Detección de fraude para evitar usuarios falsos

Editar: si su sitio web trata sobre crowdsourcing, probablemente debería haberlo mencionado en la pregunta de inmediato porque es un tema muy específico y diferente de los escenarios de proveedores en línea.

Sin embargo, la solución sigue siendo la misma. La forma más sencilla sería mantener las actividades verificadas para cada usuario en una base de datos y así verificar si un usuario realmente ha logrado algo. Así es como lo hacen las tiendas como Amazon y los proyectos de colaboración colectiva como Wikipedia, y tampoco es difícil de implementar, especialmente cuando todos los usuarios deben registrarse de todos modos.

Siempre tendrá datos como ID de miembro o ID de proyecto que pueden asignarse 1: 1 a una persona existente. Ni siquiera puedo imaginar una compañía donde el propietario ni siquiera haga un seguimiento de los participantes de su negocio.

Sugeriría hacer que los usuarios usen la autenticación de dos factores "algo que tengo". Un ejemplo es enviar un mensaje de texto para verificar al usuario al registrarse o publicar.

O limite la capacidad de los clientes para publicar si la cuenta es nueva y tiene un "Tiempo de espera".

Podría ir más allá y requerir una ubicación geográfica en una aplicación móvil que verifique si la persona está dentro del área en la que se está colocando la revisión.

El segundo paso sería limitar el número de revisiones por hora / minuto para cada empresa / producto.

Otra vez ... Todo esto no es tan fácil de implementar y supone una carga mayor para el cliente.

Felicitaciones por tratar de presentar reseñas honestas: una idea un tanto inusual cuando la mayoría de los modelos de negocios que incluyen revisiones enviadas por usuarios tienden a no favorecer este tipo de enfoque.

Con respecto a lo que estás haciendo actualmente ...

Aquí solo nos has contado parte del proceso. Una característica común de muchos sitios en línea es que insisten en establecer confianza por adelantado antes de permitir que un usuario haga algo. Encuentro esto particularmente molesto. No quiero proporcionar mi dirección postal, mi edad y el tamaño del zapato antes de que se me permita compartir mi experiencia de un producto, bueno o malo. De hecho, solo es probable que salte a través de tales aros si realmente quiero publicar una reseña vitriolica. Por lo tanto, sugeriría que cualquier parte del proceso que involucre directamente al usuario tenga lugar después de que se registre la revisión (pero antes de que se muestre). Enviar un correo electrónico con un enlace de confirmación es una forma fácil y mínimamente intrusiva de hacerlo.

Usando las huellas dactilares del navegador, tanto el envío de la revisión como la validación darán una buena indicación de si el mismo navegador envió la revisión y la confirmó, pero las personas pueden tener varios dispositivos.

  

la combinación de huellas dactilares del usuario IP + usuario ya existe

Las direcciones IP para los clientes rara vez son estáticas. Incluso usar una subred no es tan efectivo. El ASN (o su registro ORG asociado) le dará resultados menos granulares, pero mucho más consistentes y precisos. El uso del número ASN también simplifica el proceso de identificación de la localidad de la dirección del cliente; Es posible que desee restringir las revisiones a los países donde el producto está disponible. Hay organizaciones (mi experiencia es que hay una densidad inusual en las Filipinas y Europa del Este) que llevarán a cabo la comercialización de operaciones en negro.

  

¿Algún consejo sobre colisiones de huellas digitales?

¿Tratar de evitarlos?

Por alguna razón, las compañías que ofrecen estos servicios son algo reticentes a la hora de publicar estadísticas sobre la singularidad de su solución, y parece que hay muy poca literatura (más allá del estudio de panóptica original) que compara las metodologías.

Es posible que tengas algunos consejos útiles en la publicación de blog aquí . Anteriormente había reportado 1056 hashes únicos de 1160 dispositivos diferentes utilizando algunos de esos métodos. Desde entonces, he actualizado mi metodología para incluir huellas dactilares de lienzo que aumentan mucho la singularidad.

Tarde o temprano encontrará que tiene muchos datos para cada revisión: varias direcciones IP, cookies, huellas digitales (y potencialmente vocabularios, estilo de escritura y otros). Puede que sea más apropiado asociar una ponderación a las diferentes marcas detectadas de manera similar a cómo funciona el spamassassin.

El usuario malintencionado solo puede cambiar la huella digital de su navegador. Al menos, puede tener dos o más navegadores diferentes instalados en su máquina. Además, ¿qué pasa con los usuarios múltiples que usan la misma dirección IP (por ejemplo, detrás de NAT) o que usan una computadora doméstica compartida?

Le recomendaría que consulte Detección de spam de opinión: Detección de revisiones falsas y revisores

Creo que esto te ayudará a entender cómo piensan los revisores de spam. En general, trataría de calcular una puntuación para cada revisión.

Las revisiones falsas creadas por el mismo revisor de spam compartirán algunos patrones. p.ej. la hora del día en que se envió la revisión, la velocidad de escritura (la cantidad de tiempo que tomó para escribir la revisión), la geolocalización, el estilo del idioma y el error del idioma, etc.