(残念ながら、チャージバックの問題はほとんどありません)。だから、基本的に、クレジットカード会社は彼らが最も得意とすることをしています-両方向からあなたをねじ込みます:)。
わざわざ、CHDを提供した人が所有していないカードに請求しないように、実際にできることは何ですか?
まあ、それほど多くはありません(そして私はCAPTCHAを提案した人がいないことに興奮しています...)しかし、所有権の証拠としての最低料金の考えは非常に良いものです。
これはPaypalの方法と非常によく似ており、実際にはスキームを少し変更することをお勧めします。サインアップすると(IIRC)、1回の少額の請求が行われます。サブドルの範囲で作成できる金額は非常に多いため、金額は秘密ではありません...代わりに、クレジットカードのレポートに表示される取引番号を尋ねます。これにアクセスする唯一の方法は、カード所有者のメールを受け取るか、CCプロバイダーのコンシューマーポータルにアクセスすることです。記録のために、彼らはまたあなたがサインアップした後にそのドルを払い戻します。
@logicalscopeが提案するように、IPジオロケーションなどにより、これを潜在的に危険なアカウントに対してonlyを実装したい場合があります。
検討すべきもう1つの可能性は、カード検証のアウトソーシングです。 Paypalアカウントのみを受け入れるか、サードパーティの検証システムを使用します。これは、誰かがあなたのために直接支払いを受け入れるようにすることによって、責任を他の誰かに移します(ala VBV/3Dsecure)。
あなたが利用できる唯一の技術的な解決策は、何らかの形のスパムエージェント内でユーザーデータ(名前、アドレス、IPなどの情報)をトレーニングすることです。電子メールスパムカテゴライザーと同様に、これを使用して、必要な「悪のチューリングテスト」を作成できます。これをスパム問題のように扱うことを検討し、電子メールスパム、SMSスパム、ソーシャルメディア/フォーラムスパムなど)にはどのような解決策があるかを確認してください。主な問題は、利用可能なデータ。
そうでなければ、あなたの説明から、人的要因のどれも満たされていなくても、技術的特性のすべてが満たされているように聞こえます。上記のオプションに失敗した場合、そのような場合、通常、特定のアクションに対する賛成と反対のビジネスケースを提示します。
チャージバック、販売アカウントの損失、評判リスクなどのコストと比較して、ナイジェリアの知的財産からどれくらいの収入を期待していますか?ナイジェリアのIPを削除すると、予想される悪意のあるユーザーのXX%が占めますか?明らかにこれはプロキシには役立ちませんが、ケースの大部分を取得できます。
詐欺師が送信するメッセージは明らかにスパムですか?
SMSやサブドル料金などのより厳格なチェックを総ユーザー数のサブセットに適用できますか?つまり、ナイジェリア(およびおそらく他の人)をメインエリアとして識別しました。 )懸念事項なぜ他の「より評判の良い」国を厳格な措置に含めるのか?
IPを逆引きできますか?ほとんどの正当なユーザーが解決しますか?非正規ユーザーは特定のドメインまたは既知のプロキシに解決しますか?
「X-Forwarded」または「X-Client-IP」またはそのようなHTTPヘッダーを介してプロキシの使用を検出できますか?これにより、正当な可能性のあるユーザーも捕捉されますが、他の情報と組み合わせて、この測定のバランスをとることができます。
もちろん、上記のチェックのいずれかが失敗した場合でも、ユーザーを完全にシャットダウンする必要はありません。それらをレビューキューに移動し、他の正当に見えるリクエストとは別に処理します。このデータをレビューするために誰かにお金を払うのは、通過させるよりも安いですか?時々、それはすべてビジネスケースに帰着します。
SMSベースの確認を通じて、アカウントを設定しているユーザーに電話番号の確認を要求することを検討することもできます。
場合によっては、各アカウントを一意の電話番号にリンクする必要がある可能性があります(他のアカウントには使用されません)。
さらに重要なのは、詐欺(クレジットカードのチャージバックなど)を検出した場合、その電話番号を将来のアカウントでブロックし、同じ電話番号を使用している既存のアカウントをシャットダウンすることです。このようにして、ナイジェリアの詐欺師が4つまたは5つの電話にアクセスできる場合、彼は4つまたは5つのアカウントを設定し、4つまたは5つの詐欺を行うことができますが、それは無理かもしれません。彼が新しいアカウントを開設し続けたい場合、彼は新しい電話を入手し続ける必要があり、それは攻撃への基準を引き上げます。
SMS側をプロセスの潜在的な第2要素として使用できますか?カードのBIN番号を使用して発行銀行の国を特定し、次にSMSメッセージを送信する国の有効な電話番号。アカウントを検証するには、その入力が必要です。
それはまだバイパス可能です(SMSを受信するために対象国のVOIPアカウントを取得する)が、少しレベルを上げる可能性があります。
また、理論的には、SMSメッセージの受信者としてVOIPプロバイダーをブラックリストに登録することを検討できます。顧客ベースによっては、それが可能ではないかもしれませんが、再び、詐欺師。
threatmetrix によって提供されるサービスを確認することをお勧めします(デバイスのフィンガープリントの背景については panopticlick を参照してください)。