6

我们有一项服务,我们从字面上赠送免费资金。

自然地说,服务已经成熟,可以滥用了。为了防止这种情况,我们执行以下操作:

  • 记录ip地址

  • 使用唯一的电子邮件地址(只有 1 个帐户/电子邮件地址)

  • 收集更多信息,如圣。地址、电话号码等

  • 使用注册验证码

  • BHO(我见过扑克室使用这些)

现在,让我们在这里变得真实——这一切都不会阻止一个坚定的用户。

显然,可以通过代理更改 IP 地址(可以通过 akismet 将其列入黑名单),但如果用户具有动态 IP 或多个用户位于 NAT 网络后面(我们可以说几乎所有人?)

我每小时可以注册数千个唯一的电子邮件地址——这不是防御。

我可以输入从街道地址和电话号码列表中获取的虚假信息。

我可以从验证码解决服务购买验证码(5 美元 1k)。

bhos 似乎只对可下载软件有效——这是一个网站

还有哪些其他方法可以防止多个用户滥用服务?所有 PPC 人如何控制点击欺诈?

我知道我们实际上可以给这个人打电话,但我认为我们不会很快尝试这样做。

谢谢,

4

7 回答 7

3

生成大量可以发送和接收 SMS 消息的假电话号码非常困难。短信验证可以大大减少欺诈行为。当然,它也限制您向手机所有者赠送免费资金。

于 2010-07-09T20:59:29.317 回答
1

回复:注册新的电子邮件帐户...

用户甚至不需要这样做。请随时将您的邮件发送至 brian_s@mailinator.com、feydr.asks.a.question@spamherelots.com、stackoverflow@safetymail.info 或 my_arbitrary_username@zippymail.info。我还没有注册任何这些电子邮件地址,但它们都可以使用。

这些域归 ManyBrain 所有,他们(可能还有其他人)将域设置为接受任何电子邮件用户。尤其是 ManyBrain 使这些电子邮件的收件箱无需任何注册即可公开访问(通过电子邮件中的文本删除所有内容并删除旧邮件)。查看:admin@mailinator.com 的电子邮件收件箱

其他人提到了尝试保持用户身份唯一性的方法。这只是不信任电子邮件地址的另一个原因。

于 2010-07-09T22:06:07.050 回答
1

首先,我想(希望)你不会真的放弃免费的钱,而是给它使用你的服务或类似的东西。

这很重要,因为用户试图从你那里获得免费资金,他们可以花在购买昂贵的汽车上,而不是只花在你的服务上,这将更加有限。

显然,在前一种情况下,更多的用户会试图欺骗系统而不是在后一种情况下。

为什么重要?因为这完全取决于您的控制与用户烦恼之间的平衡。我看到很多答案都集中在控制部分,所以让我们经历一下烦恼,好吗?

  • 记录 IP 地址。如果我是网上商店的下一个电脑上的人,而我之前的那个人已经使用了那个 IP 怎么办?另一个人离开了你现在看到的热门页面,但我被搞砸了,因为 IP 被阻止了。是的,我可以去另一台电脑,但这很烦人,我可能还有其他事情要做。

  • 收集物理地址。为了什么???你要来看我吗?或者开始向我发送垃圾邮件?让我猜猜,通常情况下,您得到的地址充其量是印刷错误,而最坏的情况是伪造的。事实上,我给你假地址和不处理任何可能的垃圾邮件,我必须以环保的方式回收,这要少得多。:)

  • 收集电话号码。再说一次,我为什么要相信你的网站?这是真实的故事。我把我的手机号码给了不起眼的网站,然后我开始偶尔收到充满废话的消息,比如“hit the fly”。那我干脆删了。只是后来偶然发现我实际上被收取了 2 欧元来接收这些消息!我想解决这些麻烦吗?明显不是!所以不,伙计,很抱歉让您失望,但我不会给您的网站我的电话号码,除非您的公司称为 Facebook 或 Google。:)

  • 使用注册验证码。我喜欢那个 :)。那么我们在这里想要达到什么目标呢?决心滥用您的服务的用户会在输入几个验证码时遇到问题吗?我对此表示怀疑。但是“好用户”呢?您知道验证码对许多用户来说有多烦人吗???视力受损的用户怎么办?但即使没有它,大多数验证码都非常糟糕,以至于它们会让你感觉视力受损!我能给出的最好建议 - 如果您关心用户体验,请避免使用验证码作为瘟疫!如果您有任何疑问,请先进行在线研究!

请参阅此处有关控制与烦恼的更多讨论,以及有关用户友好的更多想法。

于 2013-09-16T17:25:37.047 回答
1

我认为唯一的方法是将您的用户帐户绑定到“现实世界”信息,例如他/她的护照号码。当然,您需要确保信息被安全地存储并找到某种方法来验证它。

于 2010-07-09T20:59:11.157 回答
0

正如鲁本斯所说,你必须将他们的信息与“真实世界”的东西联系起来。当然,您还需要能够验证这些信息(如果您不检查以确保它们是正确的,我可以整天编造护照号码)。

你怎么送钱?也许您可以从贝宝帐户、邮寄地址或您要汇款的任何地方索引这个?

于 2010-07-09T21:03:19.187 回答
0

有时,防止人们滥用系统的唯一方法是一开始就没有系统。

如果你按照你所说的去做,“把钱给别人”,那么令人惊讶的是,会有很多人有更多的时间来尝试寻找游戏系统的方法,而不是你必须修复的它。

于 2010-07-09T21:03:49.593 回答
0

我想永远不可能有一个识别系统来识别虚假身份,即:

  • 运行成本低(我认为这叫做“运营成本”?)
  • 实施成本低(理想情况下是一次成本 - 你怎么称呼它?)
  • 没有Type-I/Type-II 错误
  • 是可扩展的

但我认为你可以防止用户拥有太多(比如说一个相当随机的数字:超过 50 个)帐户。

您可以结合以下方法:

  • IP地址:可以用VPN绕过
  • 验证码:可以通过人类农场绕过(例如,请参阅这篇文章- 尽管他们声称他们的测试不能轻易传递给其他人,但我怀疑这是真的)
  • 基于能力的识别:当您知道存储的内容以及识别如何通过随机(但具有给定的分布)行为(例如:brainauth.com)时,可以伪造
  • 真实世界的互动:虽然这可能是最好的,但我想它很昂贵,而且没有多少用户会接受它。此外,对于某些用户/国家来说,这可能是不可能的。(例如:德国的邮递员,邮局想查看你的身份证。我想这只能由政府大规模面对。)
  • 其他站点/资源:这基本上改变了其他站点的问题。您可以使用服务,其中不允许/不常见/昂贵的帐户超过 1 个
    • 电子邮件
    • 电话号码:例如通过使用 SMS,请参阅多因素身份验证
    • 银行账户:贝宝;转账不多或要求他们随机(少量)转账给您(您将寄回)。
  • 基于社会
    • 当您使用社交图(顶点是人,边是连接)时,您会期望一些分布。你知道你是一个人,你认识其他一些人。所以你有一个“信任网络”(用引号引起来,因为我认为这也可能在其他情况下使用)。现在,您可能不相信人们/网络如何与您的服务进行大量交互,但要么是孤立的(没有连接),要么是把一个大群体与另一个大群体联系起来(“关节点”)。您也可能不信任快速增长、交互频繁的新孤立图。
    • 当用户提供许多其他用户(您信任的用户)喜欢的内容时,这可能表明有人在创建它。
于 2013-09-12T06:18:38.003 回答