Как защититься от пользователей с несколькими учетными записями?

У нас есть сервис, где мы буквально раздаем бесплатные деньги.

Естественно, что служба созрела для злоупотреблений. Чтобы защититься от этого, мы делаем следующее:

  • лог ip адрес

  • использовать уникальные адреса электронной почты (только 1 acct / email addy)

  • собирать больше информации, как ул. адрес, номер телефона и т. д.

  • использовать регистрационный код

  • BHOs (я видел, как покер-румы их используют)

Теперь давайте перейдем к реальному - НИЧЕГО из этого не остановит определенный пользователь.

Очевидно, что IP-адреса могут быть изменены через прокси-сервер (который может быть внесен в черный список через akismet), но в любом случае меняются, если у пользователя динамический IP-адрес или если за NAT-сетью находится более одного пользователя (можем ли мы сказать, что почти все?)

Я могу подписаться на тысячи уникальных адресов электронной почты каждый час - это не защита.

Я могу вставить поддельную информацию, взятую из списков для улиц и телефонных номеров.

Я могу купить капчу в сервисе решения капчи (1k за 5 долларов).

Bhos кажутся эффективными только для загружаемого программного обеспечения - это веб-сайт

Каковы другие способы предотвращения злоупотребления сервисом несколькими пользователями? Как все люди из PPC контролируют мошенничество с кликами?

Я знаю, что мы могли бы действительно позвонить этому человеку, но я не думаю, что мы пытаемся сделать это в ближайшее время.

Спасибо,

Источник

8 ответов

Довольно сложно создать много поддельных телефонных номеров, которые могут отправлять и получать SMS-сообщения. СМС-проверка может иметь большое значение для сокращения мошенничества. Конечно, это также ограничивает вас в раздаче бесплатных денег владельцам мобильных телефонов.

Источник

Re: регистрация для новых учетных записей электронной почты...

Пользователю даже не нужно этого делать. Пожалуйста, не стесняйтесь отправлять вашу почту на brian_s@mailinator.com, или feydr.asks.a.question@spamherelots.com, или stackru@safetymail.info, или my_arbitrary_username@zippymail.info. Я не зарегистрировал ни одного из этих адресов электронной почты, но все они будут работать.

Эти домены принадлежат ManyBrain, и они (и, возможно, другие) также настраивают домен на прием любого пользователя электронной почты. Затем ManyBrain делает общедоступными входящие почтовые ящики для этих электронных писем без какой-либо регистрации (удаление всего текста из электронного письма и удаление старой почты). Проверьте это: адрес электронной почты admin@mailinator.com!

Другие упоминали способы попытаться сохранить уникальность пользовательских идентификаторов. Это еще одна причина не доверять адресам электронной почты.

Источник

Я думаю, что единственный способ - привязать учетные записи ваших пользователей к информации "реального мира", например, к номеру его / ее паспорта. Конечно, вам нужно убедиться, что информация надежно хранится, и найти способ ее проверки.

Источник

Во-первых, я полагаю (надеюсь), что вы буквально не отдаете бесплатные деньги, а скорее отдаете их для использования своего сервиса или чего-то в этом роде.

Это важно, поскольку есть большая разница между пользователями, пытающимися просто получить от вас бесплатные деньги, которые они могут потратить на покупку дорогих автомобилей, по сравнению только с расходами на ваши услуги, которые были бы гораздо более ограниченными.

Очевидно, что гораздо больше пользователей будут пытаться обмануть систему в первом случае, чем во втором.

Почему это важно? Потому что все зависит от баланса между вашим контролем и раздражением пользователя. Я вижу много ответов, сосредоточенных на контрольной части, так что давайте пройдем через раздражение, не так ли?

  • Записать IP-адрес. Что если я следующий парень за компьютером в интернет-магазине, а парень до меня уже использовал этот IP? Другой парень покинул вашу горячую страницу, которую я сейчас вижу, но я облажался, потому что IP заблокирован. Да, я могу перейти на другой компьютер, но это раздражает, и у меня могут быть другие дела.

  • Сбор физических адресов. Для чего??? Вы собираетесь навестить меня? Или начать рассылать мне спам-письма? Позвольте мне угадать, чаще всего вы получаете адреса с опечатками в лучшем случае и поддельные в худшем случае. На самом деле, для меня гораздо меньше проблем с тем, чтобы дать вам поддельный адрес и не иметь дело с любыми возможными спам-письмами, которые мне придется перерабатывать экологически безопасным способом.:)

  • Сбор телефонных номеров. Опять же, почему я должен доверять вашему сайту? Это настоящая история. Я дал свой номер телефона, чтобы скрыть сайт, а потом я начал получать случайные сообщения, полные бессмыслицы, такие как "удар на лету". Это я просто удалил. Только позже и случайно обнаружил, что мне фактически потребовалось 2 евро за получение каждого из этих сообщений!!! Хочу ли я получить эти неприятности? Очевидно нет! Так что нет, приятель, извините, что разочаровал, но я не дам вашему сайту мой номер телефона, если ваша компания не называется Facebook или Google.:)

  • Используйте регистрацию капчи. Я люблю это:). Так чего же мы пытаемся достичь здесь? Будут ли у пользователя, который намерен злоупотреблять вашим сервисом, проблемы с вводом нескольких кодов? Я сомневаюсь. Но как насчет "хорошего пользователя"? Знаете ли вы, как раздражающие капчи для многих пользователей??? А как насчет пользователей с нарушениями зрения? Но даже без этого большинство капч настолько плохи, что заставляют вас чувствовать, что у вас нарушение зрения! Лучший совет, который я могу дать - если вам небезразличен пользовательский опыт, избегайте капч как чумы! Если у вас есть какие-либо сомнения, сначала проведите онлайн-исследование!

Смотрите здесь больше дискуссий о контроле против раздражения и здесь еще несколько мыслей о том, чтобы быть удобным для пользователя.

Источник

Недавно у нас была аналогичная проблема на нашем веб-сайте, решить эту проблему действительно сложно, если вы предоставляете бизнес в течение одного времени или ежемесячно повторяющихся бесплатных кредитов.

Некоторое время мы используем решение для обнаружения мошенничества https://fraudradar.io , которое очень помогло нам избавиться от большинства спам-активностей. Это довольно настраиваемый с:

  1. проверки IP
  2. Действительность домена электронной почты
  3. Правила регулярных выражений
  4. Параметры белого списка для каждого IP-адреса, домена электронной почты и т. д.
  5. Простой API для связи через

Я бы посоветовал это проверить.

Источник

Иногда единственный способ предотвратить злоупотребление людьми системой - это вообще не иметь систему.

Если вы делаете то, что, как вы говорите, вы делаете, "раздавая деньги людям", то вас удивит сюрприз: у многих людей будет больше времени, чтобы попытаться найти способы игры в системе, чем вам придется исправлять. Это.

Источник

Вы должны связать их информацию с чем-то "реальным", как говорит Рубенс. Конечно, вы также должны иметь возможность проверить эту информацию (я могу просто набирать номера паспортов весь день, если вы не проверите, чтобы убедиться, что они верны).

Как вы доставляете деньги? Возможно, вы можете индексировать это по счету PayPal, почтовому адресу или тому, на что отправляете деньги?

Источник

Я думаю, что никогда не будет возможности иметь систему идентификации, которая идентифицирует поддельные идентификационные данные, которые:

  • дешевый в эксплуатации (я думаю, это называется "эксплуатационные расходы"?)
  • дешевый в реализации (в идеале, одноразовая стоимость - как вы это называете?)
  • не имеет ошибок Type-I/Type-II
  • является масштабируемым

Но я думаю, что вы могли бы помешать пользователям иметь слишком много (скажем, довольно случайное число: более 50) учетных записей.

Вы можете комбинировать следующие подходы:

  • IP-адрес: можно обойти с помощью VPN
  • CAPTCHA: можно обойти с помощью человеческих ферм (см., Например, эту статью- хотя они утверждают, что их тест не может быть так легко передан другим людям, я сомневаюсь, что это правда)
  • Идентификация на основе способностей: может быть подделана, когда вы знаете, что хранится и как именно идентификация работает путем случайного (но с заданным распределением) действия (пример: http://www.brainauth.com/)
  • Взаимодействие в реальном мире: хотя это может быть лучшим, но я думаю, что это дорого, и не многие пользователи примут это. Кроме того, для некоторых пользователей / стран это может быть невозможно. (пример: Postident в Германии, где Почта хочет видеть ваше удостоверение личности. Я полагаю, что правительство может столкнуться с этим только в массовых масштабах.)
  • Другие сайты / ресурсы: это в основном преобразует проблему для других сайтов. Вы можете пользоваться услугами, где не разрешено / необычно / дорого иметь гораздо более одного аккаунта
    • Эл. адрес
    • Номер телефона: например, с помощью SMS, см. Многофакторная аутентификация
    • Банковский счет: PayPal; переведите не так много денег или попросите их перечислить вам случайную (небольшую) сумму (которую вы отправите обратно).
  • Социальная основа
    • Когда вы берете социальный граф (вершины - это люди, ребра - это связи), вы ожидаете некоторого распределения. Вы знаете, что вы один человек, и вы знаете некоторых других людей. Итак, у вас есть "сеть доверия" (в кавычках, потому что я думаю, что это может быть использовано и в другом контексте). Теперь вы можете не доверять людям / сетям, которые интенсивно взаимодействуют с вашим сервисом, но либо изолированы (без соединения), либо связывают большую группу с другой большой группой ("точки артикуляции"). Вы также можете не доверять быстро растущим, сильно взаимодействующим новым изолированным графам.
    • Когда пользователь предоставляет контент, который нравится многим другим пользователям (которым вы доверяете), это может быть показателем того, что его создает настоящий человек.
Источник
Другие вопросы по тегам