Libreria o servizio per la limitazione della velocità delle transazioni con carta di credito tramite IP [chiuso]

Naviga le tue risposte
0

Ho un semplice modulo per ordinare i prodotti.

Un hacker sta tentando di convalidare i numeri delle carte di credito rubate effettuando due ordini al minuto con un bot.

Il 99% degli ordini viene rifiutato ma alcuni sono completati. Che dice all'hacker che la carta di credito è una carta valida e attiva.

L'utilizzo di un CAPTCHA o simili per prevenire questi attacchi non è purtroppo un'opzione.

Ecco la mia strategia per limitare l'attacco:

  • Imposta un limite di velocità di un ordine per IP per cinque minuti. Non consentire più invii allo stesso modulo dallo stesso IP entro cinque minuti.
  • Registra ogni indirizzo IP che si invia al modulo d'ordine.
  • Recupera i dati degli ordini recenti dall'API del carrello degli acquisti.
  • Correla gli IP degli ordini recenti con l'IP di ogni nuovo ordine.
  • Se viene superato il limite di velocità per un IP abbinato, eliminare l'ordine osservazioni.
  • Se viene superato il limite di velocità per un IP abbinato, bloccare l'ordine invio IP.

Esiste uno schema già esistente per questo tipo di limitazione della velocità delle transazioni con carta di credito?

Le raccomandazioni per le librerie esistenti che utilizzano questo modello mi aiuteranno anche a ricercare in che modo gli altri hanno risolto questo problema.

Grazie!

    
posta dbasch 11.03.2015 - 21:27
fonte

2 risposte

3

Direi: chiedi al tuo acquirente. Se giri nel tuo grimorio o usi un servizio di terze parti, il limite del tasso potrebbe non contare su di te in "punteggio di lotta alle frodi" e sarai comunque responsabile se l'ordine lo supera.

Se selezioni tali servizi dal tuo acquirente, l'acquirente sa che stai combattendo attivamente contro la frode e che l'acquirente potrebbe ingoiare qualsiasi frode che provenga da te, e potresti anche ottenere tassi più bassi.

Direi che una grande cosa da fare è bloccare in modo che il paese di emissione della carta di credito debba corrispondere al paese IP del visitatore. Quindi hai chiuso la porta per una grande quantità di frodi. Se il tuo servizio è utilizzabile solo in alcuni paesi, puoi anche bloccare in modo che solo quei paesi (sia quando si tratta di IP che di emissione di carte) siano autorizzati.

Un'altra cosa che puoi fare è usare Verified by visa / 3DSecure. VBV / 3DS si attiverà anche se la data di scadenza o CVV non è valida, quindi il cliente non potrà sapere se la carta è valida a meno che il cliente non abbia autenticato correttamente Verified By Visa / 3DSecure.

È possibile utilizzare VBV / 3DS in 2 modalità: O la si utilizza nella modalità "normale", in cui le carte senza VBV / 3DS passeranno senza problemi. Ma puoi anche chiedere al tuo acquirente di impostare il tuo servizio su REQUISIRE VBV / 3DS, ad esempio se l'emittente della carta non supporta VBV / 3DS, la transazione viene rifiutata. Non tutti gli acquirenti potrebbero avere questo servizio disponibile.

    
risposta data 11.03.2015 - 22:20
fonte
1

Non hai specificato con cosa è costruito il tuo sito. Se per caso utilizzi Ruby, c'è un'eccellente rack-attack libreria di Kickstarter.

    
risposta data 11.03.2015 - 21:48
fonte

Leggi altre domande sui tag

Rilevamento di domini / URL dannosi [chiuso] Qual è l'algoritmo per i file crittografati ARJ?