Permettimi di buttare fuori questo problema che sto facendo ad alcuni dei miei capricci tecnici e vedere se avete qualche nuovo suggerimento:
Abbiamo un sito Web che invia messaggi di testo e messaggi vocali per i nostri clienti. I clienti possono acquistare crediti e utilizzare quei crediti quando si inviano SMS e chiamate vocali.
Abbiamo questo scammer nigeriano che ha deciso che vuole fare casino con noi e continua a creare account, caricare le carte di altre persone e inviare messaggi. Sembra che abbia i dati completi della carta, compreso CVV2, indirizzo e scadenza. (Raccolto da un sito non conforme allo standard PCI, ne sono sicuro). Non sta fallendo nessuno di questi controlli. A volte carica la carta e invia messaggi, a volte carica semplicemente la carta. (Probabilmente per testare la validità, anche se ora blocchiamo automaticamente un account che fallisce il controllo della carta tre volte in una settimana, quindi ora riceviamo il 90% di carte valide)
Stiamo sviluppando furiosamente un metodo per convalidare la carta di addebito addebitando loro un paio di addebiti sotto dollari e devono inserire gli importi per convalidare la carta. Ma questo è al momento lento da programmare e sarà un vero ostacolo all'ingresso per molti dei nostri utenti più occasionali. Stiamo anche valutando una convalida basata su SMS, ma è meno sicuro in quanto sono sicuro che ha accesso a almeno 5 o 6 telefoni, o SMS Skype o qualcosa del genere.
Inoltre, se riceviamo troppi addebiti da parte del consumatore, rischiamo di perdere il nostro account commerciante. Stiamo lavorando per annullarli prima che vadano a buon fine, ma si tratta di un processo manuale doloroso.
Quindi, mentre stiamo lavorando per aggiungere la convalida delle carte solide, cosa possiamo fare? A breve termine e / oa lungo termine? Questo tipo crea 5 o 10 account al giorno usando tutti i tipi di nomi, indirizzi, fonti IP (di solito in Nigeria, ma non sempre, ha anche proxy da altrove), ecc.
In breve, tutto ciò che facciamo per fermare questo ragazzo in questo momento sta per impedire agli utenti legittimi di accedere ai loro account o di darci dei soldi.
Quale altro tipo di difesa possiamo erigere per impedire a un singolo utente malevolo ragionevolmente tecnicamente coinvolto? Qualche tipo di male che rileva il test di Turing?
Detesto ammetterlo, ma sto esaurendo le idee di brainstorming. Quindi sono venuto qui.