Как защититься от пользователей с несколькими учетными записями?

Question

У нас есть сервис, где мы буквально раздаем бесплатные деньги.

Естественно, что эта служба созрела для злоупотреблений. Чтобы защититься от этого, мы делаем следующее:

• IP-адрес журнала

• использовать уникальные адреса электронной почты (только 1 acct / email addy)

• собирать больше информации, как ул. адрес, номер телефона и т. д.

• использовать капчу регистрации

• BHO (я видел покер-румы, которые их используют)

Теперь, давайте сделаем это по-настоящему - ничто из этого не остановит решительного пользователя.

Очевидно, что IP-адреса могут быть изменены через прокси-сервер (который может быть занесен в черный список через akismet), но в любом случае меняются, если у пользователя динамический IP-адрес или если более одного пользователя находятся за сетью NAT (мы можем сказать, что почти все? )

Я могу подписаться на тысячи уникальных адресов электронной почты каждый час - это не защита.

Я могу вставить поддельную информацию, взятую из списков для улиц и телефонных номеров.

Я могу купить капчу в сервисе решения капчи (1k за 5 долларов).

bhos кажется эффективным только для загружаемого программного обеспечения - это веб-сайт

Каковы другие способы предотвращения злоупотребления сервисом несколькими пользователями? Как все люди из PPC контролируют мошенничество с кликами?

Я знаю, что мы могли бы действительно позвонить этому человеку, но я не думаю, что мы пытаемся сделать это в ближайшее время.

Спасибо

Answer 1

Довольно сложно создать множество поддельных телефонных номеров, которые могут отправлять и получать SMS-сообщения. СМС проверка может иметь большое значение для сокращения мошенничества. Конечно, это также ограничивает вас в раздаче бесплатных денег владельцам сотовых телефонов.

Answer 2

Во-первых, я полагаю (надеюсь), что вы буквально не отдаете бесплатные деньги, а отдаете их для использования своего сервиса или чего-то в этом роде.

Это важно, поскольку существует большая разница между пользователями, пытающимися просто получить от вас бесплатные деньги, которые они могут потратить на покупку дорогих автомобилей, а не только на ваши услуги, которые были бы гораздо более ограниченными.

Очевидно, что гораздо больше пользователей будут пытаться обмануть систему в первом случае, чем во втором.

Почему это важно? Потому что все зависит от баланса между вашим контролем и раздражением пользователя. Я вижу много ответов, сосредоточенных на контрольной части, так что давайте пройдем через раздражение, ладно?

• Регистрация IP-адреса. Что если я следующий парень за компьютером в интернет-магазине, а парень до меня уже использовал этот IP? Другой парень покинул вашу горячую страницу, которую я сейчас вижу, но я облажался, потому что IP заблокирован. Да, я могу перейти на другой компьютер, но это раздражает, и у меня могут быть другие дела.

• Сбор физических адресов. Для чего??? Вы собираетесь навестить меня? Или начать посылать мне спам-письма? Позвольте мне угадать, чаще всего вы получаете адреса с опечатками в лучшем случае и поддельные в худшем случае. На самом деле, для меня гораздо меньше проблем с тем, чтобы дать вам поддельный адрес и не иметь дело с любыми возможными спам-письмами, которые мне придется перерабатывать экологически безопасным способом. :)

• Сбор телефонных номеров. Опять же, почему я должен доверять вашему сайту? Это настоящая история. Я дал свой номер телефона, чтобы скрыть сайт, а затем я начал получать случайные сообщения, полные бессмыслицы, такие как "удар на лету". Это я просто удалил. Только позже и случайно обнаружил, что я получил 2 евро за каждое из этих сообщений !!! Хочу ли я получить эти неприятности? Очевидно нет! Так что нет, приятель, извините, что разочаровал, но я не дам вашему сайту мой номер телефона, если ваша компания не называется Facebook или Google. :)

• Используйте регистрационный код. Я люблю это :). Так чего же мы пытаемся достичь здесь? Будут ли у пользователя, который намерен злоупотреблять вашим сервисом, проблемы с вводом нескольких кодов? Я сомневаюсь. Но как насчет "хорошего пользователя"? Знаете ли вы, как раздражающие капчи для многих пользователей ??? А как насчет пользователей с нарушениями зрения? Но даже без этого большинство капч настолько плохи, что заставляют вас чувствовать, что у вас плохое зрение! Лучший совет, который я могу дать - если вам небезразличен пользовательский опыт, избегайте капч как чумы! Если у вас есть какие-либо сомнения, сначала проведите онлайн-исследование!

См. Здесь подробнее о контроле против раздражения и здесь еще несколько мыслей о том, чтобы быть удобным для пользователя.

Answer 3

Re: регистрация новых учетных записей электронной почты ...

Пользователю даже не нужно этого делать.Пожалуйста, не стесняйтесь отправлять вашу почту на brian_s@mailinator.com, или feydr.asks.a.question@spamherelots.com, или stackoverflow@safetymail.info, или my_arbitrary_username@zippymail.info.Я не зарегистрировал ни одного из этих адресов электронной почты, но все они будут работать.

Эти домены принадлежат ManyBrain, и они (и, вероятно, другие) также настроили домен для принятия любого пользователя электронной почты.В частности, ManyBrain делает общедоступными входящие почтовые ящики для этих писем без какой-либо регистрации (удаление всего текста из письма и удаление старой почты).Проверьте это: !

В почтовом ящике *1005*admin@mailinator.com * Другие упоминали способы попытаться сохранить уникальность идентификаторов пользователей.Это еще одна причина не доверять адресам электронной почты.

Answer 4

Я думаю, что единственный способ - привязать учетные записи ваших пользователей к информации «реального мира», например, к номеру его / ее паспорта. Конечно, вам нужно убедиться, что информация надежно хранится, и найти способ ее проверки.

Answer 5

Я думаю, что никогда не будет возможности иметь систему идентификации, которая идентифицирует поддельные удостоверения, которые:

• дешевы в эксплуатации (я думаю, это называется "эксплуатационные расходы"?)
• дешевый в реализации (в идеале одноразовая стоимость - как это называется?)
• не имеет ошибок типа I / типа II
• масштабируется

Но я думаю, что вы могли бы помешать пользователям иметь слишком много (скажем, довольно случайное число: более 50) учетных записей.

Вы можете комбинировать следующие подходы:

• IP-адрес : можно обойти с помощью VPN
• CAPTCHA : можно обойти с помощью человеческих ферм (см., Например, эту статью - хотя они утверждают, что их тест не может быть так легко передан другим людям, я сомневаюсь, что это правда)
• идентификация на основе способностей : может быть подделана, когда вы знаете, что хранитсяи как именно идентификация работает по случайному (но с заданным распределением) актинуg (пример: brainauth.com )
• Реальное взаимодействие : Хотя это может быть лучшим, но я думаю, что это дорого, и не так много пользователейпринять это.Кроме того, для некоторых пользователей / стран это может быть невозможно.(пример: Postident в Германии, где Почта хочет видеть ваше удостоверение личности. Я полагаю, что правительство может столкнуться с этим в массовом порядке.)
• Другие сайты /resources : Это в основном трансформирует проблему для других сайтов.Вы можете пользоваться услугами, где не разрешено / необычно / дорого иметь более 1 аккаунта
  • Электронная почта
  • Номер телефона : например,с помощью SMS см. Многофакторная аутентификация
  • Банковский счет : PayPal;перечислите не так много денег или попросите их перечислить вам случайную (небольшую) сумму (которую вы отправите обратно).
• Социальная основа
  • Когда вы берете социальный граф (вершины - это люди, ребра - это связи), вы ожидаете некоторого распределения.Вы знаете, что вы один человек, и вы знаете некоторых других людей.Итак, у вас есть «сеть доверия» (в кавычках, потому что я думаю, что это может быть использовано и в другом контексте).Теперь вы можете не доверять людям / сетям, которые интенсивно взаимодействуют с вашим сервисом, но либо изолированы (без соединения), либо связывают большую группу с другой большой группой («точки артикуляции»).Вы также можете не доверять быстро растущим, интенсивно взаимодействующим новым изолированным графикам.
  • Когда пользователь предоставляет контент , который нравится многим другим пользователям (которым вы доверяете), это может быть показателемчто существует настоящий человек, создающий его.

Answer 6

Иногда единственный способ предотвратить злоупотребление людьми системой - это вообще не иметь систему.

Если вы делаете то, что, как вы говорите, вы делаете, «раздавать деньги людям»затем неожиданный сюрприз: у многих людей будет больше времени, чтобы попытаться найти способы игры в системе, чем вам придется ее починить.

Answer 7

Вы должны связать их информацию с чем-то «реальным», как говорит Рубенс.Конечно, вам также необходимо иметь возможность проверить эту информацию (я могу просто набирать номера паспортов весь день, если вы не проверяете, чтобы убедиться, что они верны).

Как вы доставляете деньги?Возможно, вы можете индексировать это по учетной записи PayPal, почтовому адресу или тому, на что отправляете деньги?