Impedisci il funzionamento automatico delle carte di credito

0

Qualcuno ha utilizzato uno script automatico per testare le carte di credito tentando di effettuare ordini attraverso il processo di checkout di un sito web di ecomm che aiuto a mantenere. Sto parlando di cercare di piazzare ordini di 40k in 5 ore. Sto cercando idee per impedirlo. La normale procedura di checkout è aggiunta al carrello, selezionare l'indirizzo di spedizione, inserire le informazioni di pagamento, la pagina di conferma finale.

Abbiamo discusso di usare captcha durante il processo di checkout, abbiamo il controllo di velocità dove dopo tanti ordini dello stesso account, nello stesso giorno, non prendiamo più ordini da quell'account. I nuovi account vengono creati e ricominciano da capo utilizzando l'account appena creato.

Qualche idea su come prevenire questa attività è molto apprezzata.

    
posta Joe 02.11.2016 - 16:24
fonte

1 risposta

2

Ci sono molte possibili misure da adottare per rendere il tuo sito meno interessante per gli aggressori che cercano di verificare i dettagli della carta di credito. Ad esempio:

  • Limitando l'accesso alla schermata delle informazioni di pagamento ai clienti che hanno completato i passaggi precedenti (aggiungi l'articolo al carrello, fai clic su checkout, inserisci l'indirizzo di spedizione), aumenta il numero di passaggi che un utente malintenzionato deve emulare per ottenere informazioni utili.
  • Utilizzando i metodi di protezione CSRF, diventa leggermente più difficile riprodurre le richieste, semplicemente modificando i dettagli chiave. Collegando la generazione di CSRF per valutare i mezzi di protezione, è possibile rifiutare un numero eccessivo di richieste prima di effettuare chiamate ai sistemi bancari - semplicemente abbandonare qualsiasi richiesta senza un token CSRF valido e non fornirne una per qualsiasi sessione che sta tentando richieste troppo frequentemente .
  • La riduzione delle informazioni restituite dalle richieste bancarie rende il sistema meno utile per un utente malintenzionato. Se sono in grado di determinare quale specifica informazione non è corretta, possono ridurre il numero di tentativi necessari per ottenere tutti i dati per una determinata carta: prendere in considerazione un'API che restituisce "mese di scadenza non valido", "anno di scadenza non valido" in base alle informazioni fornite . Richiedere un massimo di 12 richieste per confermare il mese e 10 per confermare la maggior parte degli anni di carte (pochissime carte hanno una scadenza superiore a 10 anni) - 22 richieste al massimo. Al contrario, la stessa API che restituisce "dettagli non validi" per entrambi richiederebbe fino a 120 (12 * 10) richieste per essere sicuri di trovare le stesse informazioni. Questa differenza aumenta se ci sono ulteriori dettagli raggruppati in questo modo, come i dettagli dell'indirizzo o CVV.
  • Limitare il numero di tentativi per un dato indirizzo IP in un dato momento potrebbe essere utile, ma attenzione a perdere clienti legittimi se si ha molto traffico mobile, che spesso appare da specifici indirizzi IP per un determinato provider telefonico.
risposta data 02.11.2016 - 17:08
fonte

Leggi altre domande sui tag