Czy powinienem odrzucić kartę kredytową na podstawie adresu IP?

12

Mamy problem z użytkownikiem, który odwiedza naszą witrynę, aby spróbować zweryfikować setki numerów kart kredytowych. Jednocześnie przeprowadzi około 400+ transakcji o wartości 1,00 USD, znajdzie kilka ważnych numerów kart, a następnie wyjdzie. Dzieje się to z większą częstotliwością.

Używa za każdym razem tej samej nazwy i adresu, a jego adres IP jest taki sam. Podejmujemy kilka kroków w celu rozwiązania tego problemu.

Jednym z kroków, które chciałbym podjąć, jest uniemożliwienie mu przesłania transakcji, jeśli zobaczę jego adres IP. Czy to jest bezpieczne? Czy w ten sposób mogę potencjalnie stracić legalną sprzedaż?

BTW, korzystamy z usługi Payflow pro PayPal do przetwarzania kart kredytowych.

Tod Birdsall
źródło
Wątpię, aby zablokowanie adresu IP zatrzymało go na dłuższą metę, gdyby był złośliwym użytkownikiem. Powiedziałeś, że za każdym razem używa tego samego adresu. Czy masz na myśli adres rozliczeniowy, który jest weryfikowany kartą, czy tylko adres zarejestrowany w Twojej witrynie?
JMC
@ JMC: Używa tego samego adresu rozliczeniowego i tego samego adresu IP dla każdej transakcji.
Tod Birdsall
1
Nie mogę teraz uzyskać adresu. Ale FBI ma sposób na zgłoszenie tego rodzaju oszustw internetowych. Szybkie wyszukiwanie może go znaleźć (filtr internetowy w pracy mi nie pozwala).
Chris

Odpowiedzi:

13

Jeśli zawsze pochodzi z tego samego adresu IP, dobrym pomysłem jest zablokowanie. Jeśli jest to region, w którym nie prowadzisz działalności, blokowanie zakresu adresów IP może nie być złym pomysłem.

Alternatywnym podejściem jest określenie, kiedy ten użytkownik jest w Twojej witrynie i podanie mu złych informacji. Losowo informuj ich, kiedy karty kredytowe są dobre lub złe, bez faktycznej próby ich weryfikacji. Dodatkowo, możesz sprawić, że każde żądanie będzie bardzo wolne, co wymaga więcej czasu, aby uczynić je nieefektywnym dla jego celów. W końcu uznają, że nie jesteś wart ich czasu i pójdą gdzie indziej.

John Conde
źródło
2
Randomly tell them when credit cards are good or bad without actually attempting to validate them.. To takie zabawne.
PeeHaa,
Dziękujemy za sugestie. Jeśli poprawnie wykonuję wyszukiwanie adresu IP, wygląda na to, że pochodzi ono z Nevady w USA. Nie chcę blokować tego regionu. Naprawdę podoba mi się pomysł, aby transakcje trwały dłużej i zapewniać losowe odpowiedzi.
Tod Birdsall
6
Powiedziałbym, że jest to bezproduktywne, ponieważ zabawne byłoby bałaganienie umysłem oszustów, prawdopodobnie zajmie to więcej czasu niż jego (zakładając, że „on” jest nawet człowiekiem, a nie oprogramowaniem). Dodatkowo ryzykujesz denerwowaniem legalnych klientów z tego obszaru. Powiedziałbym, że wyślij użytkownika z tym adresem IP na stronę z informacją, że wykryto nieprawidłową aktywność, że została ona zgłoszona, i przepraszasz za wszelkie niedogodności. Następnie podaj numer telefonu, aby zadzwonić do legalnych użytkowników, którzy chcą w międzyczasie dokonać zakupu.
Codecraft,
1
@ Tod1d Ściśle mówiąc o odpowiedzi z Twojej witryny, opóźnienie może być najlepsze. Pomnóż czas oczekiwania dla tego adresu IP przez około 1,3 sekundy za każdym razem, gdy sprawdzanie poprawności się nie powiedzie. Podziel przez tę samą kwotę każdego dnia lub tygodnia (aby prawdziwi użytkownicy nie kumulowali opóźnień z powodu literówek). Jeśli bazowy czas oczekiwania na pierwszą awarię wynosi 1 sekundę, masz czas oczekiwania do 3 minut po 19 awariach i po prostu rośnie on wykładniczo ...
Izkata,
2
Rozwiązania oparte na IP nie są tutaj dobrym pomysłem. Tod1d musi naprawić podstawowe problemy, które czynią go celem weryfikacji fałszywych kart zamiast kodowania kodu w aplikacji płatniczej.
JMC
6

Możesz zgłosić to do Paypal, pozwolić im wykonać swoją pracę i zbadać te transakcje oraz podjąć odpowiednie kroki w górę, aby upewnić się, że transakcje zostały odrzucone na poziomie dostawcy płatności.

To nie tylko naprawia to dla ciebie, ale wszystkie strony korzystające z tej samej usługi płatniczej, a jeśli jest to wystarczająco poważne, przekażą ją dalej do linii wydawcom kart.

Zamiast naprawiać problem w witrynie, masz okazję pomóc rozwiązać problem w wielu witrynach. Dla wszystkich lepiej, jeśli ten problem zostanie rozwiązany tak daleko, jak to możliwe.

Codecraft
źródło
1
Dzieki za sugestie. Skontaktowaliśmy się już z PayPal i oni się tym zajmują. Niestety najwyraźniej nie spieszą się.
Tod Birdsall
3

Wychodzenie na kończynie bez wiedzy o konfiguracji.

Wygląda na to, że jesteś celem, ponieważ nie weryfikujesz poświadczeń adresu rozliczeniowego. Dzięki temu może zweryfikować prawidłowe numery kart bez konieczności posiadania wielu dodatkowych informacji o karcie, takich jak kod pocztowy do fakturowania. Możliwe jest również, że twoje komunikaty o błędach są zbyt szczegółowe i dostarczają facetowi więcej informacji o odrzuceniu, niż może znaleźć gdzie indziej. Większość sklepów eCommerce zwraca ogólne komunikaty o odrzuceniu, aby uniknąć stania się celem tego rodzaju niewłaściwego użycia.

Na marginesie, uważam, że przyzwyczajenie się do tego może na dłuższą metę zaszkodzić Ci w systemie PayPal, powodując, że będą stosować wyższe stawki, ponieważ jesteś ryzykownym klientem. Przeczytaj umowę z nimi o dodatkowych punktach% z powodu oszustwa i ryzyka. Jeśli dobrze pamiętam, mówi coś takiego, że mogą dodać do 5% punktów do każdej transakcji, jeśli należysz do kategorii wysokiego ryzyka.

JMC
źródło
Masz rację. Nie używaliśmy sprawdzania poprawności adresu. Jesteśmy w trakcie naprawy tego.
Tod Birdsall