Должен ли я отказаться от кредитной карты на основе IP-адреса

У нас возникла проблема с пользователем, который заходит на наш сайт, чтобы попытаться подтвердить сотни номеров кредитных карт. Он будет проводить около 400+ $ 1,00 транзакций за раз, найдет несколько действительных номеров карт и затем выйдет. Это происходит с большей частотой.

Он использует одно и то же имя и адрес каждый раз, и его IP-адрес одинаков. Мы предпринимаем несколько шагов для решения проблемы.

Один из шагов, которые я хотел бы предпринять, - запретить ему отправлять транзакцию, если я увижу его IP-адрес. Насколько это безопасно? Могу ли я потерять законные продажи, сделав это?

Кстати, мы используем услугу Payflow Pro PayPal для обработки кредитных карт.

paypal fraud-detection

— Тод Бердсолл
источник

Я сомневаюсь, что блокировка IP-адреса остановит его в долгосрочной перспективе, если это злонамеренный пользователь. Вы сказали, что он использует один и тот же адрес каждый раз, вы имеете в виду адрес для выставления счетов, который подтверждается картой, или просто адрес, зарегистрированный на вашем сайте?

— JMC

@JMC: он использует один и тот же платежный адрес и один и тот же IP-адрес для каждой транзакции.

— Тод Бердсолл

Я не могу получить адрес прямо сейчас. Но у ФБР есть способ сообщить о такого рода интернет-мошенничестве. Быстрый поиск может найти его для вас (интернет-фильтр на работе не позволит мне).

— Крис

Ответы:

Если он всегда с одного и того же IP-адреса, то блокировка - хорошая идея. Если это регион, в котором вы не ведете бизнес, то блокировка диапазона IP-адресов также может быть не плохой идеей.

Альтернативный подход состоит в том, чтобы определить, когда этот пользователь находится на вашем сайте, и предоставить ему недостоверную информацию. Случайно сообщайте им, когда кредитные карты хороши или плохи, фактически не пытаясь их проверить. Кроме того, вы можете делать каждый запрос очень медленным, требуя все больше и больше своего времени, чтобы сделать его неэффективным для его целей. В конце концов они сочтут тебя не стоящим своего времени и отправятся в другое место.

— Джон Конде
источник

Randomly tell them when credit cards are good or bad without actually attempting to validate them., Это просто ооочень смешно.

— PeeHaa

Спасибо за предложения. Если я правильно делаю поиск IP-адресов, он, кажется, из Невады, США. Я не хочу блокировать этот регион. Мне очень нравится идея сделать транзакции более длительными и предоставлять случайные ответы.

— Tod Birdsall

Я бы сказал, что это контрпродуктивно, забавно, так как было бы смешно с умом мошенников, это, вероятно, в конечном итоге отнимет у вас больше времени, чем его (при условии, что «он» даже человек, а не программное обеспечение). Кроме того, вы рискуете раздражать законных клиентов из этой области. Я бы сказал, отправьте пользователя с этим IP-адресом на страницу, сообщив, что была обнаружена нерегулярная активность, о которой было сообщено, и вы приносите извинения за любые неудобства. Затем укажите номер телефона, по которому можно позвонить законным пользователям, желающим совершить покупку.

— Codecraft

@ Tod1d Строго говоря, ответ на ваш сайт, задержка может быть лучше. Умножьте время ожидания для этого IP на 1,3 секунды или около того каждый раз, когда проверка не проходит. Разделите на одну и ту же сумму каждый день или неделю (чтобы реальные пользователи не накапливали задержки из-за опечаток). Если базовое время ожидания при первом сбое составляет 1 секунду, у вас остается 3 минуты ожидания после 19 сбоев, и оно просто растет экспоненциально ...

— Izkata

Решения на основе IP не очень хорошая идея. Tod1d должен исправить корневые проблемы, которые делают его целью проверки мошеннических карт, а не клейкой ленты кода в его платежном приложении.

— JMC

Вы можете сообщить об этом в Paypal, позволить им выполнять свою работу, расследовать эти транзакции и предпринять соответствующие шаги вверх по течению, чтобы убедиться, что транзакции отклонены на уровне поставщика платежных услуг.

Это не только исправит это для вас, но и для всех сайтов, использующих один и тот же платежный сервис, и, если он будет достаточно серьезным, они передадут его дальше по линии и эмитентам карт.

Вместо того, чтобы просто решить проблему на вашем сайте, у вас есть возможность помочь решить проблему на многих сайтах. Для всех будет лучше, если эта проблема будет решена как можно дальше вверх по течению.

— Codecraft
источник

Спасибо за предложение. Мы уже связались с PayPal, и они изучают его. К сожалению, они, видимо, не торопятся.

— Тод Бердсолл

Выходя на конечности, не зная много о вашей настройке.

Похоже, что вы являетесь целью, потому что вы не проверяете ни один из учетных данных адреса выставления счета. Это позволяет ему проверять действительные номера карт без необходимости знать много дополнительной информации о карте, такой как платежный почтовый индекс. Также возможно, что ваши сообщения об ошибках слишком многословны и дают парню больше информации об отклонении, чем он может найти в другом месте. Большинство магазинов электронной коммерции возвращают общие сообщения об отказе, чтобы не стать мишенью для этого типа неправильного использования.

В качестве примечания, я полагаю, что такое привыкание может повредить вам в долгосрочной перспективе с PayPal, заставляя их повышать ставки, потому что вы рискованный клиент. Прочитайте ваше соглашение с ними о дополнительных% баллов за мошенничество и риск. Если я правильно помню, там написано что-то вроде: они могут прибавлять до 5% к каждой транзакции, если вы попадаете в категорию высокого риска.

— JMC
источник

Ты прав. Мы не использовали проверку адреса. Мы находимся в процессе исправления этого.

— Тод Бердсолл