hangouts google developer create bot forms credit-card payment fraud-prevention

forms - google - Limitar el impacto de los scripts/bots de procesamiento de tarjetas de crédito



hangouts chat developer (4)

Estoy involucrado en la construcción de un formulario de donación para organizaciones sin fines de lucro. Recientemente recibimos una ronda rápida de envíos de dólares bajos. Muchas eran tarjetas inválidas, pero algunas pasaron. Obviamente, alguien escribió un guión para verificar la validez de un grupo de números de tarjetas, posiblemente para poder venderlos más tarde.

¿Alguna idea sobre cómo prevenir o limitar el impacto de esto en el futuro?

Tenemos control sobre todos los aspectos del sistema (código, servidor web, etc.). Sí, el formulario se ejecuta en https.


Aumentar la donación mínima a un punto en el que ya no tenga sentido financiero que los estafadores lo usen de esta manera lo ayudará en general.

Esta. ¿Cuántas donaciones legítimas recibe por debajo de 5 dólares, de todos modos?


Cuando se detecta una inundación de transacciones no válidas desde una única dirección IP o un rango pequeño de direcciones, bloquee esa dirección / red.

Si se usa una botnet, esto no ayudará. Todavía puede detectar inundaciones de envíos de cantidades bajas de dólares y deducir cuándo está bajo ataque; durante estos tiempos, interrumpa el envío de cantidades de dólares bajas para que tarden más tiempo; introducir CAPTCHA por donaciones de bajo monto en dólares; consulte con el departamento de prevención de fraude de su banco en caso de que puedan hacer uso de los registros de su servidor para atrapar a los autores.

Forzar a los donantes a crear cuentas para hacer donaciones; proteger la creación de cuentas con un CAPTCHA, y limitar las donaciones de cualquier cuenta.

Aumente la donación mínima permitida a un punto en el que ya no tenga sentido financiero que los estafadores lo usen de esta manera.


limite las presentaciones de la misma dirección IP a una por minuto, o el período de tiempo razonable que le tomaría a una persona real completar el formulario


En lugar de CAPTCHAs, lo que molestará a los usuarios, es posible que desee aprovechar el hecho de que la mayoría de las personas tienen javascript habilitado, mientras que los bots no lo hacen. Simplemente crea una pequeña porción de javascript que cuando se ejecuta inserta un valor particular en un campo oculto.

Para aquellos que tienen Javascript deshabilitado, puede mostrar el CAPTCHA (use la etiqueta <noscript> ), y luego puede aceptar un envío solo si se revisan cualquiera de estas medidas.

Para la máxima molestia a los malhechores se puede hacer la diferencia entre el mensaje de éxito y el mensaje de falla computacionalmente difícil de distinguir (decir que todo es lo mismo, excepto una imagen que muestra el mensaje) pero fácil de entender para los humanos.