Comment se défendre contre les utilisateurs avec plusieurs comptes?

Question

Nous avons un service où nous donnons littéralement de l'argent gratuit. Naturellement, ledit service est mûr pour les abus. Pour se défendre contre ce que nous faisons ce qui suit:

• adresse ip journal

• utilisation des adresses électroniques uniques (seulement 1 ACCT/email Addy)

• recueillir plus d'informations comme st. adresse, numéro de téléphone, etc.

• utilisation inscription captcha

• BHO (je l'ai vu des salles de poker utilisent ces)

Maintenant, soyons réalistes ici - rien de cela ne arrêter un utilisateur déterminé.

Évidemment, les adresses IP peuvent être changées via un proxy (qui pourrait être blacklisté via akismet) mais changer quand même si l'utilisateur a une ip dynamique ou si plus d'un utilisateur est derrière un réseau NAT'd (peut-on dire ?)

Je peux m'inscrire pour des milliers d'adresses électroniques uniques chaque heure - ce n'est pas une défense.

Je peux mettre de faux renseignements tirés des listes d'adresses et de numéros de téléphone.

Je peux acheter des captchas à partir de services de résolution de captcha (1k pour 5 $).

BHO semblent efficaces que pour les logiciels téléchargeables - c'est un site

Quels sont les autres moyens d'empêcher plusieurs utilisateurs d'abuser du service? Comment toutes les personnes de PPC contrôlent-elles la fraude de clic?

Je sais que nous pourrions appeler la personne, mais je ne pense pas que nous essayons de le faire de sitôt.

Merci,

Answer 1

je pense que seul moyen est de lier vos comptes utilisateurs à l'information « monde réel », comme son/son numéro de passeport, par exemple. Bien sûr, vous devrez vous assurer que les informations sont stockées de manière sécurisée et trouver un moyen de les valider.

Answer 2

Il est assez difficile de générer beaucoup de faux numéros de téléphone qui peuvent envoyer et recevoir des messages SMS. La vérification par SMS pourrait contribuer grandement à réduire la fraude. Bien sûr, il vous limite également à donner de l'argent gratuit aux propriétaires de téléphones cellulaires.

Answer 3

Vous devez lier leurs informations à quelque chose qui est «réel», comme dit Rubens. Bien sûr, vous devez également être en mesure de vérifier cette information (je peux juste faire des numéros de passeport toute la journée si vous ne vérifiez pas pour vous assurer qu'ils sont corrects).

Comment livrez-vous l'argent? Peut-être que vous pouvez indexer cela sur le compte paypal, l'adresse postale, ou quoi que vous envoyiez l'argent?

Answer 4

Parfois, la seule façon d'empêcher les utilisateurs d'abuser d'un système est de ne pas avoir le système en premier lieu.Si vous faites ce que vous dites, "donner de l'argent aux gens", alors surprise surprise, il y aura des tonnes de personnes avec plus de temps disponible pour essayer de trouver des façons de jouer le système que vous devra le réparer.

Answer 5

Re: signature pour les nouveaux comptes de messagerie ...

Un utilisateur n'a même pas besoin de le faire. N'hésitez pas à envoyer votre courrier à brian_s@mailinator.com, ou feydr.asks.a.question@spamherelots.com, ou stackoverflow@safetymail.info, ou my_arbitrary_username@zippymail.info. Je n'ai enregistré aucune de ces adresses e-mail, mais toutes fonctionneront. Ces domaines sont la propriété de ManyBrain, et ils (et probablement d'autres aussi) définissent le domaine pour accepter n'importe quel utilisateur d'email. ManyBrain en particulier rend alors les boîtes de réception de ces emails accessibles au public sans aucune inscription (en supprimant tout par le texte de l'e-mail et en supprimant les anciens messages). Découvrez-le: admin@mailinator.com's email inbox!

D'autres ont mentionné des façons d'essayer de garder les identités des utilisateurs uniques. C'est juste une raison de plus de ne pas faire confiance aux adresses e-mail.

Answer 6

je suppose qu'il ne sera jamais possible d'avoir un système d'identification qui identifie fausses identités qui est:

• pas cher pour courir
• pas cher à mettre en œuvre ((je pense qu'il est appelé « coût opérationnel »?) idéalement un coût en temps - comment vous appelez cela)
• n'a pas Type-I/Type-II errors
• est évolutive

Mais je pense que vous pourriez empêcher les utilisateurs d'avoir trop de comptes (pour dire un nombre aléatoire: plus de 50).

Vous pouvez combiner les approches suivantes:

• adresse IP: peut être contournée avec VPN
• CAPTCHA: peut être contournée avec des fermes de l'homme (voir this article, par exemple - bien qu'ils prétendent que leur test ne peut pas être facilement passé à d'autres humains, je doute que ce soit vrai)
• Ability-based identification: peut être truquée quand vous savez ce qui est ored et comment exactement l'identification fonctionne par hasard (mais avec une distribution donnée) agissant (exemple: brainauth.com)
• L'interaction du monde réel: Bien que ce pourrait être le meilleur, mais je suppose que c'est cher et pas beaucoup d'utilisateurs l'acceptera. De plus, pour certains utilisateurs/pays, cela pourrait ne pas être possible. (exemple: Postident en Allemagne, où la poste veut voir votre carte d'identité.Je suppose que cela ne peut être confronté à grande échelle par le gouvernement.)
• Autres sites/ressources: Cela transforme fondamentalement le problème pour d'autres sites .Vous pouvez utiliser les services, où il est interdit/rare/cher d'avoir beaucoup plus de 1 compte
  • Email
  • Numéro de téléphone: par exemple en utilisant SMS, voir Multi-factor authentication
  • Compte bancaire: PayPal; ne transférez pas beaucoup d'argent ou demandez-leur de vous transférer un montant (petit) aléatoire (que vous devrez renvoyer).
• sociale basé
  • Lorsque vous prenez le graphe social (sommets sont les gens, les arêtes sont des connexions), vous attendez une certaine distribution. Vous savez que vous êtes un humain unique et que vous connaissez d'autres personnes. Vous avez donc un «réseau de confiance» (entre guillemets, car je pense que cela pourrait aussi être utilisé dans d'autres contextes). Maintenant, vous pourriez ne pas faire confiance aux personnes/réseaux qui interagissent fortement avec votre service, mais qui sont isolés (pas de connexion) ou qui connectent un grand groupe avec un autre grand groupe («points d'articulation»). Vous pouvez également ne pas faire confiance à de nouveaux graphiques isolés à croissance rapide et fortement en interaction.
  • Lorsqu'un utilisateur fournit contenu qui est apprécié par de nombreux autres utilisateurs (en qui vous avez confiance), cela peut être un indicateur qu'il y a un vrai humain qui le crée.

Answer 7

D'abord, je suppose (espoir) que vous ne donnez pas littéralement de l'argent gratuit, mais plutôt donner à utiliser votre service ou quelque chose comme ça. Peu importe, car il y a une grande différence entre les utilisateurs qui essaient d'obtenir de l'argent gratuitement de vous, ils peuvent dépenser pour acheter des voitures chères, mais seulement dépenser pour votre service, ce qui serait beaucoup plus limité.

De toute évidence, beaucoup plus d'utilisateurs vont essayer de tromper le système dans le premier cas que dans le dernier cas.

Pourquoi est-ce important? Parce que tout dépend de l'équilibre entre votre contrôle et l'ennui de votre utilisateur. Je vois beaucoup de réponses se concentrer sur la partie contrôle, alors passons par l'ennui, n'est-ce pas?

• Adresse IP du journal. Que faire si je suis le prochain gars sur l'ordinateur dans la boutique internet et le gars avant moi déjà utilisé cette adresse IP? L'autre gars a quitté votre page chaude que je vois maintenant mais je suis foutu parce que l'adresse IP est bloquée. Oui, je peux aller à un autre ordinateur mais c'est ennuyeux et j'ai peut-être d'autres choses à faire.

• Collecte d'adresses physiques. Pour quoi??? Allez-vous me rendre visite? Ou commencer à m'envoyer des lettres de spam? Laissez-moi deviner, le plus souvent vous obtenez des adresses avec des fautes d'impression au mieux et des fausses au pire. En fait, il est beaucoup moins compliqué pour moi de vous donner une fausse adresse et de ne pas traiter toutes les lettres de spam que je vais devoir recycler de manière écologique. :)

• Collecter des numéros de téléphone. Encore une fois, pourquoi devrais-je faire confiance à votre site? C'est la vraie histoire. J'ai donné mon numéro de téléphone à un site obscur, puis plus tard, j'ai commencé à recevoir des messages occasionnels pleins d'absurdités comme "frapper la mouche". Que j'ai simplement supprimé. Ce n'est que plus tard et par accident que j'ai découvert que j'étais effectivement facturé 2 euros pour recevoir chacun de ces messages !!! Est-ce que je veux avoir ces tracas? Évidemment pas! Donc non, mon pote, désolé de décevoir mais je ne donnerai pas à votre site mon numéro de téléphone à moins que votre société s'appelle Facebook ou Google.:)

• Utilisez l'option captcha. J'aime ça :). Alors qu'essayons-nous d'accomplir ici? L'utilisateur qui est déterminé à abuser de votre service aura-t-il des problèmes pour saisir quelques captchas? J'en doute. Mais qu'en est-il du "bon utilisateur"? Savez-vous comment captchas ennuyeux sont pour de nombreux utilisateurs ??? Qu'en est-il des utilisateurs ayant une déficience visuelle? Mais même sans lui, la plupart des captchas sont si mauvais qu'ils vous font sentir comme si vous aviez une vision déficiente! Le meilleur conseil que je peux donner - si vous vous souciez de l'expérience utilisateur, évitez les captchas comme la peste! Si vous avez des doutes, faites d'abord votre recherche en ligne!

Voir ici more discussion about control vs annoyance et here some more thoughts d'être convivial.