Necesito ideas para bloquear a un solo usuario malévolo

Navega tus respuestas
15

Permítanme resolver este problema que tengo con algunos de mis compañeros técnicos y ver si tienen alguna sugerencia nueva:

Tenemos un sitio web que envía mensajes de texto y correos de voz para nuestros clientes. Los clientes pueden comprar créditos y usar esos créditos al enviar SMS y llamadas de voz.

Tenemos a este estafador nigeriano que ha decidido que quiere meterse con nosotros y continúa configurando cuentas, cobrando tarjetas de otras personas y enviando mensajes. Parece que tiene datos completos de la tarjeta, incluidos CVV2, dirección y vencimiento. (Recopilado de un sitio que no es compatible con PCI, estoy seguro) No está fallando en ninguno de esos controles. A veces carga la tarjeta y envía mensajes, a veces solo carga la tarjeta. (Probablemente para probar la validez, aunque ahora bloqueamos automáticamente una cuenta que falla el cheque de una tarjeta tres veces en una semana, por lo que ahora tenemos un 90% de tarjetas válidas)

Estamos desarrollando con furia un método para validar la tarjeta de cargo mediante el cobro de un par de cargos sub-dólares y tienen que ingresar los montos para validar la tarjeta. Pero actualmente es un programa lento y va a ser una barrera real para muchos de nuestros usuarios más informales. También estamos considerando una validación basada en SMS, pero eso es menos seguro ya que estoy seguro de que también tiene acceso a al menos 5 o 6 teléfonos, o Skype SMS o algo así.

Además, si obtenemos muchos de estos cargos respaldados por el consumidor, podemos perder nuestra cuenta de comerciante. Estamos trabajando para anularlos antes de que pasen, pero es un proceso manual doloroso.

Entonces, mientras estamos trabajando para agregar una validación de tarjeta sólida, ¿qué podemos hacer? ¿A corto plazo y / o largo plazo? Este tipo crea 5 o 10 cuentas por día con todo tipo de nombres, direcciones, fuentes de IP (generalmente en Nigeria, pero no siempre, también es proxy de otros lugares), etc.

En resumen, todo lo que hagamos para detener a este tipo ahora mismo impedirá que los usuarios legítimos accedan a sus cuentas o nos den dinero.

¿Qué otro tipo de defensas podemos erigir para prevenir a un usuario malévolo único y razonablemente técnicamente involucrado? ¿Algún tipo de mal detectando la prueba de Turing?

Odio admitirlo, pero me estoy quedando sin ideas de lluvia de ideas. Así que vine aquí.

    
pregunta Chris Chubb 13.03.2012 - 20:54
fuente

5 respuestas

9

@logicalscope plantea algunas buenas sugerencias, pero en general, todavía tienes que lidiar con un hecho duro y frio:

  

Hablando técnicamente, incluso este príncipe nigeriano es un usuario perfectamente válido.

El único problema con él es que no posee las tarjetas de crédito que proporciona, a pesar de que proporcionó toda la validación necesaria .
Esto es en realidad una falla del sistema de tarjeta de crédito en sí mismo, ya que trata what you know (los números CC) como something you have (la tarjeta de crédito en sí). Y, dado que estos números son casi de dominio público (es decir, si los entrega en muchos sitios, le entrega la tarjeta física a la chica de pago en su supermercado y al asistente de la gasolinera, etc.), su conocimiento no debe considerarse como comprobante de titularidad de la tarjeta.

En pocas palabras, formalmente, debería poder confiar en la prueba dada, desafortunadamente hay un pequeño problema con las devoluciones de cargo. Básicamente, las compañías de tarjetas de crédito están haciendo lo que mejor hacen: atornillarte en ambas direcciones :).

Dejando de lado, ¿qué puede hacer de manera realista, para evitar cargar una tarjeta que no es propiedad de alguien que proporcionó el CHD?
Bueno, no mucho (y estoy encantado de que nadie sugiera CAPTCHA ...) Sin embargo, su idea de los cargos mínimos como forma de prueba de propiedad es muy buena.

Es muy similar al método de Paypal, y de hecho sugeriría que modifiques tu esquema ligeramente en su dirección. Al registrarse (IIRC), se realiza una pequeña carga. La cantidad no es el secreto, ya que solo se pueden hacer tantas sumas en el rango de sub-dólares ... en cambio, le piden el número de transacción, que aparece en su informe de tarjeta de crédito. La única forma de acceder a eso es recibir el correo del titular de la tarjeta o tener acceso al portal del consumidor del proveedor de CC. Para el registro, también reembolsan ese dólar después de que te registraste.

Quizás desee implementar este solo para cuentas potencialmente riesgosas, como sugiere @logicalscope, como por ejemplo, la geolocalización de IP.

Otra posibilidad que creo que debería tener en cuenta es la validación de la tarjeta de outsourcing. Ya sea aceptando solo cuentas de Paypal o utilizando un sistema de validación de terceros. Esto transfiere la responsabilidad a otra persona, al hacer que otra persona acepte el pago directamente por usted (ala VBV / 3Dsecure).

    
respondido por el AviD 14.03.2012 - 16:54
fuente
5

La única solución técnica que puede tener disponible es capacitar a los datos del usuario (como el nombre, la dirección, la información de IP, etc.) dentro de algún tipo de agente de spam. Similar a un categorizador de correo electrónico no deseado, esto podría usarse para crear la "prueba de Turing malvada" que necesita. Puede considerar tratar esto como un problema de spam y ver qué tipos de soluciones existen para spam de correo electrónico, spam de SMS, spam de redes sociales / foros, etc. El principal problema es la cantidad y calidad de los datos disponibles.

De lo contrario, según su descripción, parece que todas las características técnicas se están cumpliendo, mientras que ninguno de los factores humanos lo son. De no ser así, en estos casos, normalmente presentaría un caso de negocios a favor y en contra de una acción específica.

  1. ¿Cuántos ingresos espera obtener de las IP de Nigeria en relación con el costo de devoluciones de cargo, pérdida de cuenta de comerciante, riesgo de reputación, etc.? ¿La eliminación de las direcciones IP nigerianas representará el XX% de los usuarios malintencionados anticipados? Obviamente, esto no ayuda con la asignación, pero puede obtener la mayoría de los casos.

  2. ¿Son los mensajes que el estafador envía obviamente spam?

  3. ¿Puede aplicar los controles más estrictos, como SMS y cargos subdolares, a un subconjunto de la población total de usuarios? Es decir, ha identificado a Nigeria (y posiblemente a otros) como su área principal de preocupación. ¿Por qué incluir otros países "más reputados" en medidas draconianas?

  4. ¿Puedes revertir la búsqueda de la IP? ¿Resuelve la mayoría de los usuarios legítimos? ¿Los usuarios no legítimos se resuelven en dominios específicos o proxies conocidos?

  5. ¿Puede detectar el uso de proxies a través de "X-Forwarded" o "X-Client-IP" o dichos encabezados HTTP? Esto también capturará usuarios potencialmente legítimos, pero nuevamente, puede equilibrar esta medida junto con otra información.

Por supuesto, ni siquiera necesita apagar al usuario por completo si falla alguna de las comprobaciones anteriores. Simplemente muévalos a una cola de revisión y trátelos aparte de otras solicitudes de apariencia legítima. ¿Es más barato pagarle a alguien para que revise estos datos que permitirle que lo haga? A veces, todo se reduce al caso de negocios.

    
respondido por el logicalscope 13.03.2012 - 21:42
fuente
3

Puede considerar la necesidad de que los usuarios que configuran una cuenta con usted verifiquen su número de teléfono a través de una verificación basada en SMS.

Podrías requerir que cada cuenta esté vinculada a un número de teléfono único (no se usa para ninguna otra cuenta).

Y, lo que es más importante, si detecta un fraude (por ejemplo, devoluciones de cargo en una tarjeta de crédito), puede bloquear ese número de teléfono para futuras cuentas y cerrar cualquier cuenta existente con ese mismo número de teléfono. De esta manera, si el estafador nigeriano tiene acceso a 4 o 5 teléfonos, puede configurar 4 o 5 cuentas y estafar 4 o 5 veces, pero eso puede estar en el lavado. Si quiere seguir abriendo nuevas cuentas, tendrá que seguir recibiendo nuevos teléfonos, lo que eleva el nivel de los ataques.

    
respondido por el D.W. 13.03.2012 - 23:11
fuente
1

¿Podría usar el lado de las cosas de SMS como un posible segundo factor en el proceso? Supongo que podría utilizar el número BIN de la tarjeta para ubicar el país del banco emisor y luego solicitar un número de teléfono válido en ese país al que envía un mensaje SMS y solicitar el ingreso para validar la cuenta.

Todavía podría ser anulable (obtener una cuenta VOIP en el país de destino para recibir el SMS) pero podría subir un poco la barra.

También podría, en teoría, buscar a los proveedores de VOIP de la lista negra como destinatarios del mensaje SMS. Dependiendo de su base de clientes, eso podría no ser una posibilidad, pero nuevamente podría complicar las cosas para su estafador.

    
respondido por el Rоry McCune 13.03.2012 - 21:40
fuente
1

Es posible que desee consultar los servicios proporcionados por hazardmetrix (consulte panopticlick para obtener información sobre las huellas digitales del dispositivo).

    
respondido por el symcbean 14.03.2012 - 17:53
fuente

Lea otras preguntas en las etiquetas

¿Debe un capacitador de penetración tener capacitación en ISO 27001 / ITIL, etc.? ¿Qué más se puede detectar?