问题标签 [fraud-prevention]

我的公司正在使用 Stripe API 来处理信用卡。Stripe 提供邮政编码和地址验证系统 (AVS) 检查。AVS 将用户输入的门牌号与发卡银行的门牌号进行核对。

Stripe 返回三个结果之一：PASS、FAIL 和 UNCHECKED。未选中表示银行不支持此功能。

因此，问题变成了是只接受通过的付款还是只拒绝失败的付款。我宁愿更保守一点，只接受通过的付款，但我想首先知道有多少潜在的好客户可能是“未经检查的”。

我的问题：仅通过 Visa 或 MasterCard 以美元处理的美国信用卡中有多少百分比不检查 AVS？范围很好（即 ​​5-10%）

我有一个网站向用户支付在缩短链接上展示广告的费用。我最近有人试图通过向网站发送虚假流量来增加收入。它不仅破坏了我的网站（即减慢速度），而且还扭曲了我的谷歌分析数据。

这里唯一的解决方案真的是部署 WAF，还是滚动我自己的基于 Rack 的请求检查代码？我不确定这在 Heroku/Ruby on Rails 环境中如何工作或最佳实践。

有人有这方面的经验或有什么想法吗？

我们正在使用 tincan api 向我们自己的学习记录存储 (LRS) 报告课程进度。这些课程由第三方提供，并在用户浏览器中作为 HTML 页面运行。

由于可以操纵从课程发送的所有 tincan 语句（简单的 REST 接口），我们确定可以制作或重播 LRS 将接受的“课程成功”消息。

• 有哪些方法可以防止欺诈性消息？

• 什么是常见的保护层？

我们目前正在开展一个项目，旨在最大限度地减少我们电子商务平台中的欺诈行为。特别是，我们力求避免欺诈拥有多个帐户的用户（这些帐户背后的同一个人）。

为了解决这个问题，我们正在设计一种机制，旨在验证拥有多个帐户的用户的身份。此机制仅适用于我们平台内有风险行为的用户。

该机制包括要求用户连接他的 Facebook 帐户并授予我们的应用程序某些权限，这使我们能够验证他的帐户的真实性。

我们将需要以下内容：

• 他的帐户有50多个朋友。
• 他的帐户在 6 个月前有活动。
• 即用户可以正确识别5个朋友的脸。（类似于 Facebook 社交验证码）

为此，我们的 Facebook 应用程序需要以下权限：

• 用户朋友
• 电子邮件
• user_photos（需要审核申请）

我们不想在不确定 Facebook 是否会批准“user_photos”权限的情况下开始开发这种机制。

所以，我们的问题是：

• 是否可以以这种方式使用信息？
• 我们这样做是否违反了 Facebook 的政策？
• 有什么方法可以确保 Facebook 在开始开发之前批准我们的应用程序的这些权限？

非常感谢。

例子：

1. 站点 A（我）向站点 B 出售 2 000 次点击。此外，站点 B 所有者在其 Google.Analytics 中使用“utm_source=A”。

2. 然后是欺诈者，他向站点 B 发送了额外的 10 000 名访问者 - 重要 - 绕过站点 A，具有相同的 utm_source，并且还使用假的 http-referer = 站点 A。还使用了不同的浏览器尺寸。

有什么不同 - 推荐路径。

我 100% 知道唯一且真正的引荐路径是 site-a.com/ext/（它将访问者重定向到站点 B，还计算 ga 事件和内部统计信息）。虚假流量使用不同的虚假推荐路径，而不是 site-a.com/ext/

问题：如果使用 utm 标记，则无法看到引用路径。如果不使用utm，过滤虚假流量将非常简单。但是不可能让我们的客户不使用utm标记。

如果使用 utm 标记，谁可以过滤推荐路径？谷歌分析无法做到这一点

我的团队正在讨论如何改进客户平台上的欺诈预防算法。用于欺诈活动的电子邮件地址通常在 Gmail 等免费邮件提供商处注册也就不足为奇了。

作为欺诈预防系统的输入，我们缺少的一个标准是帐户的年龄，这将为我们提供非常有价值的信息。

是否有 API 方法（或任何其他方式）可以让我们查询 Gmail 帐户何时注册？

像https://api.gmail.com/age-of-account/email.address@gmail.com这样返回创建日期或时间跨度的东西会非常有用。

不确定我是否正确，但假设我有一个 REST API 和端点，例如，创建一些资源，假设@POST创建用户。

如何保护我的应用程序免受用户使用类似 10000 次 API 调用来创建无用资源的 for 循环？

是否可以编写一个过滤器来阻止这种行为？我希望你明白我的意思。

We have an application that is installed on premises for many clients. We are trying to collect information that will be sent to us at a point in the future. We want to ensure that we can detect if any of our data is modified and if any data was deleted.

To prevent data from being modified we currently hash table rows and send the hashes with the data. However, we are struggling to detect if data has been deleted. For example if we insert 10 records in a table and hash each row the user wont be able to modify the record without us detecting it but if they drop all the records then we can't distinguish this from the initial installation.

Constraints:

• Clients will have admin roles to DB
• Application and DB will be behind a DMZ and won't be able to connect external services
• Clients will be able to profile any sql commands and be able to replicate any initial setup we do. (to clearify they clients can also drop/recreate tables)
• although clients can drop data and tables, there are some sets of data and tables that if dropped or deleted would be obvious to us during audits beacuse they should always be accumulating data and missing data or truncated data would stand out. We want to be able to detect deletion and fraud in the remaining tables.
• We're working under the assumption that clients will not be able to reverse our code base or hash/encrypt data themselves
• Clients will send us all data collected every month and the system will be audited by us once a year.
• Also consider they client can take backups of the DB or snapshots of a VM in a 'good' state and then do a roll back to that 'good' state if they want to destroy data. we don't want do do any detection of vm snapshot or db backup roll backs directly.

So far the only solution we have is encrypting the install date (which could be modified) and the instance name. Then every minute 'increment' the encrypted data. When we add data to the system, we hash the data row and stick the hash in the encrypted data. Then continue to 'increment' the data. Then when the monthly data is sent we'd be able to see if they are deleting data and rolling the DB back to just after installation because the encrypted value wouldn't have any increments or would be have extra hashes that don't belong to any data.

Thanks

我目前正在从事的项目涉及识别在我的网站上创建虚假帐户的垃圾邮件发送者。我很想知道我可以提取什么类型的信息。

首先，有浏览器指纹识别。根据库https://github.com/Valve/fingerprintjs2，我可以使用大约 25 个功能。

然后是平台检测，可在https://github.com/bestiejs/platform.js/获得。这个库似乎能够提取有关用户平台的一些信息。

然后我还可以通过检查环境从我的 http 服务器中提取信息。

是否有任何其他技术可以用来从我的请求中提取信息？

我有一个当前使用谷歌地图和地址搜索的应用程序。我即将切换到更高级别的使用，但想知道有哪些保护措施（如果有）来防止恶作剧的一方用我的 API 密钥淹没 API 调用，从而增加我的使用次数（即使它不合法）。

我知道如果谷歌检测到来自某个 IP 地址的流量过多，谷歌有一些控制权，用户必须回答验证码。在这种情况下，这是否有助于防止问题发生？如果是这样，有人仍然可以用我的 API 密钥敲击谷歌的速度是多少？