¿Debo rechazar una tarjeta de crédito basada en la dirección IP

Tenemos un problema con un usuario que visita nuestro sitio para intentar validar cientos de números de tarjetas de crédito. Ejecutará alrededor de más de 400 transacciones de $ 1.00 a la vez, encontrará algunos números de tarjeta válidos y luego saldrá. Esto está sucediendo con más frecuencia.

Utiliza el mismo nombre y dirección cada vez y su dirección IP es la misma. Estamos tomando varios pasos para abordar el problema.

Uno de los pasos que me gustaría tomar es evitar que envíe la transacción si veo su dirección IP. ¿Es seguro hacer esto? ¿Podría estar perdiendo ventas legítimas al hacer esto?

Por cierto, utilizamos el servicio Payflow pro de PayPal para procesar tarjetas de crédito.

paypal fraud-detection Tod Birdsall
fuente

Dudo que el bloqueo de la dirección IP la detenga a la larga si se trata de un usuario malintencionado. Dijiste que usa la misma dirección cada vez, ¿te refieres a la dirección de facturación que se valida con la tarjeta o solo a la dirección registrada en tu sitio?

JMC

@ JMC: utiliza la misma dirección de facturación y la misma dirección IP para cada transacción.

Tod Birdsall

No puedo obtener la dirección en este momento. Pero el FBI tiene una manera de denunciar este tipo de fraude en Internet. Una búsqueda rápida puede encontrarlo por usted (el filtro de internet en el trabajo no me lo permite).

Chris

Respuestas:

Si siempre proviene de la misma dirección IP, bloquearlo es una buena idea. Si es una región en la que no hace negocios, entonces bloquear el rango de IP puede no ser una mala idea tampoco.

Un enfoque alternativo es identificar cuándo ese usuario está en su sitio y darles mala información. Indíqueles al azar cuándo las tarjetas de crédito son buenas o malas sin intentar validarlas. Además, puede hacer que cada solicitud sea muy lenta, requiriendo más y más tiempo para hacerlo, lo que lo hace ineficiente para sus propósitos. Eventualmente considerarán que no vales la pena y se irán a otro lado.

John Conde
fuente

Randomly tell them when credit cards are good or bad without actually attempting to validate them.. Eso es muy divertido.

PeeHaa

Gracias por las sugerencias. Si estoy haciendo la búsqueda de IP correctamente, parece ser de Nevada, EE. UU. No quiero bloquear esa región. Realmente me gusta la idea de hacer que las transacciones tarden más y proporcionar respuestas aleatorias.

Tod Birdsall

Diría que es contraproducente, divertido como sería meterse con una mente de estafadores, probablemente terminará tomando más tiempo de lo que lo haría con él (asumiendo que "él" es incluso humano y no software). Además, corre el riesgo de molestar a los clientes legítimos de esa área. Yo diría que envíe al usuario con esa IP a una página diciendo que se ha detectado actividad irregular, que se ha informado, y le pedimos disculpas por cualquier inconveniente. Luego, proporcione un número de teléfono para llamar a los usuarios legítimos que desean comprar mientras tanto.

Codecraft

@ Tod1d Hablando estrictamente sobre la respuesta de su sitio, la demora podría ser mejor. Multiplique el tiempo de espera para esa IP por 1.3 segundos más o menos cada vez que falle una validación. Divida por la misma cantidad cada día o semana (para que los usuarios reales no acumulen demoras debido a errores tipográficos). Si el tiempo de espera base en la primera falla es de 1 segundo, tienes un tiempo de espera de hasta 3 minutos después de 19 fallas, y sigue creciendo exponencialmente ...

Izkata

Las soluciones basadas en IP no son una buena idea aquí. Tod1d necesita solucionar los problemas raíz que lo convierten en un objetivo para verificar tarjetas fraudulentas en lugar de codificar el código de ductos en su aplicación de pago.

JMC

Puede informarlo a Paypal, dejar que hagan su trabajo e investigar estas transacciones y tomar las medidas apropiadas para asegurarse de que las transacciones se rechacen a nivel de proveedor de pagos.

Esto no solo lo soluciona para usted, sino que todos los sitios usan el mismo servicio de pago y, si es lo suficientemente serio, también lo transmitirán más adelante a los emisores de la tarjeta.

En lugar de simplemente solucionar el problema en su sitio, tiene la oportunidad de ayudar a solucionar el problema en muchos sitios. Es mejor para todos si este problema se maneja lo más arriba posible.

Codecraft
fuente

Gracias por la sugerencia. Ya nos hemos puesto en contacto con PayPal y lo están investigando. Desafortunadamente, aparentemente se están tomando su tiempo.

Tod Birdsall

Salir en apuros sin saber mucho acerca de su configuración.

Parece que eres un objetivo porque no estás validando ninguna de las credenciales de la dirección de facturación. Eso le permite verificar números de tarjeta válidos sin tener que conocer mucha información adicional sobre la tarjeta, como el código postal de facturación. También es posible que sus mensajes de error sean demasiado detallados y le estén dando al tipo más información sobre el declive de la que puede encontrar en otro lugar. La mayoría de las tiendas de comercio electrónico devuelven mensajes genéricos de rechazo para evitar convertirse en un objetivo para este tipo de mal uso.

Como nota al margen, creo que acostumbrarse de esta manera puede perjudicarlo a largo plazo con PayPal, lo que hará que agreguen tarifas más altas porque es un cliente arriesgado. Lea su acuerdo con ellos sobre% puntos adicionales debido a fraude y riesgo. Si no recuerdo mal, dice algo así como que pueden agregar hasta un 5% de puntos a cada transacción si caes en una categoría de alto riesgo.

JMC
fuente

Estás en lo correcto. No estábamos usando la validación de dirección. Estamos en el proceso de remediar eso.

Tod Birdsall