Ci sono dei modi per frodare un sito di raccolta fondi?

Naviga le tue risposte
3

Ho sviluppato molti negozi di e-commerce per i clienti nel corso degli anni; quasi tutti vendono prodotti fisici. Recentemente, un cliente in particolare è stato ripetutamente colpito da chargeback fraudolenti in cui qualcuno avrebbe acquistato un Acme Widget dal proprio sito su una carta rubata / in duplicazione, l'oggetto spedito (con consegna il giorno successivo) e poi messo un chargeback sul (falso) ), ottenendo gratuitamente un Widget ad un indirizzo non associato prima che qualcuno si renda conto di ciò che è accaduto ( nota: hanno rafforzato la sicurezza e ora è un problema molto più raro ).

Ora sto sviluppando quello che è effettivamente un negozio di e-commerce, tranne che si tratta di "vendita" di beni virtuali che fungono da raccolta di fondi; ad esempio, compreresti un pacchetto di 10 widget virtuali per £ 100, che si tradurrebbe in una donazione di £ 100 direttamente nella raccolta fondi. Come tale non ci sono prodotti (fisici o digitali) e amp; ovviamente nessuna spedizione.

Ho cercato di pensare a un modo in cui questo tipo di sito potrebbe essere defraudato in una vena simile a un negozio di e-commerce di prodotti fisici (come sopra), ma io sto faticando a pensare a qualsiasi. Questa è la mia prima incursione in questo tipo di creazione di fondi e il dipartimento legale vuole essere a conoscenza di tutto ciò che potrebbe emergere in modo che possano affrontarlo rapidamente (come faccio io).

Ci sono dei tipi noti di attacco di cui dovrei essere a conoscenza, o è un non-starter cercare di frodare un sito di raccolta fondi?

    
posta indextwo 02.08.2015 - 14:30
fonte

2 risposte

1

No, uno "scambio" a senso unico come la raccolta di fondi non può essere defraudato nel modo comune con cui i negozi online devono confrontarsi. Quando non c'è nulla da guadagnare, la frode è impossibile secondo la definizione.

Detto questo - che ne è delle tariffe di chargeback? L'ente di beneficenza deve pagare per ogni chargeback? Se è così, potrebbe essere possibile per me danneggiare la tua carità - se non sono d'accordo con la loro causa - con un attacco stile DoS (centinaia di donazioni, con centinaia di storni di addebito).

Immagino che non lo proverei - potrebbe benissimo essere che le banche vedrebbero il tentativo malevolo e si rifiutino di soddisfare le richieste di chargeback. In tal caso, avrei finanziato un ente di beneficenza con cui non sono d'accordo. Tuttavia, dovresti chiarirlo con la tua banca.

    
risposta data 04.08.2015 - 10:14
fonte
-1

Dovrebbe essere molto più facile proteggere i beni virtuali rispetto ai beni fisici. Il metodo più semplice che posso pensare è quello di dare id univoci al widget virtuale e quindi legare questi id alla transazione. per esempio. il cliente 123 ha acquistato il numero di widget virtuali 200-210. Pertanto, se il cliente 123 emette un chargeback, è possibile annullare i widget virtuali 200-210.

Non sono sicuro di cosa siano realmente questi widget, più dettagli saranno buoni. Sono simili a quegli oggetti potenziati in gioco? Dovrebbe essere facile rimuovere l'id power 200-210 a condizione che il cliente non lo abbia ancora "usato". Anche se lo fossero, dovrebbe essere possibile bloccare o vietare l'account.

    
risposta data 02.08.2015 - 20:04
fonte

Leggi altre domande sui tag

È possibile sfruttare input utente senza escape in un modulo JavaScript che riceve solo i dati tramite la richiesta AJAX? Hai bisogno di aiuto per bypassare Structured Exception Handling (SEH) + egghunter