Biblioteca o servicio para transacciones de tarjeta de crédito con límite de velocidad por IP [cerrado]

Navega tus respuestas
0

Tengo un formulario de pedido de producto simple.

Un pirata informático está intentando validar los números de tarjetas de crédito robadas haciendo dos pedidos por minuto con un bot.

El 99% de los pedidos se rechazan, pero algunos se completan. Lo que le dice al hacker que la tarjeta de crédito es una tarjeta válida y activa.

Desafortunadamente, no es una opción usar un CAPTCHA o similar para evitar estos ataques.

Aquí está mi estrategia para limitar el ataque:

  • Establezca un límite de tasa de un pedido por IP por cinco minutos. No permita múltiples envíos al mismo formulario desde la misma IP en un plazo de cinco minutos.
  • Registre cada dirección IP que envíe al formulario de pedido.
  • Obtenga los datos de pedidos recientes de la API del carrito de compras.
  • Correlacione las IP de pedido reciente con la IP de cada pedido nuevo.
  • Si se excede el límite de tasa para una IP coincidente, descarte la orden presentaciones.
  • Si se supera el límite de velocidad para una IP coincidente, bloquee el pedido comunicaciones IP.

¿Existe un patrón que ya exista para este tipo de límite de tasa de transacción de tarjeta de crédito?

Las recomendaciones para las bibliotecas existentes que usan este patrón también me ayudarían a investigar cómo otras personas han resuelto este problema.

¡Gracias!

    
pregunta dbasch 11.03.2015 - 21:27
fuente

2 respuestas

3

Yo diría: pregunte a su adquirente. Si transfiere su propia biblioteca o utiliza un servicio de terceros, es posible que la limitación de la tarifa no cuente para usted en el "puntaje de lucha contra el fraude", y usted seguirá siendo responsable si la orden lo hace.

Si selecciona dichos servicios por su adquirente, entonces el adquirente sabe que está luchando activamente contra el fraude, y el adquirente podría tragar cualquier fraude que se origine en su caso, e incluso podría obtener tarifas más bajas.

Yo diría que una gran cosa que hacer es bloquear, por lo que el país emisor de la tarjeta de crédito debe coincidir con el país IP del visitante. Entonces has cerrado la puerta por una gran cantidad de fraude. Si su servicio solo se puede usar en unos pocos países, también puede bloquearlo, de modo que solo se permiten esos países (tanto en lo que respecta a la propiedad intelectual como al país de emisión de tarjetas).

Otra cosa que puedes hacer es usar Verified by visa / 3DSecure. VBV / 3DS se activará incluso si la fecha de caducidad o CVV no es válida, por lo que el cliente no sabrá si la tarjeta es válida a menos que el cliente se autentique Verificado por Visa / 3DSecure correctamente.

Puede usar VBV / 3DS en 2 modos: O lo usa en el modo "normal", donde las tarjetas sin VBV / 3DS pasarán sin problemas. Pero también puede pedirle a su adquirente que configure su servicio para REQUERIR VBV / 3DS, por ejemplo, si el emisor de la tarjeta no es compatible con VBV / 3DS, se rechaza la transacción. No todos los adquirentes pueden tener este servicio disponible.

    
respondido por el sebastian nielsen 11.03.2015 - 22:20
fuente
1

No especificaste con qué está construido tu sitio. Si por casualidad estás usando Ruby, hay una excelente biblioteca de rack-attack de Kickstarter.

    
respondido por el John Downey 11.03.2015 - 21:48
fuente

Lea otras preguntas en las etiquetas

¿Cuál es una buena manera de autenticar a un usuario en sitios web y aplicaciones con un teléfono inteligente? Verificación de cuenta de inicio de sesión [cerrado]