招待状システムへの悪用の防止

Question

最近私は、友人が自分のウェブサイトで次のように動作する招待システムを出荷するのを手助けしました。ユーザーがアカウントを作成し、確認メールを送信し、電子メールを確認したら、ウェブサイトに費やす。それに加えて、彼はソーシャルネットワークや電子メールで共有できるリンクをパーソナライズしています。このリンクを使用して登録すると（電子メールで確認されたアカウント）、招待ごとに1クレジットを取得します。 thefancy.comの招待システム、またはWeb上の他の報酬による招待システムによく似ています。

最近、おそらく自動化された偽のユーザーアカウントの割合が高くなります。登録ページにはCAPTCHAがありますが、これを回避することができます。また、特定の招待リンクに続いてアカウントを作成するための使い捨て電子メールアドレスを作成するユーザーの割合が上昇していることがわかります。

私はこのような悪用を防ぐための自動化された方法を模索しています。私は現在、同じIPアドレスから来る招待/登録にレート制限を課すことを調査していますが、このシステム自体には欠陥があります。

その他の実績テスト済みのアイデアはありますか？

はありがとう

編集：私はまた、SMS経由で2ファクタの登録を提案しましたが、予算不足が原因で断った 。

Answer 1

ユーザーが招待状を送信するには、確認済みのメールアドレス以外に、理想的にはユーザーが何らかの方法で自分のサイトに参加したことを示すものが必要です。あなたのサイトが何であるかわからなければ、仕様を与えるのは難しいですが、StackOverflowの同等の機能は、ユーザーに他のユーザーを招待する前に少なくともXの評判を要求することです。フォーラムを運営している場合は、少なくともX個の投稿を作成する必要があります。

また、新しいアカウントを招待する前に期限を短くすることをお勧めします。彼らは少なくともX日はメンバーでなければなりません。これは自動化された招待をやや複雑にします。

Answer 2

これまで使用してきた非常に単純な方法は、CSSを使用して非表示になっている追加入力を登録フォームに追加することです（つまりdisplay：none）。ほとんどのフォームボットはこのフィールドを埋めるでしょうが、人間は（表示されないため）人間はしません。あなたのサーバー側のコードでは、入力された入力を使ってPOSTを拒否することができます。

シンプルですが、非常に効果的だとわかりました。

Answer 3

確認ページにCAPTCHAテストを追加します。私はあなたのCAPTCHAが何とかバイパスされているかどうか十分に頑丈かどうか疑問に思います。人気があると思われる（嫌な）reCaptchaの使用を検討することもできます。確認ページの「CAPTCHA」は、「ボットが確認ページを送信する危険性を減らします。つまり、登録後にサイトとのクライアントのやりとりの考え方を実装します。同様の方法は、登録者のパスワードを尋ねることです。

Answer 4

いくつかのアイデア： 'mailinator' のような電子メールの

• 潘使用。
• 紹介報酬を遅らせることで、不正検出の期間を延長することができ、偽のアカウントを検出してそれに応じて応答する時間が長くなります。
• の前にの収益生成トランザクションを作成する必要があります（私はそれがあなたができるシフトではないかもしれないことを知っています） - リファラーへの不都合（詐欺行為を減らすことでお金を節約してください。
• 機械学習。継続的な観察と詐欺の検出によるチューニング。より多くのデータがあるほど、これらのケースを特定することができます。 （あなたが言及しているようにIPアドレス。）それが適用されるかどうかさらに伝える発送/請求情報 - 隣接するPOボックスに注意してください。