問題タブ [fraud-prevention]

私は非営利団体で働いており、オンライン寄付ページを作成しました。最近、この寄付ページは、カーディングと呼ばれるプロセスを介して、盗まれたクレジットカードの詳細を検証するために使用されています。

それが機能する方法は、怠け者がクレジットの詳細の全体を把握しているが、どの数字が良いかどうかを知らないということです。そこで彼らは寄付ページに行き、盗まれたカード番号で少額の寄付（$ 5以下）を試みます。寄付が通過した場合、彼らはより大きな購入のためにその番号を使用することができます。

これらの「寄付」のほとんどは取り消されなくなり、場合によっては銀行からチャージバック料金が請求されるため、カーディングには非営利団体に多額の費用がかかる可能性があります。

他の誰かがこれを経験したことがありますか？また、私がそれを止めることができるいくつかの方法は何ですか？

クリックされた広告が有効か無効か (悪意のあるクリックまたはボットによるクリック) を Google アドセンスが判断する方法は?

私はこの種の仕事をしている会社を知っています。
http://www.adometry.com/
以前は Click Forensics として知られていました。

私はデンマークの中小企業のウェブデザインを行ってきましたが、最終的なサイトを作成するために大企業とすでに契約を結んでいます。

この会社の提案の中で、クライアント サーバーに Magento をインストールするためのかなりの料金と、設計を統合するための追加料金を請求していることがわかります。

同じ会社は、私のクライアントが FTP または同様のサーバーへのアクセスを行うことを禁止しているため、自分でこれをインストールすることはできません。

私の質問は、Magento の再販は本当にライセンスによって許可されているのでしょうか? この会社は、Magento のライセンスが含まれていない空のバージョンをインストールするだけでも、かなりの金額を請求したいと考えています。

私はより大きな会社を調べましたが、この会社は Magento の固定ライセンスを持っていません。そして、彼らがそれを手に入れたとしても、私はここで何か合法/ライセンスが間違っているという卑劣な気持ちを持っています.

これをあなたと共有する理由は、いくつかの重要な質問を提起し、私のクライアントがウェブサイトに別の会社を使用していることを提案する必要があるという直感を持っているためですが、私が正しい側にいることを確認する必要があります.

この IT 企業は Magento/Varien と提携しておらず、評判はすでにやや悪くなっています...

これについて Magento にメールしましたが、まだ何の返事もありません。

ウェブサイトのユーザーからある種の地理情報を収集したいと思います。特定のデータセットについて、場所にプロパティがあるかどうかを示すチェックボックスをマークします。収集されたデータ セット全体 (および場合によってはその他の情報) に基づいて詐欺やスパムの送信を検出するためのツール/フレームワークはありますか? フィルタリングされた、より信頼性の高いデータを取得したいと考えています。

私はロシア市場向けのVoIP通話会社を持っており、ロシアのWebサイトでアカウントにサインアップし、クレジットを購入して電話をかけることができます。私のサービスはあまり人気がなく、顧客数は100人までです。最近、盗まれたクレジットカード/デビットカードまたはPayPalアカウントを使用して支払いを行う不正なユーザーが約10人いました。私のウェブサイトはロシア語ですが、盗まれた情報で50ドル相当のクレジットを購入したソマリアからの詐欺的な顧客がいました。不正なユーザーがサインアップしてクレジットを使い果たしてから2日後、PayPalから、これらの取引は「不正（取引）」であるというメールを受け取りました。PayPalは、この紛争を解決し、財務情報が漏洩した人々と話をして払い戻しを行うために10日間を与えてくれました。何時間にもわたる議論と討論の後、私は返金を行い、損失を受け入れる必要がありました。だが、これはどのように機能しますか？$ 1000.00相当のクレジットを購入した100人の不正な顧客がいた場合はどうなりますか？どうすればこれに対して自分自身に保険をかけることができますか？私のサービスはロシア語でしたが、誰もがサインアップできる英語のWebサイトがあったらどうなりますか？そのようなことからサービスをどのように保護しますか？

私が考えることができる対策のいくつかは次のとおりです。

1. お客様は確認メールでアカウントをアクティブ化する必要があります（実装済み）
2. アカウントはデフォルトではアクティブ化されていません。手動でアクティブ化する必要があります（顧客はこれを気に入らない場合があります）
3. 提供された電話番号で新しい顧客に電話して、彼が本当にサインアップしたかどうかを確認します（私はこれが嫌いです）

ご意見・ご感想をお待ちしております！

アカウント情報でログインすることでアクセスできる安全なエリアを含む Web サイトを持っています。セキュア エリア内には、高価な IP がいくつかあります。人々が自分のパスワードを他の人と共有していることに気づきました。不正パターンを検出するために実装できる既存のテクノロジー/ソリューション/方法はありますか?

助けてくれてありがとう。

不正取引の検出に Native Bayes Classifier を使用しようとしています。Excel シートに約 5000 のサンプル データがあります。これは、分類子のトレーニングに使用するデータであり、テスト分類子を適用する約 1000 のテスト データがあります。

ここで私の問題は、分類子をトレーニングする方法がわからないことです。トレーニングデータをトレーニング分類子に渡す前に、トレーニングデータを特定の形式に変換する必要がありますか? トレーニング分類器が、どれが私の目標値でどれがその特徴であるかをどのように知るか。

誰か助けてくれませんか？

ユーザーがアプリケーションを抽出できないようにする方法があることは知っていますが、そのAPK方法がわかりません。

どのようにするか知っていますか？

たとえば、アプリのAstro File Manager抽出に使用する場合APK、一部のアプリでは機能しますが、他のアプリでは使用できません。アプリケーションを保護するにはどうすればよいですか。

コードを見せてください。

さて、ペイパルについて話します。その理由は、デジタル商品を販売していることを受け入れるマーチャント アカウントを取得するのが非常に難しいためです。そのため、paypal が唯一の簡単なオプションです。

これを投稿する理由は、チャージバックとペイパルに関する古い情報がたくさんあるからです。私が発見したことをここで共有すると思いました。私よりもよく知っている人が間違いを指摘するように。

ポイント：

PayPal は、無形の商品が関係する買い手または売り手を保護しません。

これが意味すること:

ここで重要なのは、PayPal が買い手と売り手の両方を保護していないという事実です。これは、誰かがあなたが提供した無形の製品/サービスに対して PayPal を通じてチャージバックを試みた場合を意味します。PayPal に、それが無形の商品であったことを伝えるだけでよく、ケースをクローズする必要があります。

しかし、あなたが読むように、人々は常にPayPalが関与するチャージバックのケースを失います. これは、PayPal が無形商品の購入者を保護しないが、製品の購入に使用されたクレジット カード会社が保護するという事実によるものです。したがって、チャージバックは、実際にはクレジットカード会社が PayPal からお金を受け取り、次に PayPal があなたからお金を受け取ることです。この場合、どうしようもなく受け入れるしかないようです。

クレジットカード会社がチャージバックを実行する理由はたくさんあります。大きな問題の 1 つはクレジット カードの盗難です。私が最も心配しているのはどれですか。

しかし、ここ英国では多くの Web サイトが「3D セキュア」を使用していると思いました。これは基本的に、クレジット カードを使用するたびにパスワードを入力する必要があることを意味する追加のセキュリティ層です。これは、加盟店からカード会社に責任を転嫁するためのものです。

少し調べてみたところ、PayPal は Verified by Visa と MasterCard SecureCode (3D セキュアとほぼ同じもの) の形式で購入者認証を提供していることがわかりました。

優秀な！これにより、盗まれたクレジット カードの被害者になるリスクが大幅に減少します。しかし、多くの人がその余分なステップを望んでいないため、売上が減少します.

しかし、それが役に立たないのは、他の理由でチャージバックを行う人々です. 「商品が届かなかった」「説明と違っていた」「私はちょっと頭が悪いので、あなたをだまそうとするだけです」など。

これらすべてを念頭に置いて、ここに私の質問があります：

1) PayPal は、デジタル アイテムのクレジット カード チャージバックからお客様を保護しません。しかし、それは、クレジットカード会社に直接証拠を提供しようとすることはできないということですか?

2) あなたが提供した無形の商品/サービスを誰かが購入して使用したことを証明する、クレジットカード会社に受け入れられる保証された証拠はありますか? (できれば、個人情報のファックス送信に依存しないことをお勧めします)

この質問が本当に素朴な場合は申し訳ありませんが、関連する回答を見つけることができずにできる限り検索しました。

この 3 日間、https の仕組みを理解しようとしました。最近まで私が知っていたのは、対称暗号と非対称暗号がどのように機能するかということだけでした。これら 2 つが ssl-https にどのように適用され、いわゆるデータ暗号化とサーバー ID 検証を実現するかを理解するときが来ました。

データの暗号化と中間者攻撃の防止に関して、すべてが明確です

サーバーの身元確認がどのように機能するかを完全には理解していないようですので、ご協力いただければ幸いです。

これまでの私の理解は次のとおりです。

クライアントが https 経由でサーバーに接続すると、サーバーは CA によって署名された証明書を送信します。このサーバー証明書は、サーバーに関する情報 (名前、所有者の電子メール、公開鍵など) とデジタル署名を含むテキスト ファイルです。

この署名は、サーバー情報のコンテンツのハッシュであり、CA 秘密鍵によって暗号化されています。

クライアントは、サーバー情報のハッシュを独自に生成し、CA の公開鍵を使用して署名を復号化することにより、署名の有効性を確認します。復号化された署名値が生成されたハッシュと同じである場合、署名と証明書はその後有効になります。

ここで、官民暗号化方式には二重の性質があることに注意してください。メッセージは公開鍵で暗号化し、秘密鍵で復号化できます。同じメッセージを秘密鍵で暗号化し、公開鍵で復号化することもできます。

ここで覚えておく必要があるのは、証明書が静的で変更不可能なファイルであることです。ファイルを変更すると、署名の不一致が発生します。

ここで、https をだます方法について説明します。

URL = https://wwww.TheBank.com/ebanking (public IP = 195.134.0.1)の ebanking サイトがあるとします。この URL に接続すると、ブラウザがサーバー証明書を取得します。(theBank.cer)

同時に私はインターネットカフェのオーナーです。私のインターネット カフェには、独自のルーター、DNS、および DCHP サーバーがあり、それらを制御する知識があります。WEBサーバーもあります。

銀行と同じように、IP 195.134.0.1 を所有するように Web サーバーを構成します 195.134.0.1 の接続要求を Web サーバーに送信するルーターへのルートを作成します 上記の銀行の URL を 195.134.0.1(私の Web サーバー) 私は自分の Web サーバーに詐欺的な銀行サイトを配置しています。このサイトへの接続では、以前にダウンロードした証明書をクライアントに送信するように Web サーバーに指示します ( theBank.cer)。

ユーザーが私のカフェに来て、私のネットワークに接続し、この銀行に接続しようとします。私のサーバーは彼に銀行の証明書を送信します。彼のブラウザは証明書の有効性を確認します。これは実際に有効なものであり、URL、IP、およびホスト名が本物と同じであるため、私の偽の Web サイトへの接続を許可します。

これで私の詐欺は成功です。

もちろん、このセキュリティ ホールはあまりにも明白すぎて真実ではありません。つまり、このサーバー ID 検証手順で何か理解できませんでした。誰かが私にここで何が欠けているのか説明してもらえますか?