Devo rifiutare una carta di credito in base all'indirizzo IP

12

Stiamo riscontrando un problema con un utente che viene sul nostro sito per tentare di convalidare centinaia di numeri di carte di credito. Effettuerà circa 400+ transazioni da $ 1 alla volta, troverà alcuni numeri di carta validi e poi uscirà. Questo sta accadendo con più frequenza.

Usa sempre lo stesso nome e indirizzo e il suo indirizzo IP è lo stesso. Stiamo prendendo diversi provvedimenti per risolvere il problema.

Uno dei passaggi che vorrei intraprendere è impedirgli di inviare la transazione se vedo il suo indirizzo IP. È sicuro farlo? Potrei potenzialmente perdere vendite legittime facendo questo?

A proposito, utilizziamo il servizio Payflow pro di PayPal per elaborare le carte di credito.

paypal  fraud-detection 
Tod Birdsall
fonte
Dubito che bloccare l'indirizzo IP lo fermerebbe a lungo termine se si tratta di un utente malintenzionato. Hai detto che utilizza lo stesso indirizzo ogni volta, intendi l'indirizzo di fatturazione che viene convalidato con la carta o solo l'indirizzo registrato sul tuo sito?
JMC,
@JMC: utilizza lo stesso indirizzo di fatturazione e lo stesso indirizzo IP per ogni transazione.
Tod Birdsall,
1
Non riesco a ottenere l'indirizzo adesso. Ma l'FBI ha un modo per denunciare questo tipo di frode su Internet. Una rapida ricerca potrebbe trovarlo per te (il filtro Internet al lavoro non me lo permette).
Chris,

Risposte:

13

Se proviene sempre dallo stesso indirizzo IP, bloccarlo è una buona idea. Se è una regione in cui non fai affari, anche il blocco dell'intervallo IP potrebbe non essere una cattiva idea.

Un approccio alternativo consiste nell'identificare quando l'utente si trova sul tuo sito e fornire loro informazioni errate. Indica a caso quando le carte di credito sono buone o cattive senza effettivamente tentare di convalidarle. Inoltre, puoi rendere ogni richiesta molto lenta richiedendo sempre più tempo per farlo rendendola inefficiente per i suoi scopi. Alla fine ti considereranno non degno del loro tempo e andranno altrove.

John Conde
fonte
2
Randomly tell them when credit cards are good or bad without actually attempting to validate them.. È così divertente.
PeeHaa,
Grazie per i suggerimenti Se sto eseguendo correttamente la ricerca IP, sembra provenire dal Nevada, USA. Non voglio bloccare quella regione. Mi piace molto l'idea di rendere le transazioni più lunghe e di fornire risposte casuali.
Tod Birdsall,
6
Direi che è controproducente, divertente come sarebbe incasinare la mente di un truffatore, probabilmente finirà per occupare più tempo di quanto non farebbe (supponendo che "lui" sia persino umano e non software). Inoltre, si rischia fastidiosi clienti legittimi da quella zona. Direi di inviare l'utente con quell'IP a una pagina dicendo che è stata rilevata un'attività irregolare, che è stata segnalata e ti scusi per qualsiasi inconveniente. Quindi fornire un numero di telefono da chiamare per gli utenti legittimi che desiderano acquistare nel frattempo.
Codecraft,
1
@ Tod1d A rigor di termini sulla risposta dal tuo sito, il ritardo potrebbe essere il migliore. Moltiplicare il tempo di attesa per quell'IP per 1,3 secondi circa ogni volta che una convalida fallisce. Dividi per lo stesso importo ogni giorno o settimana (quindi gli utenti reali non accumulano ritardi dovuti a errori di battitura). Se il tempo di attesa di base al primo fallimento è di 1 secondo, dopo un tempo di 19
fallisci
2
Le soluzioni basate su IP non sono una buona idea qui. Tod1d deve risolvere i problemi di root che lo rendono un bersaglio per la verifica di carte fraudolente invece di canalizzare il codice di taping nella sua applicazione di pagamento.
JMC,
6

Puoi segnalarlo a Paypal, lasciare che facciano il loro lavoro e indagare su queste transazioni e prendere le misure appropriate a monte per assicurarsi che le transazioni vengano rifiutate a livello del fornitore di servizi di pagamento.

Questo non solo lo risolve per te, ma per tutti i siti che utilizzano lo stesso servizio di pagamento e, se è abbastanza serio, lo passeranno più in alto anche agli emittenti delle carte.

Invece di risolvere semplicemente il problema sul tuo sito, hai l'opportunità di aiutarti a risolvere il problema su molti siti. È meglio per tutti se questo problema viene gestito il più a monte possibile.

Codecraft
fonte
1
Grazie per il suggerimento Abbiamo già contattato PayPal e ci stanno esaminando. Sfortunatamente, a quanto pare stanno prendendo il loro tempo.
Tod Birdsall,
3

Uscire su un arto senza sapere molto sulla tua configurazione.

Sembra che tu sia un target perché non stai convalidando nessuna delle credenziali dell'indirizzo di fatturazione. Ciò gli consente di verificare i numeri di carta validi senza dover conoscere molte informazioni aggiuntive sulla carta come il codice postale di fatturazione. È anche possibile che i tuoi messaggi di errore siano troppo dettagliati e forniscano al ragazzo più informazioni sul declino di quante ne possa trovare altrove. La maggior parte dei negozi di e-commerce restituisce messaggi di rifiuto generici per evitare di diventare un obiettivo per questo tipo di uso improprio.

Come nota a margine, credo che abituarsi in questo modo possa farti del male a lungo termine con PayPal, facendoli puntare su tassi più alti perché sei un cliente rischioso. Leggi il tuo accordo con loro su ulteriori punti% dovuti a frodi e rischi. Se ricordo bene, dice che qualcosa come loro possono aggiungere fino al 5% punti per ogni transazione se cadi in una categoria ad alto rischio.

JMC
fonte
Hai ragione. Non stavamo usando la validazione dell'indirizzo. Stiamo per rimediare.
Tod Birdsall,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.