Чи варто відмовитись від кредитної картки на основі IP-адреси

У нас виникають проблеми з користувачем, який заходить на наш сайт, щоб спробувати перевірити сотні номерів кредитних карт. Він здійснюватиме близько 400+ транзакцій за 1,00 доларів США одночасно, знайде дійсні номери картки і потім вийде. Це відбувається з більшою частотою.

Він використовує те саме ім’я та адресу кожного разу, і його IP-адреса однакова. Ми робимо кілька кроків для вирішення проблеми.

Одним із кроків, які я хотів би зробити, є запобігання йому подати транзакцію, якщо я побачу його IP-адресу. Чи безпечно це робити? Чи можу я потенційно втратити законні продажі, роблячи це?

До речі, ми використовуємо послугу PayPal Payflow pro для обробки кредитних карток.

paypal fraud-detection

— Тод Бердсалл
джерело

Я сумніваюсь, що блокування ip-адреси зупинить її з часом, якщо це зловмисний користувач. Ви сказали, що він використовує одну і ту ж адресу кожного разу, ви маєте на увазі адресу для виставлення рахунків, яка підтверджується карткою або просто адреса, зареєстрована на вашому сайті?

— JMC

@JMC: Він використовує ту саму платіжну адресу та ту саму IP-адресу для кожної транзакції.

— Tod Birdsall

Зараз я не можу отримати адресу. Але у ФБР є спосіб повідомити про подібні шахрайства в Інтернеті. Швидкий пошук може знайти його для вас (інтернет-фільтр на роботі мені не дозволяє).

— Кріс

Відповіді:

Якщо він завжди з однієї IP-адреси, то блокування - це гарна ідея. Якщо це регіон, в якому ви не займаєтесь бізнесом, тоді блокування діапазону IP може бути не поганою ідеєю.

Альтернативний підхід - визначити, коли цей користувач перебуває на вашому сайті, і дати їм погану інформацію. Випадково скажіть їм, коли кредитні картки є добрими чи поганими, не намагаючись їх перевірити. Крім того, ви можете робити кожен запит дуже повільно, вимагаючи все більше його часу робити це, роблячи це неефективним для своїх цілей. Врешті-решт вони вважатимуть вас не вартим свого часу і поїдуть в інше місце.

— Джон Конде
джерело

Randomly tell them when credit cards are good or bad without actually attempting to validate them.. Це просто так смішно.

— PeeHaa

Дякую за пропозиції. Якщо я роблю IP-пошук правильно, це здається з штату Невада, США. Я не хочу блокувати цей регіон. Мені дуже подобається ідея зробити так, щоб транзакції тривали більше часу та надавали випадкові відповіді.

— Tod Birdsall

Я б сказав, що це протипродуктивно, кумедно, оскільки це було б возитись з розумом шахраїв, це, мабуть, закінчить більше часу, ніж його (припустимо, що "він" навіть людина, а не програмне забезпечення). Крім того, ви ризикуєте дратувати законних клієнтів з цієї області. Я б сказав, що надішліть користувача з цим IP-адресою на сторінку, в якій сказано, що виявлено нерегулярну активність, про її повідомлення, і ви вибачаєтесь за незручності. Потім введіть номер телефону, щоб зателефонувати законним користувачам, які бажають придбати тим часом.

— Codecraft

@ Tod1d Якщо говорити про відповіді з вашого сайту, затримка може бути найкращою. Помножте час очікування цього IP на 1,3 секунди або близько того кожного разу, коли перевірка завершиться невдало. Розділіть на одну і ту ж суму на кожен день або тиждень (тому реальні користувачі не накопичують затримок через помилки друку). Якщо базовий час очікування на першу помилку становить 1 секунду, вам до 3 хвилини часу очікування після 19 відмов, і він просто продовжує рости в експоненціальному

— масштабі

Рішення на базі IP не є хорошою ідеєю. Tod1d повинен виправити корінні проблеми, які роблять його цільовим для перевірки шахрайських карток замість коду, що вводить протокол, у його платіжну заявку.

— JMC

Ви можете повідомити про це в Paypal, дозволити їм виконувати свою роботу та розслідувати ці транзакції та вжити відповідних заходів вгору, щоб переконатися, що трансакції відхиляються на рівні провайдера платежів.

Це виправляє не лише вас, але й усі сайти, що використовують однакову платіжну послугу, і якщо вона досить серйозна, вони передадуть її далі вгору по лінії емітентам карт.

Замість того, щоб просто виправити проблему на своєму сайті, у вас є можливість допомогти виправити проблему на багатьох сайтах. Для всіх краще, якщо цю проблему вирішувати якомога далі за течією.

— Codecraft
джерело

Дякую за пропозицію. Ми вже зв’язалися з PayPal, і вони розглядають це. На жаль, вони, мабуть, беруть свій час.

— Tod Birdsall

Виходьте на кінцівку, не знаючи багато про ваше налаштування.

Здається, що ви цільові, оскільки ви не підтверджуєте жоден обліковий запис адреси рахунків. Це дозволяє йому перевіряти дійсні номери картки, не знаючи багато додаткової інформації про карту, наприклад, поштовий індекс для виставлення рахунків. Можливо також, що ваші повідомлення про помилки занадто багатослівні і дають хлопцеві більше інформації про зниження, ніж він може знайти інше - де. Більшість магазинів електронної комерції повертають загальні повідомлення про відхилення, щоб не стати ціллю для цього типу зловживань.

Як зауваження, я вважаю, що звикання таким чином може завдати вам шкоди в довгостроковій перспективі з PayPal. Прочитайте згоду з ними щодо додаткових% балів через шахрайство та ризик. Якщо я правильно пам’ятаю, це говорить щось подібне, вони можуть додати до 5% балів за кожну транзакцію, якщо ви потрапляєте до категорії високого ризику.

— JMC
джерело

Ви праві. Ми не використовували перевірку адреси. Ми зараз це виправляємо.

— Tod Birdsall