限制信用卡处理脚本/机器人的影响

Posted 2023-02-22

【中文标题】限制信用卡处理脚本/机器人的影响

【英文标题】：Limiting impact of credit card processing scripts/bots

【发布时间】：2010-09-14 21:32:57

【问题描述】：

我正在参与为非营利组织创建捐赠表格。我们最近受到了一轮快速的低美元提交的打击。许多是无效卡，但有一些通过了。显然有人写了一个脚本来检查一堆卡号的有效性，可能是为了以后可以卖掉。

有什么想法可以在未来预防或限制这种影响吗？

我们可以控制系统的所有方面（代码、网络服务器等）。是的，表单通过 https 运行。

【参考方案1】：

当检测到来自单个 IP 地址或小范围地址的大量无效交易时，阻止该地址/网络。

如果正在使用僵尸网络，这将无济于事。您仍然可以检测到大量的低金额提交，并在您受到攻击时进行推断；在此期间，停止提交低金额的提交，以延长提交时间；为小额捐款引入验证码；请咨询您银行的防欺诈部门，以防他们利用您的服务器日志来抓获肇事者。

强制捐赠者创建帐户以进行捐赠；使用 CAPTCHA 保护帐户创建，并限制来自任何一个帐户的捐款。

将允许的最低捐款提高到诈骗者以这种方式利用您不再具有经济意义的程度。

【讨论】：

验证码绝对会激怒合法的捐赠者。您希望尽可能轻松地进行捐赠。

绝对需要尽可能轻松。这就是我们不需要帐户的原因之一。

【参考方案2】：

您可能希望利用大多数人启用了 javascript 而机器人没有启用的事实，而不是会惹恼用户的 CAPTCHA。只需创建一小段 javascript，它在运行时会在隐藏字段中插入特定值。

对于那些禁用了 Javascript 的用户，您可以显示验证码（使用 <noscript> 标签），然后只有在这些措施中的任何一个检查通过时，您才能接受提交。

为了最大程度地让作恶者感到烦恼，您可以在计算上难以区分成功消息和失败消息（比如说，除了一张显示消息的图片之外，所有内容都相同），但对于人类来说很容易理解。

p>

【参考方案3】：

将来自同一 IP 地址的提交限制为每分钟一次，或任何一个真实的人填写表单所需的合理时间

【讨论】：

我会说限制更多，可能每小时一次或每天一次。我的意思是，有些人多久会向同一个网站捐款？大多数人每月向特定慈善机构的捐款可能不会超过一次。

【参考方案4】：

将最低捐款提高到诈骗者以这种方式使用您不再具有经济意义的程度通常会有所帮助。

这个。无论如何，您可以获得多少低于 5 美元的合法捐款？

【讨论】：

犯罪方不会简单地增加他们将尝试的最低金额吗？我知道他们试图在银行的雷达和银行对帐单上飞行，但现在 10-20 比 2.35 在您的对帐单上更常见。你有这方面的具体经验吗？