Algorithme de prévention de la fraude

Question

Nous cherchons un bon moyen d'arrêter la fraude sur notre site Web. Nous avons un site avec un trafic constant à venir - nous avons un accès régulier à l'information normale (IP, session, cookies, etc), plus les informations que les utilisateurs ont fournies.

Nous devons être en mesure de détecter les utilisateurs en double en temps réel. Fondamentalement, les gens font semblant d'être des gens différents afin de gagner de l'argent sur chaque compte. Nous devons empêcher les utilisateurs et les robots en double d'entrer dans notre système.

Pour arrêter ou ralentir les robots, nous avons implémenté un CAPTCHA. Cela a aidé un peu.

Pour essayer d'éviter les doublons, nous avons créé un système de tendances IP. Il a temporairement (et silencieusement) suspendu tout compte ayant une activité en double au cours des 10 dernières minutes. Il a également incrémenté un compteur "dupliqué" sur tous les comptes ayant une activité sur cette adresse IP - cet indicateur éclaire rapidement les comptes s'ils ont trop d'activités dupliquées. Toutefois, le correctif ci-dessus ne fonctionne pas lorsque quelqu'un arrive un jour plus tard. Cela ne fonctionne pas non plus si les utilisateurs utilisent des serveurs proxy ou des adresses IP différentes. Il génère des tonnes de faux positifs avec les comptes AOL (et d'autres FAI qui utilisent des adresses IP partagées). Y a-t-il autre chose que nous pouvons faire pour aider à ralentir ou arrêter la fraude en double et robotisée en temps réel?

Si nous pouvons les arrêter en temps réel, nous pouvons garder nos annonceurs heureux (la fraude ne se produit jamais). Si nous pouvons les arrêter dans quelques jours, nous pouvons au moins arrêter le paiement de ces comptes en double, rendant inutile de continuer à essayer.

Toute aide sur une solution automatisée détectant cette fraude sera appréciée.

Answer 1

J'espère que vous faites une vérification par courriel (?).

Si vous ne le faites pas déjà, vous pouvez introduire la vérification mobile. Où dans l'utilisateur devrait vérifier un code lors de l'inscription. Comme c'est trop de travail (?) Pour les utilisateurs qui essaient de créer des comptes en double, il va réduire certaines duplications.

Je ne pense pas que vous serez en mesure d'éliminer la duplication 100% ;-) Sauf appel/enquêter sur chaque utilisateur et vérifier les détails.

BTW quel est l'avantage d'avoir plusieurs comptes? Les utilisateurs gagneront-ils plus?

Answer 2

Ceci est une sorte de tir dans le noir, ne sachant pas ce que votre système est sauvegardé et mon n'étant pas un expert dans le domaine de la fraude (je veux dire la prévention de la fraude, ahem). J'ai vu des démonstrations de SQL Server Data Mining déployées avec succès pour ce travail. Le DM est formé sur un historique d'activités valides, non frauduleuses (extraites des tables de faits et de données OLTP), il utilise l'analyse factorielle pour regrouper les comportements, et est ensuite capable de catégoriser une nouvelle transaction, en temps réel, tombe dans l'un des groupes connus de comportement ou est un «déviant». Les transactions déviant sont généralement des transactions suspectes.

Answer 3

Vous devez choisir un équilibre entre ennuyer vos utilisateurs et empêcher les bots. De temps en temps sur Google ou SO j'obtiens un captcha, mais c'est assez rare. Toute personne suffisamment motivée peut contourner un filtre de détection de bot.Voici une liste des obstacles communs:

• Inscription
• qu'OpenID
• vérification Email
• Inviter seulement
• CAPTCHA
• Txt/vérification SMS
• Carte de crédit
• Micropaiement

L'alternative de votre côté est d'écrire des algorithmes intelligents et/ou d'avoir des bots de drapeau de personnel de soutien. Malheureusement, there's no simple algorithm comme exécuter une FFT sur vos horodatages qui permettra d'identifier tous les robots.