Ho bisogno di idee per bloccare un singolo utente malevolo

15

Permettimi di buttare fuori questo problema che sto facendo ad alcuni dei miei capricci tecnici e vedere se avete qualche nuovo suggerimento:

Abbiamo un sito Web che invia messaggi di testo e messaggi vocali per i nostri clienti. I clienti possono acquistare crediti e utilizzare quei crediti quando si inviano SMS e chiamate vocali.

Abbiamo questo scammer nigeriano che ha deciso che vuole fare casino con noi e continua a creare account, caricare le carte di altre persone e inviare messaggi. Sembra che abbia i dati completi della carta, compreso CVV2, indirizzo e scadenza. (Raccolto da un sito non conforme allo standard PCI, ne sono sicuro). Non sta fallendo nessuno di questi controlli. A volte carica la carta e invia messaggi, a volte carica semplicemente la carta. (Probabilmente per testare la validità, anche se ora blocchiamo automaticamente un account che fallisce il controllo della carta tre volte in una settimana, quindi ora riceviamo il 90% di carte valide)

Stiamo sviluppando furiosamente un metodo per convalidare la carta di addebito addebitando loro un paio di addebiti sotto dollari e devono inserire gli importi per convalidare la carta. Ma questo è al momento lento da programmare e sarà un vero ostacolo all'ingresso per molti dei nostri utenti più occasionali. Stiamo anche valutando una convalida basata su SMS, ma è meno sicuro in quanto sono sicuro che ha accesso a almeno 5 o 6 telefoni, o SMS Skype o qualcosa del genere.

Inoltre, se riceviamo troppi addebiti da parte del consumatore, rischiamo di perdere il nostro account commerciante. Stiamo lavorando per annullarli prima che vadano a buon fine, ma si tratta di un processo manuale doloroso.

Quindi, mentre stiamo lavorando per aggiungere la convalida delle carte solide, cosa possiamo fare? A breve termine e / oa lungo termine? Questo tipo crea 5 o 10 account al giorno usando tutti i tipi di nomi, indirizzi, fonti IP (di solito in Nigeria, ma non sempre, ha anche proxy da altrove), ecc.

In breve, tutto ciò che facciamo per fermare questo ragazzo in questo momento sta per impedire agli utenti legittimi di accedere ai loro account o di darci dei soldi.

Quale altro tipo di difesa possiamo erigere per impedire a un singolo utente malevolo ragionevolmente tecnicamente coinvolto? Qualche tipo di male che rileva il test di Turing?

Detesto ammetterlo, ma sto esaurendo le idee di brainstorming. Quindi sono venuto qui.

    
posta Chris Chubb 13.03.2012 - 20:54
fonte

5 risposte

9

@logicalscope solleva alcuni buoni suggerimenti, ma nel complesso devi ancora occuparti di un fatto freddo:

Technically speaking, even this Nigerian prince guy is a perfectly valid user.

L'unico problema con lui, è che non possiede le carte di credito che sta fornendo - nonostante il fatto che ha fornito tutte le convalide necessarie .
Questo è in realtà un fallimento del sistema stesso della carta di credito - trattando what you know (i numeri CC) come something you have (la carta di credito stessa).
E dato che questi numeri sono quasi di pubblico dominio (cioè li dai a molti siti, dai la carta fisica alla cassa del supermercato e l'addetto alla stazione di servizio, ecc.), La loro conoscenza non dovrebbe essere trattata come prova della proprietà della carta.

In conclusione, formalmente dovresti essere in grado di fare affidamento sulla prova fornita, sfortunatamente c'è il piccolo problema dei chargebacks. Quindi, fondamentalmente, le compagnie delle carte di credito stanno facendo quello che sanno fare meglio: ti stanno facendo a pezzi da entrambe le direzioni :).

Delirando a parte, cosa posso fare realisticamente, per evitare di addebitare una carta che non è di proprietà di qualcuno che ha fornito il CHD?

Beh, non molto (e sono entusiasta che nessuno abbia suggerito CAPTCHA ....) Tuttavia, la tua idea di addebiti minimi come una forma di prova di proprietà è molto buona.

È molto simile al metodo di Paypal, e in effetti suggerirei di modificare il tuo schema leggermente nella loro direzione. Al momento della registrazione (IIRC), viene effettuato un piccolo addebito. L'importo non è il segreto, dal momento che ci sono solo così tante somme che possono essere fatte nell'intervallo del sub-dollaro ... invece, ti chiedono il numero della transazione, che compare sul rapporto della tua carta di credito. L'unico modo per ottenere l'accesso è quello di ricevere la posta del proprietario della carta o di accedere al portale dei consumatori del provider CC. Per la cronaca, rimborsano anche quel dollaro dopo che ti sei iscritto.

Forse vuoi implementare questo solo per gli account potenzialmente rischiosi, come suggerito da @logicalscope - come per la geolocalizzazione IP.

Un'altra possibilità che penso dovresti esaminare è la convalida delle carte in outsourcing. O accettando solo account Paypal o utilizzando un sistema di convalida di terze parti. Questo trasferisce la responsabilità a qualcun altro, avendo qualcun altro accettare il pagamento direttamente per te (ala VBV / 3Dsecure).

    
risposta data 14.03.2012 - 16:54
fonte
5

L'unica soluzione tecnica che potresti avere a disposizione è quella di addestrare i dati dell'utente (come nome, indirizzo, IP, ecc.) all'interno di una qualche forma di agente spam. Simile a un classificatore di spam per e-mail, questo potrebbe essere usato per creare il tuo "male test di Turing" di cui hai bisogno. Potresti considerare questo come un problema di spam e vedere quali tipi di soluzioni esistono per lo spam e-mail, lo spam, lo spam sui social media / forum, ecc. Il problema principale è la quantità e la qualità dei dati disponibili.

Altrimenti, dalla tua descrizione sembra che tutte le caratteristiche tecniche siano soddisfatte mentre nessuno dei fattori umani lo è. In mancanza di questa opzione, in questi casi, presenterei normalmente un caso aziendale a favore e contro un'azione specifica.

  1. Quanto reddito ti aspetti di fare dai IP nigeriani rispetto al costo per riaddebiti, perdita del conto commerciale, rischio reputazionale, ecc.? La rimozione degli IP nigeriani rappresenterà il XX% degli utenti malintenzionati anticipati? Ovviamente questo non aiuta con il proxy, ma potresti ottenere la maggior parte dei casi.

  2. I messaggi inviati dallo scammer sono ovviamente spam?

  3. È possibile applicare i controlli più rigorosi come gli addebiti SMS e sottodollari a un sottoinsieme della popolazione totale di utenti? Cioè, hai identificato la Nigeria (e forse anche altri) come la tua area principale di interesse. Perché includere altri paesi "più rispettabili" in misure draconiane?

  4. Sei in grado di invertire la ricerca dell'IP? La maggior parte degli utenti legittimi si risolve? Gli utenti non legittimi possono risolvere domini specifici o proxy noti?

  5. Sei in grado di rilevare l'uso di proxy tramite "X-Forwarded" o "X-Client-IP" o tali intestazioni HTTP? Ciò attirerà anche utenti legittimi, ma ancora una volta, puoi bilanciare questa misura in combinazione con altre informazioni.

Ovviamente, non è nemmeno necessario arrestare completamente l'utente se uno dei controlli sopra riportati fallisce. Basta spostarli in una coda di revisione e gestirli separatamente dalle altre richieste dall'aspetto legittimo. È più economico pagare qualcuno per rivedere questi dati piuttosto che consentirne il passaggio? A volte, tutto si riduce al caso aziendale.

    
risposta data 13.03.2012 - 21:42
fonte
3

Potresti considerare di richiedere agli utenti che configurano un account con te di verificare il loro numero di telefono, tramite una verifica basata su SMS.

Potresti potenzialmente richiedere che ogni account sia collegato a un numero di telefono univoco (non utilizzato per altri account).

E, cosa più importante, se rilevi frodi (ad es. addebiti su una carta di credito), puoi bloccare quel numero di telefono per gli account futuri e chiudere tutti gli account esistenti utilizzando lo stesso numero di telefono. In questo modo, se lo scammer nigeriano ha accesso a 4 o 5 telefoni, può impostare 4 o 5 account e truffarti 4 o 5 volte, ma questo potrebbe essere nel lavaggio. Se vuole continuare ad aprire nuovi account, dovrà continuare a ricevere nuovi telefoni, il che solleva la barra degli attacchi.

    
risposta data 13.03.2012 - 23:11
fonte
1

Potresti utilizzare il lato SMS delle cose come un potenziale secondo fattore nel processo? A supposizione potresti usare il numero BIN della carta per individuare il paese della banca emittente e quindi richiedere un numero di telefono valido in quel paese a cui invii un messaggio SMS e richiedi l'inserimento di quello per convalidare l'account.

Sarebbe comunque bypassabile (ottenendo un account VOIP nel paese di destinazione per ricevere gli SMS) ma potrebbe alzare un po 'la barra.

Potresti anche teoricamente guardare ai provider VOIP black list come destinatari del messaggio SMS. A seconda della base di clienti, questa potrebbe non essere una possibilità, ma di nuovo potrebbe rendere le cose più complicate per il tuo truffatore.

    
risposta data 13.03.2012 - 21:40
fonte
1

Potresti dare un'occhiata ai servizi forniti da threatmetrix (vedi panopticlick per lo sfondo sul fingerprinting del dispositivo).

    
risposta data 14.03.2012 - 17:53
fonte

Leggi altre domande sui tag