我参与了为非营利组织建立捐赠表格。我们最近受到了一轮快速的低美元提交的打击。许多是无效卡,但有一些通过了。显然有人写了一个脚本来检查一堆卡号的有效性,可能是为了以后可以卖掉它们。
关于如何在未来预防或限制这种影响的任何想法?
我们可以控制系统的所有方面(代码、网络服务器等)。是的,表格通过 https 运行。
我参与了为非营利组织建立捐赠表格。我们最近受到了一轮快速的低美元提交的打击。许多是无效卡,但有一些通过了。显然有人写了一个脚本来检查一堆卡号的有效性,可能是为了以后可以卖掉它们。
关于如何在未来预防或限制这种影响的任何想法?
我们可以控制系统的所有方面(代码、网络服务器等)。是的,表格通过 https 运行。
当检测到来自单个 IP 地址或小范围地址的大量无效事务时,阻止该地址/网络。
如果正在使用僵尸网络,这将无济于事。您仍然可以检测到大量的低金额提交,并在您受到攻击时进行推断;在此期间,停止提交低金额的提交,以延长提交时间;为小额捐款引入验证码;请咨询您银行的防欺诈部门,以防他们利用您的服务器日志来抓捕犯罪者。
强制捐赠者创建账户以进行捐赠;使用验证码保护帐户创建,并限制来自任何帐户的捐款。
将允许的最低捐款提高到诈骗者以这种方式使用您不再具有经济意义的程度。
您可能希望利用大多数人启用了 javascript 而机器人没有启用的事实,而不是会惹恼用户的 CAPTCHA。只需创建一小段 javascript,它在运行时会在隐藏字段中插入特定值。
对于那些禁用了 Javascript 的用户,您可以显示验证码(使用<noscript>
标签),然后只有在这些措施中的任何一个检查通过时,您才能接受提交。
为了最大程度地让作恶者感到烦恼,您可以在计算上难以区分成功消息和失败消息(比如说,除了一张显示消息的图片之外,一切都是一样的),但对于人类来说很容易理解。
将来自同一 IP 地址的提交限制为每分钟一次,或任何一个真实的人填写表格所需的合理时间
将最低捐款提高到诈骗者以这种方式使用您不再具有经济意义的程度通常会有所帮助。
这。无论如何,你能以低于 5 美元的价格获得多少合法捐款?