3

在我的国家,我们有一个非常特殊的支付系统,它基于 ATM 机,我们生成一个参考,用户将在 ATM 机中使用它来进行支付。

最近,我遇到了一些执行以下操作的用户或用户的一些麻烦:

1 -用户访问我的网站,下订单时数据不一致(我的错,我没有验证电子邮件)并收到在 ATM 机上付款的参考。

2 -第 (1) 点中的前一个用户访问了一个在线分类广告网站并发布了一些非常便宜的东西(Iphone,40 美元),当他发现买家提供了在我网站中生成的 ATM 机中付款的参考时.

3 -买家(受害者)付款后没有拿到 Iphone,但钱进入了我的账户。我不发送任何数字商品,因为电子邮件无效

4 -受害者去警察局,发现参考资料来自我的公司。我把钱还给受害者。

这个事件已经发生了2次......现在我需要确保这种情况不会再次发生,但主要问题是我无法更改这个太流行且商品是数字化的支付系统,除非我实施一个系统发送一封带有验证帐户代码的邮件到客户家中,我无法完全确定客户不会使用参考在 ATM 机上付款来简单地与分类广告网站上的人玩耍。

所以,我需要更多关于在我的网站上下订单的人的详细信息。现在我只有IP,但很容易使用一些随机的wifi网络或代理。您如何看待这些措施的实施?

1 -在 ATM 机中发送付款参考之前,我将使用发送到电子邮件的链接验证电子邮件用户。

2 -我会向他的电话号码发送一条带有代码的短信。

电子邮件验证是我的错,我应该以前做过。关于电话验证,您认为这会抑制类似的攻击吗?

此致

4

2 回答 2

0

如果您无法控制此系统的输出(例如,将付款说明输出到 ATM,以便受害者可以看到它不是 iphone),您是否提供除 ATM 之外的其他付款方式?

如果是这样,您能否仅向至少成功购买 1 次的客户提供此 ATM 链接,并且排除第一个 ATM 机?在这种情况下,欺诈对攻击者来说代价高昂,而且,他将通过他的第一次购买来验证。(通过信用卡、贝宝或其他方式)

于 2014-04-10T21:37:56.197 回答
0

我真的不明白你,但似乎你所问的事实的根源是你没有验证电子邮件?

您应该能够尽可能地对其进行验证,只需将其放在您的网站和生成 ATM 支付链接的请求之间即可。即使您必须编写重写规则并通过一些代理,您也将能够做到,如果没有,它似乎并不是您的网站。

如果您想要良好的欺诈保护,让可能的攻击者访问您或您的一些员工并让他留下一些押金,或者至少做这个电话代码短信验证。

于 2014-04-10T22:03:02.690 回答