问题标签 [fraud-prevention]

我为一家非营利组织工作，并创建了在线捐赠页面。最近，此捐赠页面已被用于通过称为Carding的过程验证被盗的信用卡详细信息。

它的工作方式是，懒惰的人掌握了一大堆信用详细信息，但不知道哪些数字是好还是坏。因此，他们进入捐赠页面并尝试用被盗的卡号进行小额捐赠（5 美元或更少）。如果捐款通过，那么他们可以使用该数字进行更大的购买。

梳理可能会花费非营利组织很多钱，因为大多数这些“捐赠”最终会被撤销，并且在某些情况下，银行将收取退款费用。

有没有其他人有过这方面的经验？另外，有什么方法可以阻止它？

google adsense 如何判断被点击的广告是有效还是无效（恶意点击或机器人点击）？

我知道一家公司在做这类工作。
http://www.adometry.com/
以前称为 Click Forensics。

我一直在为丹麦的一家小企业做网页设计，这家小企业已经与一家大公司达成协议以创建最终网站。

在这家公司的提案中，我看到他们为在我的客户服务器上安装 Magento 收取了相当大的费用，并为集成设计收取了额外的费用。

同一家公司禁止我的客户通过 FTP 或类似方式访问服务器，因此他们无法自行安装。

我的问题是：许可证真的允许转售 Magento 吗？这家公司甚至想为安装它的空白版本收取相当高的费用，不包括 Magento 许可。

我查看了更大的公司，而这家公司没有 Magento 的常设许可证。即使他们得到了一个，我也有一种鬼鬼祟祟的感觉，认为这里的法律/许可有问题。

我与您分享此内容的原因是，我有一种勇气觉得我应该提出一些关键问题并建议我的客户使用另一家公司作为他们的网站，但我需要确定我是正确的。

这家 IT 公司与 Magento/Varien 没有合作伙伴关系，并且声誉已经有些受损......

我已经向 Magento 发送了有关此问题的邮件，但尚未收到任何回复。

我想从网站用户那里收集某种地理信息 - 对于给定的数据集，他们将标记复选框，指示该地点是否有给定财产。是否有任何工具/框架可以根据整个收集的数据集（以及可能的其他信息）检测欺诈或垃圾邮件提交？我想获得过滤后的更可靠的数据。

我有一家面向俄罗斯市场的 VoIP 呼叫公司，它有一个俄罗斯网站，人们可以在该网站上注册帐户、购买信用和拨打电话。我的服务甚至不受欢迎，我只有大约 100 个客户。最近，我有大约 10 个欺诈性用户使用被盗的信用卡/借记卡或 PayPal 帐户进行付款。尽管我的网站是俄语的，但我有来自索马里的欺诈性客户，他们用被盗信息购买了价值 50 美元的信用卡。两天后，在欺诈用户注册并用完他们的信用后，我收到了来自 PayPal 的电子邮件，说这些交易是“未经授权的（交易）”。PayPal 给了我 10 天的时间来解决这个纠纷，并通过与财务信息被泄露的人交谈来退款。经过几个小时的争论和辩论，我不得不退款并接受损失。但，这是它的工作原理吗？如果我有 100 名欺诈性客户购买了价值 1000.00 美元的信用额度怎么办？我如何为自己投保？请注意，我的服务是俄语的，如果我有英文网站供所有人注册怎么办？您如何保护您的服务免受此类事情的影响？

我能想到的一些措施是：

1. 客户必须通过验证电子邮件激活他们的帐户（已实施）
2. 账户默认没有激活，我必须手动激活（客户可能不喜欢这样）
3. 用提供的电话号码给新客户打电话，确认他是否真的注册了（我讨厌这个）

感谢您的所有建议和意见！

我有一个网站，其中包含一个安全区域，可通过使用帐户信息登录来访问。在安全区域内，我有一些昂贵的 IP。我发现人们正在与其他人分享他们的密码。我可以实施任何现有的技术/解决方案/方法来检测欺诈模式吗？

在此先感谢您的帮助。

我正在尝试使用本机贝叶斯分类器来检测欺诈交易。我在 Excel 表中有大约 5000 个样本数据，这是我将用于训练分类器的数据，我有大约 1000 个测试数据，我将在其上应用测试分类器。

我的问题是，我不知道如何训练分类器。在将训练数据传递给训练分类器之前，我是否需要将其转换为某种特定格式。训练分类器如何知道哪些是我的目标值，哪些是它的特征。

有人可以帮帮我吗？

我知道有一种方法可以阻止用户提取APK我们的应用程序，但我不知道该怎么做。

你知道如何？

例如，如果我使用Astro File Manager提取APK应用程序的 ，对于某些应用程序它可以工作，但对于其他应用程序我不能使用它。如何保护我的应用程序？

请给我看代码。

好的，我要谈谈贝宝。原因是很难获得一个接受您销售数字商品的商家帐户。因此，出于这个原因，贝宝是唯一简单的选择。

我发布这个的原因是有很多关于退单和贝宝的旧信息。我想我会在这里分享我的发现，这样比我了解更多的人可以指出任何错误。

要点：

PayPal 不保护涉及无形商品的买家或卖家。

这意味着什么：

这里重要的一点是 PayPal 不保护买家或卖家。这意味着如果有人试图通过 PayPal 对您提供的无形产品/服务进行退款。您只需要告诉 PayPal 是无形商品，该案件应该结案。

但是，正如您所读到的，人们总是会在涉及 PayPal 的退单案件中败诉。这归结于这样一个事实，虽然 PayPal 不会为无形商品的买家提供保护，但用于购买该产品的信用卡公司会。所以退单实际上是信用卡公司从 PayPal 拿钱，然后 PayPal 从你那里拿钱。在这种情况下，您似乎无能为力，只能接受它。

信用卡公司执行退款的原因有很多。其中一个大问题是被盗的信用卡。这是我最担心的一个。

但这让我想到，在英国，很多网站都使用“3D Secure”，这基本上是一个额外的安全层，这意味着每次使用信用卡时都必须输入密码。这意味着将责任从商家转移到卡公司。

经过一番挖掘，我发现 PayPal 确实以 Visa 验证和 MasterCard SecureCode 的形式提供买家身份验证（与 3D 安全几乎相同。

出色的！然后，这大大降低了成为信用卡被盗受害者的风险。但由于很多人不想要额外的步骤，它会减少销售额。

但它没有帮助的是人们出于其他原因进行退款。例如“我没有拿到该物品”、“它与描述的不一样”、“我只是个小混蛋，只想骗你”。

好的，考虑到这一切，这是我的问题：

1) PayPal 不会保护您免受数字商品的信用卡拒付。但这是否意味着您不能尝试直接向信用卡公司提供证据？

2) 您是否可以提供任何形式的保证证据，证明有人购买并使用了您提供的无形商品/服务，信用卡公司可以接受。（最好不要依赖传真个人资料）

如果这个问题真的很幼稚，请原谅，但我尽可能多地搜索却无法找到相关答案。

我花了最后三天试图了解 https 的工作原理。这些天之前我所知道的只是对称和非对称密码学是如何工作的。我是时候了解这两者是如何应用在 ssl-https 上并实现所谓的数据加密和服务器身份验证的了。

关于数据加密和防止中间人攻击，一切都很清楚

似乎我并不完全了解服务器身份验证的工作原理，因此我们将非常感谢您的帮助。

到目前为止，我的理解如下：

当客户端通过 https 连接到服务器时，服务器会发送一个由 CA 签名的证书。此服务器证书是一个文本文件，其中包含有关服务器的信息（名称、所有者电子邮件、公钥等）以及数字签名。

此签名是服务器信息内容的散列，由 CA 私钥加密。

客户端通过再次自己生成服务器信息的哈希并使用 CA 的公钥解密签名来检查签名的有效性。如果解密后的签名值与产生的哈希值相同，则签名和证书随后都是有效的。

请注意，公私加密方案具有双重性质。消息可以用公钥加密，用私钥解密。相同的消息可以用私钥加密，也可以用公钥解密。

我们需要记住的是，证书是一个静态且不可更改的文件。对文件的任何更改都将导致签名不匹配。

我现在将描述一种欺骗 https 的方法：

假设有一个 URL = https://wwww.TheBank.com/ebanking（公共 IP = 195.134.0.1）的电子银行网站，我连接到这个 URL，我的浏览器获取服务器证书。(theBank.cer)

同时，我是一家网吧的老板。我的网吧有自己的路由器、DNS 和 DCHP 服务器，我可以控制这些服务器。它也有一个网络服务器。

我将 Web 服务器配置为拥有 ip 195.134.0.1，与银行的相同我创建了一条到路由器的路由，该路由将 195.134.0.1 的连接请求发送到我的 Web 服务器我配置我的 DNS 以将上述银行 URL 指向 195.134.0.1（我的网络服务器）我在我的网络服务器上放置了一个欺诈性银行网站。对于此站点上的任何连接，我指示 Web 服务器将我之前下载的证书发送给客户端。( theBank.cer)

一个用户来到我的咖啡馆，连接到我的网络并尝试连接到这家银行。我的服务器将银行证书发送给他。他的浏览器将确认证书的有效性，因为它确实是有效的，并允许连接到我的假网站，因为它的 URL、IP 和主机名与真实网站相同。

所以我的欺诈成功了。

当然，这个安全漏洞太明显了，不可能是真的。意思是我在这个服务器身份验证过程中没有理解一些东西。有人可以向我解释我在这里缺少什么吗？