Sollte ich eine Kreditkarte aufgrund der IP-Adresse ablehnen?

12

Wir haben ein Problem mit einem Benutzer, der unsere Website besucht, um zu versuchen, Hunderte von Kreditkartennummern zu validieren. Er wird jeweils über 400 Transaktionen im Wert von 1,00 USD abwickeln, gültige Kartennummern finden und dann kündigen. Dies geschieht mit größerer Häufigkeit.

Er verwendet jedes Mal denselben Namen und dieselbe Adresse und seine IP-Adresse ist dieselbe. Wir unternehmen mehrere Schritte, um das Problem zu beheben.

Ich möchte unter anderem verhindern, dass er die Transaktion sendet, wenn ich seine IP-Adresse sehe. Ist das ungefährlich? Könnte ich dadurch möglicherweise legitime Verkäufe verlieren?

Übrigens nutzen wir den Payflow pro-Service von PayPal, um Kreditkarten zu verarbeiten.

paypal fraud-detection Tod Birdsall
quelle
Ich bezweifle, dass das Blockieren der IP-Adresse sie langfristig stoppen würde, wenn es sich um einen böswilligen Benutzer handelt. Sie sagten, dass er jedes Mal dieselbe Adresse verwendet, meinen Sie die Rechnungsadresse, die mit der Karte bestätigt wird, oder nur die Adresse, die auf Ihrer Website registriert ist?
JMC
@JMC: Er verwendet für jede Transaktion dieselbe Rechnungsadresse und dieselbe IP-Adresse.
Tod Birdsall
1
Ich kann die Adresse gerade nicht bekommen. Das FBI hat jedoch eine Möglichkeit, diese Art von Internetbetrug zu melden. Eine schnelle Suche kann es für Sie finden (Internet-Filter bei der Arbeit lässt mich nicht).
Chris

Antworten:

13

Wenn es sich immer um dieselbe IP-Adresse handelt, ist das Blockieren eine gute Idee. Wenn es sich um eine Region handelt, in der Sie keine Geschäfte tätigen, ist es möglicherweise auch keine schlechte Idee, den IP-Bereich zu blockieren.

Ein alternativer Ansatz besteht darin, zu identifizieren, wann sich dieser Benutzer auf Ihrer Website befindet, und ihm schlechte Informationen zu geben. Sagen Sie ihnen nach dem Zufallsprinzip, wann Kreditkarten gut oder schlecht sind, ohne sie tatsächlich zu überprüfen. Darüber hinaus können Sie jede Anfrage sehr langsam gestalten, was immer mehr Zeit in Anspruch nimmt und sie für seine Zwecke ineffizient macht. Schließlich werden sie denken, dass Sie ihre Zeit nicht wert sind und woanders hingehen.

John Conde
quelle
2
Randomly tell them when credit cards are good or bad without actually attempting to validate them.. Das ist einfach sooo witzig.
PeeHaa
Vielen Dank für die Anregungen. Wenn ich die IP-Suche korrekt durchführe, scheint sie aus Nevada, USA, zu stammen. Ich möchte diese Region nicht blockieren. Mir gefällt die Idee, die Transaktionen zu verlängern und zufällige Antworten zu geben.
Tod Birdsall
6
Ich würde sagen, dass dies kontraproduktiv und amüsant ist, da es sich um ein Durcheinander mit dem Verstand eines Betrügers handelt. Es wird wahrscheinlich mehr Zeit in Anspruch nehmen als seine (vorausgesetzt, "er" ist sogar ein Mensch und keine Software). Außerdem riskieren Sie, legitime Kunden aus diesem Bereich zu nerven. Ich würde sagen, senden Sie den Benutzer mit dieser IP an eine Seite, auf der angegeben wird, dass eine unregelmäßige Aktivität festgestellt wurde, dass diese gemeldet wurde, und Sie entschuldigen sich für etwaige Unannehmlichkeiten. Geben Sie dann eine Telefonnummer an, unter der Sie legitime Benutzer anrufen können, die in der Zwischenzeit einkaufen möchten.
Codecraft
1
@ Tod1d Genau genommen ist die Verzögerung die beste, wenn es um die Reaktion Ihrer Website geht. Multiplizieren Sie die Wartezeit für diese IP-Adresse bei jedem Fehlschlagen einer Validierung mit etwa 1,3 Sekunden. Teilen Sie jeden Tag oder jede Woche durch den gleichen Betrag (damit echte Benutzer keine Verzögerungen aufgrund von Tippfehlern erleiden). Wenn die Grundwartezeit beim ersten Ausfall 1 Sekunde beträgt, haben Sie nach 19 Ausfällen eine Wartezeit von bis zu 3 Minuten und sie wächst einfach weiter exponentiell ...
Izkata,
2
IP-basierte Lösungen sind hier keine gute Idee. Tod1d muss die Grundprobleme beheben, die ihn zum Ziel für die Überprüfung betrügerischer Karten machen, anstatt den Code in seinen Zahlungsantrag aufzunehmen.
JMC
6

Sie können dies Paypal melden, sie ihre Arbeit erledigen lassen und diese Transaktionen untersuchen und entsprechende Schritte im Vorfeld unternehmen, um sicherzustellen, dass die Transaktionen auf Ebene der Zahlungsanbieter abgelehnt werden.

Dies behebt das Problem nicht nur für Sie, sondern für alle Sites, die denselben Zahlungsdienst verwenden. Wenn dies ernst genug ist, wird es auch an die Kartenaussteller weitergegeben.

Anstatt nur das Problem auf Ihrer Site zu beheben, haben Sie die Möglichkeit, das Problem auf vielen Sites zu beheben. Es ist besser für alle, wenn dieses Problem so weit wie möglich vorgelagert behandelt wird.

Codecraft
quelle
1
Danke für den Vorschlag. Wir haben bereits mit PayPal Kontakt aufgenommen und sie prüfen dies. Leider nehmen sie sich anscheinend Zeit.
Tod Birdsall
3

Auf einem Ast ausgehen, ohne viel über dein Setup zu wissen.

Offenbar sind Sie ein Ziel, da Sie keine Anmeldeinformationen für die Rechnungsadresse validieren. Auf diese Weise kann er gültige Kartennummern überprüfen, ohne viele zusätzliche Informationen über die Karte zu benötigen, z. B. die Postleitzahl für die Rechnungsstellung. Es ist auch möglich, dass Ihre Fehlermeldungen zu ausführlich sind und dem Typen mehr Informationen über den Rückgang geben, als er woanders finden kann. Die meisten E-Commerce-Geschäfte geben generische Ablehnungsnachrichten zurück, um zu vermeiden, dass diese Art von Missbrauch zum Ziel wird.

Ich bin davon überzeugt, dass eine solche Gewöhnung Ihnen langfristig schaden kann, da Sie ein riskanter Kunde sind. Lesen Sie Ihre Vereinbarung mit ihnen über zusätzliche Prozentpunkte aufgrund von Betrug und Risiko. Wenn ich mich richtig erinnere, heißt es, dass sie zu jeder Transaktion bis zu 5% Punkte hinzufügen können, wenn Sie in eine Kategorie mit hohem Risiko fallen.

JMC
quelle
Du hast Recht. Wir haben keine Adressvalidierung verwendet. Wir sind dabei, dem abzuhelfen.
Tod Birdsall