我们遇到了一个用户,该用户来我们的网站尝试验证数百个信用卡号。他将一次运行约400+ $ 1.00的交易,找到一些有效的卡号,然后退出。

他每次使用相同的名称和地址,并且他的IP地址相同。我们正在采取几个步骤来解决该问题。

我要采取的步骤之一是,如果看到他的IP地址,阻止他提交交易。这样安全吗?

顺便说一句,我们使用PayPal的Payflow专业服务来处理信用卡。

评论

我怀疑如果是恶意用户,阻止ip地址将在长期内阻止它。您说他每次都使用相同的地址,您的意思是通过卡验证的帐单地址还是只是您在网站上注册的地址?

@JMC:他为每笔交易使用相同的账单地址和相同的IP地址。

我现在无法获得地址。但是联邦调查局有一种报告这种互联网欺诈的方法。快速搜索可能会为您找到它(工作中的Internet过滤器不会让我)。

#1 楼

如果总是来自同一IP地址,则阻止它是一个好主意。如果您不在该地区,那么屏蔽IP范围也不是一个坏主意。

另一种方法是识别该用户何时在您的网站上,并向他们提供错误的信息。随机告诉他们信用卡的好坏,而无需实际尝试对其进行验证。此外,您可能会使每个请求非常缓慢,从而需要越来越多的时间来执行此操作,从而使该请求无法达到目的。最终,他们会认为您不值得花时间去其他地方。

评论


随机告诉他们信用卡的好坏,而无需实际尝试验证它们。。

– PeeHaa
2011-12-15在16:58



感谢您的建议。如果我正确地进行IP查找,它似乎来自美国内华达州。我不想封锁那个地区。我真的很喜欢延长交易时间并提供随机响应的想​​法。

– Tod Birdsall
2011年12月15日17:00

我想说这适得其反,很有趣,因为这可能会使骗子的头脑陷入混乱,这可能最终会比他占用更多的时间(假设“他”甚至是人类而不是软件)。此外,您还可能会惹恼该地区的合法客户。我想将具有该IP的用户发送到一个页面,该页面显示已检测到不正常活动,已报告了该活动,对于给您带来的任何不便,我们深表歉意。然后提供一个电话号码,以致电想要同时购买的合法用户。

– Codecraft
2011-12-15 17:37

@ Tod1d严格谈论您网站的响应,延迟可能是最好的。每次验证失败时,将该IP的等待时间乘以1.3秒左右。每天或每周除以相同的金额(这样,实际用户就不会因为打字错误而积累延迟)。如果第一次失败的基本等待时间是1秒,那么在发生19次失败后,您最多需要3分钟的等待时间,并且它只会呈指数增长。

–伊兹卡塔
2011-12-15在19:05



基于IP的解决方案在这里并不是一个好主意。 Tod1d需要解决根本问题,使他成为验证欺诈卡的目标,而不是在其付款应用程序中使用管道窃听代码。

–江铃汽车
2011-12-15 19:39



#2 楼

您可以将其报告给Paypal,让他们完成工作并调查这些交易,并在上游采取适当措施以确保在付款提供商级别拒绝交易。

这不仅可以为您解决问题,而且可以为您解决问题所有站点都使用相同的支付服务,并且如果它足够认真的话,他们还将把它进一步传递给发卡行。

您不仅有机会在您的站点上解决问题,以帮助解决许多站点中的问题。如果此问题尽可能在上游解决,则对每个人都更好。

评论


谢谢你的建议。我们已经联系了PayPal,他们正在调查中。不幸的是,他们显然在花时间。

– Tod Birdsall
2011-12-15 15:50

#3 楼

在不了解您的设置的情况下四肢走动。

您似乎是一个目标,因为您没有验证任何帐单地址凭据。这样,他就可以验证有效的卡号,而不必知道许多有关卡的其他信息,例如帐单邮编。您的错误消息也很可能过于冗长,给该家伙有关下降的更多信息,而他在其他地方找不到。大多数电子商务商店都会返回通用拒绝消息,以避免成为此类滥用的目标。

作为一个侧面说明,我相信从长远来看,像这样被习惯使用PayPal会对您造成伤害,导致他们坚持高利率,因为您是有风险的客户。阅读与他们达成的协议,了解由于欺诈和风险导致的其他%积分。如果我没记错的话,这表示如果您属于高风险类别,它们可以为每笔交易增加5%的积分。

评论


你是对的。我们没有使用地址验证。我们正在对此进行补救。

– Tod Birdsall
2011-12-16 18:07