在我的国家,我们有一个非常奇特的支付系统,它基于ATM机,我们生成一个参考,用户将在ATM机上使用它来进行支付。
最近,我遇到了一些用户或用户遇到以下问题的麻烦:
1 - 用户访问我的网站,发出包含不一致数据的订单(我的错,我不验证电子邮件)并收到ATM机付款的参考。
2 - 点(1)中的上一个用户访问在线分类广告网站,当他发现买家提供付款参考时发布一些非常便宜的东西(Iphone,40美元)在我的网站上生成的ATM机中。
3 - 买方(受害者)支付并且没有Iphone,但是这笔钱存入我的帐户。我没有发送任何数字商品,因为电子邮件无效
4 - 受害人去警方,发现该参考资料来自我的公司。我将钱还给了受害者。
这个事件已经发生了2次......现在我需要确保这不再发生,但主要的问题是我无法改变这个支付系统它太受欢迎而且货物是数字的,除非我实施一个系统,使用代码验证帐户向客户家发送邮件,我无法完全确定客户不会使用ATM机中的付款参考来简单地与分类广告上的人一起玩网站。
因此,我需要了解有关在我的网站上下订单的人的更多详细信息。现在我只有IP,但很容易使用一些随机的wifi网络或代理。您如何看待实施这些措施?
1 - 在ATM机上发送付款参考之前,我将通过发送电子邮件的链接验证电子邮件用户。
2 - 我将使用密码向他的电话号码发送短信。
电子邮件验证是我的错,我以前应该这样做。关于手机验证,你认为这会破坏类似的攻击吗?
最好的问候
答案 0 :(得分:0)
如果您无法控制此系统输出(例如,将付款说明输出到ATM,以便受害者可以看到它不是iphone),您是否提供除ATM之外的其他付款选项?
如果是这样,您是否只能向至少成功购买一次的客户提供此ATM链接,并且不包括第一个ATM的ATM?在这种情况下,欺诈对于攻击者而言将是昂贵的,并且他将通过他的第一次购买来验证。 (通过信用卡,PayPal或其他东西)
答案 1 :(得分:0)
我真的没有得到你,但看起来甚至你问的事实的根源是你没有验证电子邮件?
您应该能够尽可能地验证它,只需将它放在您的网站和生成ATM付款链接的请求之间。你将能够,即使你必须写一个重写规则并通过一些代理,如果没有,它似乎不是你的网站。
如果您想要良好的欺诈保护,请让可能的攻击者访问您或您的一些员工并让他留下一些押金,或至少进行此电话代码短信验证。