Permítanme resolver este problema que tengo con algunos de mis compañeros técnicos y ver si tienen alguna sugerencia nueva:
Tenemos un sitio web que envía mensajes de texto y correos de voz para nuestros clientes. Los clientes pueden comprar créditos y usar esos créditos al enviar SMS y llamadas de voz.
Tenemos a este estafador nigeriano que ha decidido que quiere meterse con nosotros y continúa configurando cuentas, cobrando tarjetas de otras personas y enviando mensajes. Parece que tiene datos completos de la tarjeta, incluidos CVV2, dirección y vencimiento. (Recopilado de un sitio que no es compatible con PCI, estoy seguro) No está fallando en ninguno de esos controles. A veces carga la tarjeta y envía mensajes, a veces solo carga la tarjeta. (Probablemente para probar la validez, aunque ahora bloqueamos automáticamente una cuenta que falla el cheque de una tarjeta tres veces en una semana, por lo que ahora tenemos un 90% de tarjetas válidas)
Estamos desarrollando con furia un método para validar la tarjeta de cargo mediante el cobro de un par de cargos sub-dólares y tienen que ingresar los montos para validar la tarjeta. Pero actualmente es un programa lento y va a ser una barrera real para muchos de nuestros usuarios más informales. También estamos considerando una validación basada en SMS, pero eso es menos seguro ya que estoy seguro de que también tiene acceso a al menos 5 o 6 teléfonos, o Skype SMS o algo así.
Además, si obtenemos muchos de estos cargos respaldados por el consumidor, podemos perder nuestra cuenta de comerciante. Estamos trabajando para anularlos antes de que pasen, pero es un proceso manual doloroso.
Entonces, mientras estamos trabajando para agregar una validación de tarjeta sólida, ¿qué podemos hacer? ¿A corto plazo y / o largo plazo? Este tipo crea 5 o 10 cuentas por día con todo tipo de nombres, direcciones, fuentes de IP (generalmente en Nigeria, pero no siempre, también es proxy de otros lugares), etc.
En resumen, todo lo que hagamos para detener a este tipo ahora mismo impedirá que los usuarios legítimos accedan a sus cuentas o nos den dinero.
¿Qué otro tipo de defensas podemos erigir para prevenir a un usuario malévolo único y razonablemente técnicamente involucrado? ¿Algún tipo de mal detectando la prueba de Turing?
Odio admitirlo, pero me estoy quedando sin ideas de lluvia de ideas. Así que vine aquí.