关闭。这个问题需要更多 focused .它目前不接受答案。
想改进这个问题?更新问题,使其仅关注一个问题 editing this post .
8年前关闭。
Improve this question
在我的国家,我们有一个非常特殊的支付系统,它基于 ATM 机,我们生成一个引用,用户将在 ATM 机中使用它来进行支付。
最近,我遇到了一些执行以下操作的用户或用户的一些麻烦:
1 - 用户访问我的网站,使用不一致的数据下订单(我的错,我没有验证电子邮件)并收到在 ATM 机上付款的引用。
2 - 第 (1) 点中的前一个用户访问了一个在线分类广告网站并发布了一些非常便宜的东西(Iphone,40 美元),当他发现买家提供了在我网站中生成的 ATM 机中付款的引用时。
3 - 买家(受害者)付款后没有拿到 Iphone,但钱进入了我的账户。我不发送任何数字商品,因为电子邮件无效
4 - 受害人去警察局,发现引用资料来自我的公司。我把钱还给受害者。
这个事件已经发生了2次......现在我需要确保这种情况不会再次发生,但主要问题是我无法更改这个太流行且商品是数字化的支付系统,除非我实现一个系统发送一封带有验证帐户代码的邮件到客户家中,我无法完全确定客户不会使用引用在 ATM 机上付款来简单地与分类广告网站上的人玩耍。
所以,我需要更多关于在我的网站上下订单的人的详细信息。现在我只有IP,但很容易使用一些随机的wifi网络或代理。您如何看待这些措施的实现?
1 - 在将引用发送到 ATM 机中付款之前,我将使用发送到电子邮件的链接验证电子邮件用户。
2 - 我会向他的电话号码发送一 strip 有代码的短信。
电子邮件验证是我的错,我应该以前做过。关于电话验证,您认为这会抑制类似的攻击吗?
最好的祝福
最佳答案
如果您无法控制此系统的输出(例如,将付款说明输出到 ATM,以便受害者可以看到它不是 iphone),您是否提供除 ATM 之外的其他付款方式?
如果是这样,您能否仅向至少成功购买 1 次的客户提供此 ATM 链接,并且排除第一个 ATM 机?在这种情况下,欺诈对攻击者来说代价高昂,而且,他将通过他的第一次购买来验证。 (通过信用卡、 Paypal 或其他方式)
关于payment - 销售数字商品时如何获取用户的真实身份?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/22993728/