Mitigación de engaño y amp; Fraude de votantes en concursos en línea ...
Realizamos concursos en línea de varios tipos que involucran a los usuarios que votan en las entradas (generalmente un voto por usuario por día). Los premios van desde cientos hasta miles de dólares. En los últimos cuatro años, nos hemos encontrado con una serie de formas en que las personas intentan engañar y han implementado medidas couter en cada caso. En su estado actual, utilizamos las siguientes medidas:
Autenticación
Un usuario debe crear una cuenta y autenticarse (iniciar sesión). Esto descarta el relleno de votos anónimos.
Confirmación de correo electrónico
Un usuario debe confirmar su dirección de correo electrónico haciendo clic en un enlace en un correo electrónico del sistema para confirmar que posee y tiene acceso a su dirección. Esto descarta la creación masiva de cuentas utilizando direcciones de correo electrónico aleatorias (no necesariamente válidas). También ralentiza el proceso un poco para una cuenta, y mucho si intentas crear muchas.
Sin alias de direcciones de Gmail
Los usuarios no pueden usar direcciones de alias instantáneas como [email protected]. Eso frena a los tramposos potenciales.
Medidas adicionales
Rutinariamente auditamos nuestros registros y listas de votación para cadenas de direcciones de correo electrónico que provienen del mismo dominio privado ([email protected], [email protected], etc.). También buscamos nombres similares, nombres de usuario y "partes locales" de direcciones de correo electrónico en dominios.
También mostramos actualizaciones de resultados de votación a diario, por lo que no hay comentarios instantáneos. De esa manera, si alguien está tratando de hacer trampa, tardará un día en ver los resultados y, a menos que sean grandes, no sabrán con certeza si su método fue exitoso. Intentamos ser lo más posible de una "caja negra".
No hace falta decir que todo esto es agotador y se hace cada vez más difícil de ampliar. Necesitamos una solución más fácil para asegurarnos de que nos acercamos mucho más a "una persona, un voto" en nuestros concursos, sin cargar al usuario más allá de la necesidad en el proceso.
Hemos explorado la posibilidad de usar SMS para adjuntar números móviles a cuentas para verificar a la persona; el jurado aún está deliberando sobre este enfoque: enlace , y ¿Se pueden usar los mensajes de texto SMS para verificar la identidad única de una persona a través de un sistema de código corto? .
Algunas sugerencias han incluido el uso de tarjetas de crédito, verificación por correo, puntos de reputación ... pero estas son demasiado onerosas para nuestros usuarios objetivo.
¿Qué más podemos hacer automáticamente en la parte de atrás para 1) identificar a los tramposos y, lo que es más importante, 2) evitar que incluso hagan trampas?
ACTUALIZACIÓN
Decidimos no hacer que nuestra protección contra fraudes fuera a prueba de fugas porque uno de los desarrolladores señaló que "cuanto más difícil es hacer que las personas hagan trampa, más difícil es detectarlas". En su lugar, estamos utilizando una técnica de caza china medieval llamada Battue de tres lados. Al hacer que sea muy difícil hacer trampa en la mayoría de los casos, pero relativamente fácil de escabullirse de otras maneras, sabemos exactamente qué buscar y eliminar antes de que se actualicen los resultados de la votación.
Buscamos patrones en los votos, como un participante que recibe una serie de votos cronometrados, luego miramos las cuentas asociadas con esos votos. Si hay un patrón en las cuentas, eliminamos esas cuentas y los votos asociados desaparecen con ellas.