Cómo prevenir el fraude electoral en línea

7

Como parte de una campaña promocional, mi empresa desea lanzar un sitio donde los usuarios (y los usuarios potenciales) de nuestro producto deberán registrarse y votar por ciertas opciones. Dependiendo de cuán exitoso sea, esto podría convertirse en una característica regular. Como los premios propuestos no serán insustanciales, naturalmente nos preocupa el fraude electoral. ¿Cómo podemos detectar el uso de proxies, Tor y varios otros métodos que pueden ser utilizados por usuarios sin escrúpulos que buscan jugar con el sistema? Por ejemplo, ¿cómo funciona enlace ? ¿Hay algún script listo para usar que podamos usar, no solo para Tor sino en general?

Veo que Stack Exchange ha realizado competiciones en el pasado basadas en la votación en línea, por lo que tengo la esperanza de obtener algunas buenas respuestas aquí.

Gracias,

Samuel

    
pregunta Samuel 13.02.2013 - 17:28
fuente

5 respuestas

7

Los sistemas de votación son "jugados" por personas que votan más veces de lo que normalmente debería permitirse (por ejemplo, votar varias veces). La única forma de evitar esto es tener una forma de identificar a los votantes y evitar votos múltiples.

Los métodos

Confiables implican la autenticación de usuarios, por ejemplo, con las contraseñas, pero esto tiene dos inconvenientes, a saber: 1. a los usuarios no les gusta, y 2. esto realmente no resuelve el problema, pero lo mueve a una "fase de registro" anterior.

Los métodos

no confiables tienen que ver con la detección heurística de fraudes mediante el seguimiento de las direcciones IP (pero esto falla con la dirección IP dinámica - un usuario puede cambiar su IP, y esto sucede más o menos automáticamente con muchos ISP - y también con NAT (varios usuarios distintos que comparten la misma IP) o con otros métodos. El simple hecho de enviar una cookie "ha votado" en el navegador del usuario disuadirá a los defraudadores básicos y de baja tecnología; hay métodos más completos , pero todos estos pueden ser evitados por un atacante con conocimientos tecnológicos. Tor es una herramienta que trata el anonimato, un tema estrechamente relacionado, y muestra que estás tratando de pelear una batalla perdida.

StatckExchange se enfrenta al mismo problema, al que llama sock puppets . Finalmente tomaron una actitud relajada, con scripts (no publicados) para detectar los intentos de juego más descarados, y en su mayoría ignorando el resto.

    
respondido por el Thomas Pornin 13.02.2013 - 17:49
fuente
4

La restricción de un voto por IP puede limitar seriamente la participación de B2B. La mayoría de las empresas están detrás de proxies o NAT, que presenta a toda la organización como una pequeña gama de IP.

Dado que hay dinero real y premios reales involucrados, vincular una cuenta con una identidad alternativa difícil de producir en masa puede realmente limitar el abuso. Los ejemplos pueden incluir su dirección de correo electrónico del trabajo o el número de teléfono de su empresa.

Cuando se extrae su nombre del concurso, es fácil descalificar [email protected], o buscar en los dominios registrados para detectar a alguien que ha reutilizado su dirección corporativa, por ejemplo, [email protected], joe + 124 @ example.com ... Además, una cláusula "Los ganadores del concurso serán notificados por teléfono", significa que rellenar la boleta no va a ganar ningún premio.

Los captchas en el formulario de registro mantendrían los registros automatizados de crapflooding su base de datos, pero su protección real contra los registros falsos es buscar direcciones de correo electrónico razonables (validar la dirección y prohibir cosas como mailinator) combinadas con el desincentivo de registros falsos que no ganan premios.

Por último ... aunque hay ataques teóricos en este tipo de sistema, en la práctica, a alguien le tendrá que disgustar mucho para que seas tan persistente.

    
respondido por el mgjk 13.02.2013 - 18:36
fuente
2

Puede pedir a los votantes que tengan una cuenta de Facebook (o Twitter) antigua que se creó antes del inicio de la votación, esto es algo que hará imposible que alguien se registre solo para votar, y la posibilidad de que alguien tenga un montón de las cuentas en esos sitios de redes sociales son muy pequeñas, y probablemente pueden manejarse por otros métodos, como monitorear direcciones IP o cookies y verificar proxies

Hay una gran variedad de scripts php para verificar si hay usuarios que utilizan proxies, pero es posible que desee buscarlos en Google o preguntar en stackoverflow.

    
respondido por el sharp12345 13.02.2013 - 17:56
fuente
2

¿Por qué los proxies y Tor serían una señal de que un usuario no tiene escrúpulos? Tor es una señal de que alguien está consciente de la privacidad o vive en un país que restringe el acceso a la información. Un proxy es un signo de que alguien está iniciando sesión desde una red de negocios más que un signo de que no están haciendo nada bueno.

Supongo que está intentando evitar que una sola persona cree varias cuentas utilizando identidades ficticias para sesgar los resultados. En realidad, no hay forma de evitarlo: cualquiera que tenga suficiente tiempo e inclinación puede hacerlo sin que usted tenga visibilidad de ello. Es uno de los grandes problemas de Internet, y si lo resuelves, ganarás miles de millones.

Hay algunas formas en las que puede hacer que sea un poco más difícil para las personas configurar varias cuentas, principalmente aumentando el esfuerzo necesario:

  1. No permita que una llamada a la API cree cuentas, haga que todos tengan que hacerlo manualmente en la página.
  2. Coloca capchas y usa otras técnicas para asegurarte de que es un humano creando una cuenta. Pida la solución a un problema matemático simple, póngalo en un gráfico en lugar de en un texto
  3. Valide todas las direcciones de correo electrónico y haga que cambien sus contraseñas cada 90 días
  4. Inspeccione los hashes de contraseñas para encontrar contraseñas idénticas, si tiene 20 cuentas que usan la misma contraseña, es muy probable que sea una persona perezosa que intenta jugar con usted. Por supuesto, no sabrá cuál es la contraseña, pero le da un punto de partida.
respondido por el GdD 13.02.2013 - 17:58
fuente
0

Creo que una buena manera de limitar el fraude de votantes en línea es exigir a los usuarios que ingresen los detalles de su tarjeta de crédito o verificar que son propietarios de una cuenta de PayPal.

De esta manera, también puede verificar que los nombres son únicos, de modo que incluso si un solo usuario tiene varias tarjetas, podrá limitarlo por el nombre del titular de la tarjeta.

La principal limitación de este método es que necesita que los usuarios confíen en usted lo suficiente como para compartir con usted la información de su tarjeta de crédito.

Requerir demasiada información o pasos de los usuarios los llevará a no votar en absoluto.

Si a usted o a los usuarios les preocupa la seguridad, puede usar un servicio de terceros de confianza para manejar la tarjeta de crédito, solo pídales que paguen el menor pago posible, que es suficiente para verificar el envío de una tarjeta de crédito de su propietario y para saber su nombre real.

No recomiendo este método, pero en mi opinión, es el más seguro en cuanto a la prevención del fraude electoral.

    
respondido por el sharp12345 16.02.2013 - 15:55
fuente

Lea otras preguntas en las etiquetas