問題タブ [fraud-prevention]

非営利団体向けの寄付フォームの作成に携わっています。私たちは最近、低額の提出の速いラウンドに見舞われました. 多くは無効なカードでしたが、いくつかは通過しました。明らかに、誰かが一連のカード番号の有効性をチェックするスクリプトを作成しました。おそらく、後でそれらを販売できるようにするためです。

今後、この影響を防止または制限する方法についてのアイデアはありますか?

システムのすべての側面 (コード、Web サーバーなど) を制御できます。はい、フォームは https で実行されます。

サイトを開設する場合、クレジットカード番号を教えてくれた人（たとえば）がその使用を許可されている人であることを確認するにはどうすればよいですか？おそらくもっと一般的には、購入であろうとシステムアクセスであろうと、詐欺や盗まれたIDの使用の機会を減らすにはどうすればよいでしょうか。

私はこの分野（オンライン購入）では働いていませんが、ユーザーの認証は非常に難しい/トリッキーな努力でなければならないと思います。

私は、家庭教師と学生がお互いを見つけることができるマーケットプレイスのウェブサイトを開発しています。私は、家庭教師が支払いを受けることができるオンライン支払いシステム（elanceやguru.comによく似ています）を構築しています。

カップルの質問：

1. ナイジェリアなどの特定の国からのIPアドレスをブロックするための最良の方法は何ですか？（私はRuby on Railsを使用しているので、それに固有の推奨事項はさらに優れていますが、そうでない場合でも問題ありません。）

2. 特定のIPをブロックする以外に、他にどのような手法を使用できますか？（私はすでにAVSと通常のゲートウェイチェックを行っています）。

3. どのような一般的な詐欺をチェックする必要がありますか？

たとえば、私が考えることができるのは、システムを使用して自分で支払いをし、その資金を支払い（手数料を差し引いたもの）として受け取り、クレジットカードでチャージバックを行う人です。

これらは、PaypalやGoogle Checkoutなどのサイト（これらの集約サイトと呼ばれることもあります）が直面する問題に似ていると思います。これは、元の資金源が失われた場合、大きな損失になります（多くの場合、通常の高マージン製品とは異なり、利益が発生します）。

いくつかの追加のメモ：

1. 私のユーザーアカウントはすでに電子メールの検証を必要としています-これは最低限です、私はこれを超える何かを探しています
2. 直接預金には3〜5日間の待機期間がありますが、これは銀行が義務付けていますが、それでも3〜5日間に不正かどうかを判断する方法についての質問には答えないため、キャンセルできます。
3. サインアップに課金したり、引き出しが要求されるまでアカウントに資金を残してもらうなど、良い人と悪い人を罰する解決策は避けたいと思います（Paypalなど）

私たちは、私たちのウェブサイトで詐欺を阻止する良い方法を探しています. 一定のトラフィックが入ってくるサイトがあります。通常の情報 (IP、セッション、Cookie など) に加えて、ユーザーが提供した情報に定期的にアクセスできます。

重複ユーザーをリアルタイムで検出できる必要があります。基本的に、人々は各アカウントでお金を稼ぐために、別の人のふりをしてやってくる. 重複したユーザーとロボットがシステムに侵入するのを阻止する必要があります。

ロボットを停止または遅くするために、CAPTCHA を実装しました。これは少し役に立ちました。

アカウントの重複を防ぐために、IP トレンド システムを作成しました。過去 10 分間に重複したアクティビティがあったアカウントは、一時的に (そして黙って) 停止されました。また、その IP でアクティビティがあるすべてのアカウントの「重複」カウンターをインクリメントしました。このフラグは、重複アクティビティが多すぎる場合にアカウントをすばやく点灯させます。

ただし、上記の修正は、誰かが 1 日後に来ると機能しません。また、プロキシ サーバーや別の IP を使用している場合も機能しません。AOL アカウント (および共有 IP アドレスを使用する他の ISP) で大量の誤検知を生成します。リアルタイムで複製詐欺やロボット詐欺を遅らせたり止めたりするために、他にできることはありますか?

リアルタイムでそれらを阻止できれば、広告主を満足させ続けることができます (詐欺は決して起こりません)。数日以内にそれらを停止できれば、少なくともこれらの重複したアカウントへの支払いを停止できるため、試行を続ける必要はありません。

この詐欺を検出する自動化されたソリューションに関するヘルプをいただければ幸いです。

新しいアカウントにサインアップするとき、Webアプリは「セキュリティの質問」への回答、つまり犬の名前などを尋ねることがよくあります。

私はデータベースを調べて、ユーザーが正当な答えを提供するのではなく、キーボードをマッシュしただけのインスタンスを探したいと思います。これは、不正/不正なアカウントの高い指標です。

"母親の旧姓？" lakdsjflkaj

これをどのように行うべきかについての提案はありますか？

注：私はこれらの「セキュリティの質問の回答」に正規表現を使用しているだけではありません

「回答」は次のようになります。

1. いくつかの基本的なSQL正規表現を使用してデータベースから選択

2. Python正規表現を使用して必要な回数だけ分析

3. 必要に応じて比較/剪定/スコアリング

これは技術的な質問であり、哲学的な質問ではありません ;-)

ありがとう！

私は次のことをしようとしています: 株式市場の不正検出システムを設計しようとしています。私は詐欺の仕様を知っています (それらはテンプレートのようなものです)。テンプレートを設計して、このテンプレートに一致するすべてのレコードを検索できるかどうかを知りたいです。

注意: テンプレートが複雑なため、従来のクエリを使用することはできません。たとえば、私の詐欺の 1 つは循環取引です。たとえば、A が B から購入し、B が C から購入し、C が A から購入しました (サイクルです)。このサイクルには 4 人または 5 人が含まれます。

この状況について何か良い提案はありますか。

私が経営するビジネスのタイプでは、顧客は支払う前に結果を得ることができます。彼らがサインアップするとき、私は彼らのクレジット カード情報を取得し、あとがきで 1 週間から 1 か月の間、私のサービスに対して料金を請求します。ほとんどの場合、これはスムーズに進みますが、時折、バーチャル クレジット カードを使ってシステムを操作し、デビット カードを捨ててしまう人もいます (ウォールマートで購入する場合のように)。

私はいくつかの調査を行い、http://en.wikipedia.org/wiki/List_of_Bank_Identification_Numbersを見つけましたが、完全なリストではありません。カードがどこから来たのかを特定する方法はありますか？具体的には、仮想カードと使い捨てカードです。

または、誰かがこの問題を経験したことがあり、この問題に対処するためのアイデアを教えてくれるかもしれませんか?

最近、作業中のWebサイトに証明書をインストールしました。私は可能な限り多くのサイトをHTTPで動作させるようにしましたが、ログインした後は、セッションのハイジャックを防ぐためにHTTPSのままにする必要がありますね。

残念ながら、これはGoogleマップでいくつかの問題を引き起こします。IEで、「このページには安全でないコンテンツが含まれています」という警告が表示されます。今のところ、GoogleMapsPremierが安全なサービスを受ける余裕はないと思います。

これは一種のオークションサイトであるため、ハッカーがアカウントに侵入したために購入しなかったものに対して料金が請求されないようにすることが非常に重要です。ただし、すべての支払いはPayPalを介して行われるため、クレジットカード情報は保存していませんが、個人の連絡先情報は保持しています。不正請求は、それが発生した場合、かなり簡単に取り消すことができます。

あなたたちは私が何をすることを提案しますか？サイトの大部分をHTTPSから外して、パスワードを入力する場所のように特定のページを保護する必要があります。それだけですか？それが私たちの競争がしているようです。

Google (およびその他の PPC 企業) がクリック詐欺を防止するために使用する方法は?

いくつかの支払いゲートウェイから選択する必要があります。PayPal は非常に混乱しており、いくつかの詐欺の問題があったと聞きました。PayPal を使用した経験のある方はいらっしゃいますか?

前もって感謝します