Devo recusar um cartão de crédito com base no endereço IP

Estamos com um problema com um usuário que acessa nosso site para tentar validar centenas de números de cartão de crédito. Ele executará cerca de 400 + US $ 1,00 transações por vez, encontrará alguns números de cartão válidos e sairá. Isso está acontecendo com mais frequência.

Ele usa o mesmo nome e endereço todas as vezes e seu endereço IP é o mesmo. Estamos tomando várias medidas para resolver o problema.

Uma das etapas que eu gostaria de tomar é impedi-lo de enviar a transação se eu vir o endereço IP dele. É seguro fazer isso? Eu poderia estar perdendo vendas legítimas fazendo isso?

BTW, usamos o serviço Payflow pro do PayPal para processar cartões de crédito.

paypal fraud-detection

— Tod Birdsall
fonte

Duvido que o bloqueio do endereço IP o interrompa a longo prazo se for um usuário mal-intencionado. Você disse que ele usa o mesmo endereço todas as vezes, você quer dizer o endereço de cobrança validado com o cartão ou apenas o endereço registrado no seu site?

— JMC

@JMC: Ele está usando o mesmo endereço de cobrança e o mesmo endereço IP para cada transação.

— quer

Não consigo obter o endereço agora. Mas o FBI tem uma maneira de denunciar esse tipo de fraude na Internet. Uma pesquisa rápida pode encontrar para você (o filtro da Internet no trabalho não me permite).

— 22411 Chris

Respostas:

Se for sempre do mesmo endereço IP, bloqueá-lo é uma boa ideia. Se for uma região na qual você não faz negócios, bloquear o intervalo de IP também pode não ser uma má idéia.

Uma abordagem alternativa é identificar quando esse usuário está no seu site e fornecer informações incorretas. Informe-os aleatoriamente quando os cartões de crédito são bons ou ruins sem tentar validá-los. Além disso, você pode tornar cada solicitação muito lenta, exigindo cada vez mais tempo para fazer isso, tornando-a ineficiente para seus propósitos. Eventualmente, eles consideram que você não vale o tempo deles e vão para outro lugar.

— John Conde
fonte

Randomly tell them when credit cards are good or bad without actually attempting to validate them.. Isso é tão engraçado.

— PeeHaa

Obrigado pelas sugestões. Se eu estiver pesquisando corretamente o IP, parece ser de Nevada, EUA. Eu não quero bloquear essa região. Eu realmente gosto da ideia de fazer as transações demorarem mais e fornecer respostas aleatórias.

— Tod Birdsall

Eu diria que é contraproducente, divertido como seria mexer com a mente de fraudadores, provavelmente acabará gastando mais do seu tempo do que o dele (assumindo que "ele" é mesmo humano e não software). Além disso, você corre o risco de irritar clientes legítimos dessa área. Eu diria que envie o usuário com esse IP para uma página dizendo que houve atividade irregular detectada, que foi relatada, e você pede desculpas por qualquer inconveniente. Em seguida, forneça um número de telefone para ligar para usuários legítimos que desejam comprar enquanto isso.

— Codecraft

@ Tod1d Falando estritamente sobre a resposta do seu site, o atraso pode ser melhor. Multiplique o tempo de espera para esse IP por 1,3 segundos ou mais, sempre que uma validação falhar. Divida pela mesma quantia todos os dias ou semanas (para que usuários reais não acumulem atrasos devido a erros de digitação). Se o tempo de espera de base na primeira falha é de 1 segundo, você está fazendo um tempo de espera 3 minuto após 19 falhas, e ele simplesmente continua crescendo exponencialmente ...

— Izkata

As soluções baseadas em IP não são uma boa ideia aqui. Tod1d precisa corrigir os problemas de raiz que o tornam alvo de verificação de cartões fraudulentos, em vez de inserir o código no aplicativo de pagamento.

— JMC

Você pode denunciá-lo ao Paypal, permitir que eles façam seu trabalho e investigar essas transações e tomar as medidas apropriadas a montante para garantir que as transações sejam recusadas no nível do provedor de pagamento.

Isso não apenas corrige isso para você, mas todos os sites que usam o mesmo serviço de pagamento e, se for sério o suficiente, eles também o repassarão para os emissores de cartões.

Em vez de apenas corrigir o problema no seu site, você tem a oportunidade de ajudar a corrigir o problema em muitos sites. É melhor para todos se esse problema for tratado o mais upstream possível.

— Codecraft
fonte

Obrigado pela sugestão. Já entramos em contato com o PayPal e eles estão analisando. Infelizmente, eles aparentemente estão demorando um pouco.

— quer

Sair em um galho sem saber muito sobre a sua configuração.

Parece que você é um alvo, porque não está validando nenhuma credencial do endereço de cobrança. Isso permite que ele verifique números de cartão válidos sem precisar saber muitas informações adicionais sobre o cartão, como código postal de cobrança. Também é possível que suas mensagens de erro sejam muito detalhadas e ofereçam ao sujeito mais informações sobre o declínio do que ele pode encontrar em outro lugar. A maioria das lojas de comércio eletrônico retorna mensagens genéricas de recusa para evitar se tornar um alvo para esse tipo de uso indevido.

Como uma observação lateral, acredito que se acostumar com isso pode prejudicá-lo a longo prazo com o PayPal, fazendo com que eles paguem taxas mais altas porque você é um cliente arriscado. Leia seu contrato com eles sobre% de pontos adicionais devido a fraudes e riscos. Se bem me lembro, diz algo como eles podem adicionar até 5% de pontos a cada transação se você se enquadra em uma categoria de alto risco.

— JMC
fonte

Você está certo. Não estávamos usando a validação de endereço. Estamos no processo de remediar isso.

— quer