Я участвую в создании формы пожертвования для некоммерческих организаций. Недавно мы получили удар по быстрому раунду низкодоходных заявок. Многие из них были недействительными, но несколько прошли. Очевидно, кто-то написал script, чтобы проверить количество номеров карт на достоверность, возможно, чтобы они могли продать их позже.
Любые идеи о том, как предотвратить или ограничить влияние этого в будущем?
Мы контролируем все аспекты системы (код, веб-сервер и т.д.). Да форма пробегает https.
Когда обнаружен поток недействительных транзакций с одного IP-адреса или малого диапазона адресов, заблокируйте этот адрес/сеть.
Если ботнет используется, это не поможет. Вы все еще можете обнаружить наводнения с небольшими суммами в долларах и так вывести, когда вас атакуют; в течение этих времен, сдерживать поступления в долларах, чтобы заставить их заняться дольше; внедрить CAPTCHA для пожертвований на сумму в несколько долларов; проконсультируйтесь с отделом предотвращения банкротства банка, если они могут использовать ваши журналы сервера, чтобы поймать виновных.
Принудительные доноры для создания аккаунтов для пожертвований; защищать создание учетной записи с помощью CAPTCHA и пожертвования по ставкам с любой учетной записи.
Поднимите минимально допустимое пожертвование до того момента, когда он больше не имеет финансового смысла, чтобы мошенники использовали вас таким образом.
Вместо CAPTCHA, которые будут раздражать пользователей, вы можете воспользоваться тем фактом, что большинство людей имеют javascript, а боты - нет. Просто создайте небольшой кусок javascript, который при запуске вставляет определенное значение в скрытое поле.
Для тех, у кого отключен Javascript, вы можете показать CAPTCHA (используйте тег <noscript>), и затем вы можете принять подачу, только если какая-либо из этих мер проведет проверку.
Для максимальной досады к злодеям вы можете сделать разницу между сообщением о успешном завершении и сообщением об ошибке, которое сложно вычислить, трудно отличить (скажем, все одно и то же, за исключением одного изображения, отображающего сообщение), но легко понять для людей.
ограничивать отправку с одного и того же IP-адреса до одного в минуту или любого разумного периода времени, необходимого для того, чтобы реальный человек заполнил форму
Повышение минимального пожертвования до того момента, когда оно больше не дает финансового смысла мошенникам использовать вас таким образом, поможет в целом.
Это. Сколько легитимных пожертвований вы получаете за 5 баксов? В любом случае?