Ограничение влияния скриптов / ботов на обработку кредитных карт

Question

Я участвую в создании формы пожертвования для некоммерческих организаций. Мы недавно были поражены быстрым раундом низкооплачиваемых заявок. Многие были недействительными карточками, но некоторые прошли. Очевидно, что кто-то написал сценарий для проверки правильности ряда номеров карт, возможно, чтобы они могли продать их позже.

Любые идеи о том, как предотвратить или ограничить влияние этого в будущем?

Мы контролируем все аспекты системы (код, веб-сервер и т. Д.). Да, форма работает через https.

Answer 1

При обнаружении потока недействительных транзакций с одного IP-адреса или небольшого диапазона адресов заблокируйте этот адрес / сеть.

Если ботнет используется, это не поможет. Вы по-прежнему можете обнаружить потоки заявок на низкую сумму в долларах и, таким образом, делать выводы, когда вас атакуют; в это время откладывайте заявки на небольшие суммы, чтобы они занимали больше времени; ввести капчи для пожертвований на небольшие суммы в долларах; проконсультируйтесь с отделом по предотвращению мошенничества вашего банка, если они могут использовать журналы вашего сервера, чтобы поймать злоумышленников.

Заставить доноров создавать учетные записи, чтобы делать пожертвования; защитить создание учетной записи с помощью CAPTCHA и ограничить размер пожертвований с любой учетной записи.

Повысить минимально допустимое пожертвование до такой степени, что мошенники больше не имеют финансового смысла использовать вас таким образом.

Answer 2

Вместо CAPTCHA, которые будут раздражать пользователей, вы можете воспользоваться тем, что у большинства людей включен JavaScript, а у ботов - нет. Просто создайте небольшой фрагмент JavaScript, который при запуске вставляет определенное значение в скрытое поле.

Для тех, у кого отключен Javascript, вы можете показать CAPTCHA (используйте тег <noscript>), и затем вы можете принять отправку, только если какая-либо из этих мер проверена.

Для максимального раздражения злодеев вы могли бы сделать разницу между сообщением об успешном завершении и сообщением об отказе в вычислительном отношении трудным для различения (скажем, все то же самое, за исключением одного изображения, отображающего сообщение), но простым для понимания человеком.

Answer 3

Повышение минимального пожертвования до уровня, когда мошенники больше не имеют финансового смысла использовать вас таким образом, поможет в целом.

Это. В любом случае, сколько законных пожертвований вы получите за 5 баксов?

Answer 4

ограничить количество отправлений с одного и того же IP-адреса до одного в минуту или в течение разумного периода времени, необходимого реальному человеку для заполнения формы