Dois-je refuser une carte de crédit basée sur l'adresse IP

Nous rencontrons un problème avec un utilisateur qui vient sur notre site pour tenter de valider des centaines de numéros de carte de crédit. Il exécutera environ 400+ transactions de 1,00 $ à la fois, trouvera des numéros de carte valides, puis quittera. Cela se produit avec plus de fréquence.

Il utilise le même nom et la même adresse à chaque fois et son adresse IP est la même. Nous prenons plusieurs mesures pour résoudre le problème.

L'une des étapes que je voudrais prendre est de l'empêcher de soumettre la transaction si je vois son adresse IP. Est-il sécuritaire de faire cela? Pourrais-je potentiellement perdre des ventes légitimes en faisant cela?

BTW, nous utilisons le service Payflow pro de PayPal pour traiter les cartes de crédit.

paypal fraud-detection

— Tod Birdsall
source

Je doute que le blocage de l'adresse IP l'arrête à long terme s'il s'agit d'un utilisateur malveillant. Vous avez dit qu'il utilisait la même adresse à chaque fois, voulez-vous dire une adresse de facturation qui est validée avec la carte ou simplement l'adresse enregistrée sur votre site?

— JMC

@JMC: Il utilise la même adresse de facturation et la même adresse IP pour chaque transaction.

— Tod Birdsall du

Je ne peux pas obtenir l'adresse pour le moment. Mais le FBI a un moyen de signaler ce type de fraude sur Internet. Une recherche rapide peut le trouver pour vous (le filtre Internet au travail ne me le permet pas).

— Chris

Réponses:

S'il s'agit toujours de la même adresse IP, le bloquer est une bonne idée. S'il s'agit d'une région dans laquelle vous ne faites pas d'affaires, bloquer la plage IP n'est peut-être pas une mauvaise idée non plus.

Une autre approche consiste à identifier le moment où cet utilisateur se trouve sur votre site et à lui donner de mauvaises informations. Dites-leur au hasard quand les cartes de crédit sont bonnes ou mauvaises sans vraiment tenter de les valider. De plus, vous pouvez rendre chaque demande très lente, nécessitant de plus en plus de temps pour le faire, ce qui la rend inefficace pour ses besoins. Finalement, ils considéreront que vous ne valez pas leur temps et irez ailleurs.

— John Conde
source

Randomly tell them when credit cards are good or bad without actually attempting to validate them.. C'est tellement drôle.

— PeeHaa

Merci pour les suggestions. Si je fais correctement la recherche IP, cela semble provenir du Nevada, aux États-Unis. Je ne veux pas bloquer cette région. J'aime vraiment l'idée de rendre les transactions plus longues et de fournir des réponses aléatoires.

— Tod Birdsall du

Je dirais que c'est contre-productif, amusant car ce serait gâcher l'esprit d'un fraudeur, cela finira probablement par prendre plus de votre temps que le sien (en supposant que "il" est même humain et non logiciel). De plus, vous risquez d'agacer les clients légitimes de cette zone. Je dirais envoyer l'utilisateur avec cette adresse IP à une page disant qu'il y a eu une activité irrégulière détectée, que cela a été signalé, et vous vous excusez pour tout inconvénient. Fournissez ensuite un numéro de téléphone à appeler pour les utilisateurs légitimes souhaitant acheter entre-temps.

— Codecraft

@ Tod1d En parlant strictement de la réponse de votre site, le délai pourrait être le meilleur. Multipliez le temps d'attente pour cette IP par 1,3 seconde environ chaque fois qu'une validation échoue. Divisez par le même montant chaque jour ou chaque semaine (afin que les vrais utilisateurs n'accumulent pas les retards dus aux fautes de frappe). Si le temps d'attente de base au premier échec est de 1 seconde, vous avez jusqu'à 3 minutes d'attente après 19 échecs, et il ne cesse de croître de façon exponentielle ...

— Izkata

Les solutions basées sur IP ne sont pas une bonne idée ici. Tod1d doit résoudre les problèmes de fond qui font de lui une cible pour la vérification des cartes frauduleuses au lieu de canaliser le code d'enregistrement dans son application de paiement.

— JMC

Vous pouvez le signaler à Paypal, les laisser faire leur travail et enquêter sur ces transactions et prendre les mesures appropriées en amont pour vous assurer que les transactions sont refusées au niveau du fournisseur de paiement.

Cela le corrige non seulement pour vous, mais pour tous les sites utilisant le même service de paiement, et si c'est suffisamment sérieux, ils le transmettront plus loin aux émetteurs de cartes.

Plutôt que de simplement résoudre le problème sur votre site, vous avez la possibilité d'aider à résoudre le problème sur de nombreux sites. C'est mieux pour tout le monde si ce problème est traité le plus en amont possible.

— Codecraft
source

Merci pour la suggestion. Nous avons déjà contacté PayPal et ils y réfléchissent. Malheureusement, ils prennent apparemment leur temps.

— Tod Birdsall

Sortir sur une branche sans en savoir beaucoup sur votre configuration.

Il semble que vous soyez une cible car vous ne validez aucune des informations d'identification de facturation. Cela lui permet de vérifier les numéros de carte valides sans avoir à connaître beaucoup d'informations supplémentaires sur la carte telles que le code postal de facturation. Il est également possible que vos messages d'erreur soient trop verbeux et donnent au gars plus d'informations sur le déclin qu'il ne peut en trouver ailleurs. La plupart des magasins de commerce électronique renvoient des messages de refus génériques pour éviter de devenir la cible de ce type d'utilisation abusive.

En passant, je pense que s'habituer de cette façon peut vous nuire à long terme avec PayPal, ce qui les oblige à choisir des taux plus élevés parce que vous êtes un client à risque. Lisez votre accord avec eux sur les% de points supplémentaires dus à la fraude et au risque. Si je me souviens bien, cela dit quelque chose comme ils peuvent ajouter jusqu'à 5% de points à chaque transaction si vous tombez dans une catégorie à haut risque.

— JMC
source

Vous avez raison. Nous n'utilisions pas la validation d'adresse. Nous sommes en train de remédier à cela.

— Tod Birdsall