Angesichts der starken Überprüfung von Name / Adresse usw. ist es sehr wahrscheinlich, dass Ihre Site unterschiedliche Werte für verschiedene Fehlertypen zurückgibt. Das Beste, was Sie tun können, um Kartentests zu verhindern, ist sicherzustellen, dass abgelehnte Transaktionen das gleiche Ergebnis liefern, unabhängig davon, aus welchem ​​Grund der Prozessor Ihnen mitgeteilt hat, dass sie abgelehnt wurden.

Sie können einen " CAPTCHA" - Mechanismus verwenden, um Brute-Force-Angriffe zu begrenzen. Abhängig vom Produkt können Sie CAPTCHA so konfigurieren, dass ein Benutzer nach einigen fehlgeschlagenen Versuchen daran gehindert wird, eine andere Transaktion zu senden. und oder ein Zeitlimit (z. B. 15 bis 20 Sekunden) zwischen Transaktionen einführen.

Wenn möglich, können Sie auch einen Authentifizierungsmechanismus für Ihre Benutzer ausprobieren und nur bestimmten Konten erlauben, Transaktionen auszuführen.

Wenn Ihre Angreifer fortlaufende Kontonummern verwenden, ist dies ein Werbegeschenk, mit dem Sie Versuche filtern können. Wenn jemand 001, dann 002, dann 003 versucht, ist es eine ziemlich gute Vermutung, dass er kardiert, und Sie können dann Versuche von dieser IP-Adresse filtern.

Die Sache ist, dass intelligente Angreifer ihre Angriffe dann ändern, indem sie die Kartennummern, die sie versuchen, oder eher über einen Zahlenblock randomisieren. Dann müssen Sie nach anderen Zeichen suchen. Wenn Sie eine Datenbank mit IP-Adressen und Anforderungen erstellen, können Sie nach diesen Zeichen wie einer hohen Anzahl von Transaktionen mit geringem Wert suchen oder einen Algorithmus verwenden, um Blocktransaktionsversuche zu erkennen.

Oder natürlich können sich die Carder anpassen: Sie könnten mehrere Server für Versuche verwenden oder größere Transaktionen, weniger Versuche pro Stunde usw. versuchen. Sie müssen sich jedoch anpassen, um zu behalten Verwenden Sie Ihr System, und einige von ihnen sind möglicherweise nicht dazu in der Lage oder möchten sich nicht darum kümmern. Zumindest müssen sie dafür arbeiten.

Ich glaube nicht, dass diese Person (Personen) sich darum kümmert, ob sie gültige Nummern erhält oder nicht, da Sie, wie Sie sagen, auch mit Adressen validieren und dies nacheinander versuchen. Vom CC-Prozessor blockiert zu werden, könnte tatsächlich ein Ziel sein , insbesondere wenn sie Ihre Konkurrenten sind oder dies für den Lulz tun.

Ich kann einige Optionen hinzufügen Die Liste: Sie können den Namen des Eingabefelds nach dem Zufallsprinzip sortieren und den Namen des Felds in der Sitzung oder an einem sicheren Ort speichern, wenn Sie PHP verwenden:

  <input type = "text" name = "ccnum" / >  

bis:

  <input type = "text" name = "<? php echo $ ccFieldName ;? >" / >  

Sie können Ihre Benutzer auch zwingen, JavaScript zu aktivieren (ungefähr 96% der Benutzer haben JS aktiviert). Es ist wahrscheinlich, dass Ihre Benutzer ein Befehlszeilentool wie wget verwenden zu versuchen, Ihren Server zu treffen, und wenn ja, wäre nicht in der Lage, JS zu analysieren. Sobald Sie Javascript aktiviert haben, können Sie Ihr Eingabefeld für die Kreditkarte hinzufügen, sobald Ihr Dokument fertig ist, mit einem zufälligen Namen wie oben, sodass alle aktuellen Versuche zur Automatisierung von Anforderungen fehlschlagen.

Als dies einer mir bekannten Organisation passierte, forderten sie ihren Verarbeiter auf, alle Gebührenbeträge unter einen bestimmten Schwellenwert zu senken. Dadurch wurden die Transaktionen mit geringem Wert vollständig gestoppt, und die Carder ließen ihre Website schnell in Ruhe.

Wenn Sie noch nichts dagegen unternommen haben, wenden Sie sich an Ihr lokales FBI-Büro. Sie könnten an dem Fall interessiert sein. Der "Verkostungs" -Prozess des Kontos kommt möglicherweise von einem nachvollziehbaren Ort.

Eine in Betracht zu ziehende Option wäre die Einführung einer künstlichen Verzögerung bei der Kreditkartenprüfung. Legitime Benutzer sollten sich nicht um eine leichte Verzögerung des Prozesses kümmern, aber die Nützlichkeit Ihrer Website für die Kardierskripte erheblich beeinträchtigen.

Sobald Sie einen verdächtigen Strom von Anforderungen identifiziert haben (vermutlich durch eine Echtzeitmusterübereinstimmung bei kürzlich fehlgeschlagenen Transaktionen). Verweigern Sie zunächst automatisch alle nachfolgenden Anforderungen, die für einen bestimmten Zeitraum (mindestens Stunden) übereinstimmen. Dadurch wird Ihr tatsächliches Transaktionsverarbeitungssystem entlastet, und der Täter wird nicht mehr mit nützlichen Informationen versorgt. Tatsächlich werden ihm Fehlinformationen zugeführt, da auch gültige Anfragen abgelehnt werden. Verlangsamen Sie Ihre Antwort, um die Rate neuer Anfragen zu begrenzen.

Wir hatten hier das gleiche Problem. Wir haben beschlossen, dass der schnellste und benutzerfreundlichste Weg darin besteht, eine moderne Recaptcha-Erweiterung („Ich bin kein Roboter“) zu implementieren. Wir haben uns für die Google Recaptcha-Erweiterung von Yireo entschieden, da sie schnell und einfach zu implementieren war ( https://www.yireo.com/software/magento-extensions/recaptcha), aber Sie können auch Ihre eigene implementieren hier ( http://www.proxiblue.com.au/blog/magento-recaptcha/).

Für unsere Yireo-Implementierung habe ich die Einstellungen "Kundenregistrierung" und "One Page Checkout Billing" als "Ja" verwendet, alle anderen wurden auf "Nein" gesetzt. Es gibt ein Problem, das mir bei Yireo aufgefallen ist, als ich die Einstellung "One Page Checkout Login" als "Ja" verwendet hatte. Dann hatten unsere registrierten Benutzer Probleme, sich bei ihren Konten anzumelden (aus irgendeinem Grund wurde kein Recaptcha angezeigt und als sie es versuchten Wenn Sie sich anmelden, wird in einem Nachrichtenblock "ungültiges Recaptcha" angezeigt. Also habe ich diese Einstellung auf "Nein" geändert, und jetzt können sich normale Benutzer anmelden, und das Kardieren hat auch aufgehört, unseren Zahlungsprozessor zu pingen. Alle sind jetzt glücklich.

Ein Hinweis zur Yireo-Erweiterung. Es werden kurze PHP-Tags (dumm) verwendet. Wenn Sie also eine PHP-Version unter 5.4 verwenden, müssen Sie die Unterstützung für kurze Tags in Ihrer PHP.ini aktivieren. Stellen Sie sicher, dass Sie die Anforderungen für die Yireo-Erweiterung gelesen haben, bevor Sie sie implementieren!

BEARBEITEN: Recaptcha unternimmt nichts, um die Angriffe zu verhindern. Es ist anscheinend sehr einfach, das System auszutricksen, da das Recaptcha nach dem ersten Versuch nur ein zwischengespeichertes Cookie verwendet, sodass Bots danach ausgeführt werden können, indem nur das Cookie verwendet wird. Schlechtes Design Google. Recaptcha soll Bots verhindern, kann aber im aktuellen Zustand nicht.