问题标签 [fraud-prevention]

我参与了为非营利组织建立捐赠表格。我们最近受到了一轮快速的低美元提交的打击。许多是无效卡，但有一些通过了。显然有人写了一个脚本来检查一堆卡号的有效性，可能是为了以后可以卖掉它们。

关于如何在未来预防或限制这种影响的任何想法？

我们可以控制系统的所有方面（代码、网络服务器等）。是的，表格通过 https 运行。

如果我正在建立一个网站，我将如何确保给我信用卡号的人（例如）是有权使用它的人？也许更一般地说，我将如何减少欺诈和被盗 ID 使用的机会，无论是用于购买还是系统访问。

我不在这个领域（在线购买）工作，但我认为用户身份验证必须是一项非常困难/棘手的工作。

我正在开发一个市场网站，导师和学生可以在其中找到彼此。我正在建立一个在线支付系统（很像 elance 或 guru.com），导师可以在其中获得报酬，我们可以从中分得一杯羹。

几个问题：

1. 阻止来自某些国家（如尼日利亚）的 IP 地址的最佳方法是什么？（注意，我使用的是 Ruby on Rails，因此任何特定于此的建议都会更好，但如果不是也可以。）

2. 除了阻止某些 IP，我还可以使用哪些其他技术？（我已经在做 AVS 和正常的网关检查）。

3. 我需要检查哪些常见的骗局？

例如，我能想到的一个人使用该系统为自己付款，他们收到资金作为付款（减去​​我们的费用），然后对信用卡进行退款。

我想这些类似于 Paypal 或 Google Checkout 等网站（有些人称这些聚合网站）所面临的问题，因为它们收取一小部分费用 - 所以如果失去原始资金来源，那将是巨大的损失（很多倍的与正常的高利润产品不同，所涉及的利润）。

几个附加说明：

1. 我的用户帐户已经需要电子邮件验证 - 这是最低要求，我正在寻找超出此范围的内容
2. 直接存款有 3-5 天的等待期 - 这是银行要求的 - 但仍然没有回答如何在这 3-5 天内确定是否是欺诈以便可以取消的问题
3. 我宁愿避免一种既惩罚好人又惩罚坏人的解决方案-例如收取注册费用或让他们将资金留在那里直到要求提款（例如Paypal）

我们正在寻找一种阻止我们网站上的欺诈行为的好方法。我们有一个流量持续不断的网站——我们可以定期访问正常信息（IP、会话、cookie 等），以及用户提供的信息。

我们需要能够实时检测重复用户。基本上，人们会伪装成不同的人进来，以便在每个帐户上赚钱。我们必须阻止重复的用户和机器人进入我们的系统。

为了停止或减慢机器人，我们实施了验证码。这有点帮助。

为了防止重复帐户，我们创建了一个 IP 趋势系统。它暂时（并且默默地）暂停了过去 10 分钟内有重复活动的任何帐户。它还在该 IP 上有活动的所有帐户上增加了一个“重复”计数器 - 如果帐户有太多重复活动，此标志会快速点亮帐户。

但是，当有人在一天后进来时，上述修复不起作用。如果人们使用代理服务器或不同的 IP，它也不起作用。它使用 AOL 帐户（以及使用共享 IP 地址的其他 ISP）产生大量误报。我们还能做些什么来帮助实时减缓或阻止重复和机器人欺诈？

如果我们可以实时阻止他们，我们可以让我们的广告商满意（欺诈永远不会发生）。如果我们能在几天内阻止他们，我们至少可以停止向这些重复账户付款，让继续尝试变得毫无意义。

任何有关检测此欺诈的自动化解决方案的帮助将不胜感激。

在注册新帐户时，网络应用程序通常会询问“安全问题”的答案，例如狗的名字等。

我想通过我们的数据库查找用户只是敲击键盘而不是提供合法答案的情况 - 这是滥用/欺诈帐户的高指标。

“母亲的娘家姓？” 拉克杰弗卡伊

关于我应该如何做这件事的任何建议？

注意：我不仅仅在这些“安全问题答案”上使用正则表达式

“答案”可以是：

1. 使用一些基本的 sql 正则表达式从数据库中选择

2. 使用 python 正则表达式根据需要分析多次

3. 根据需要比较/修剪/评分

这是一个技术问题，而不是哲学问题 ；-)

谢谢！

我正在尝试做以下事情：我们正在尝试为股票市场设计一个欺诈检测系统。我知道欺诈的规范（它们就像模板）。所以我想知道我是否可以设计一个模板，并找到与这个模板匹配的所有记录。

注意：我不能使用传统查询，因为模板很复杂，例如我的一个欺诈是循环交易，它是这样的：A从B买，B从C买，C从A买（这是一个循环）这个周期可以包括 4 或 5 人。

对于这种情况有什么好的建议吗？

我经营的业务类型允许客户在付款之前获得结果。我在他们注册时获取他们的信用卡信息，然后从一周到一个月的任何时间向他们收取我的服务费用。大多数情况下这很顺利，但偶尔人们会尝试使用虚拟信用卡来玩这个系统，然后扔掉借记卡（就像你可能在 Wallmart 买的那样）。

我做了一些研究，发现http://en.wikipedia.org/wiki/List_of_Bank_Identification_Numbers，但这不是一个完整的列表。无论如何要确定卡片的来源；特别是虚拟和扔掉的卡片。

或者有没有人对这个问题有任何经验，并且可以给我一些解决这个问题的想法？

最近我在我正在处理的网站上安装了一个证书。我已经尽可能多地使用 HTTP，但是在您登录后，它必须保持在 HTTPS 中以防止会话劫持，不是吗？

不幸的是，这会导致谷歌地图出现一些问题；我在 IE 中收到警告说“此页面包含不安全的内容”。我认为我们现在买不起 Google Maps Premier 来获得他们的安全服务。

它有点像一个拍卖网站，因此人们不会因为一些黑客进入他们的帐户而不会因为他们没有购买的东西而被收费，这一点相当重要。不过，所有付款都是通过 PayPal 完成的，所以我没有保存任何类型的信用卡信息，但我保留了个人联系信息。如果发生这种情况，欺诈性指控很容易被撤销。

你们建议我做什么？我是否应该将网站的大部分内容从 HTTPS 中移除，而只保护某些页面，例如您输入密码的地方，仅此而已？这就是我们的竞争对手似乎在做的事情。

Google（和其他 PPC 公司）使用哪些方法来防止点击欺诈？

我必须在几个支付网关之间进行选择。我听说 PayPal 很乱，而且有几个欺诈问题？你们中有些人有使用 PayPal 的经验吗？

提前致谢