Płatności SaaS

Czym jest kontrola prędkości?

Autor: Oleksandra Butenko, Copywriterka

Sprawdzono przez: George Ploaie, Dyrektor Operacyjny (COO)

Czym jest kontrola prędkości transakcji

Czym jest kontrola prędkości?

Kontrola prędkości to mechanizm oceny ryzyka (w czasie rzeczywistym), który monitoruje częstotliwość określonej akcji klienta w ustalonym przez firmę okresie. System reaguje na działania, które występują z częstotliwością przekraczającą ustalony limit, takie jak próba płatności więcej niż raz na sekundę, poprzez ich oznaczanie lub blokowanie.

Dlaczego kontrola prędkości ma znaczenie dla płatności subskrypcyjnych SaaS?

Strony internetowe związane ze sprzedażą produktów SaaS są czasami oznaczane jako początkowe punkty dostępu dla zautomatyzowanego oprogramowania, co jest zgodne z ich charakterystyczną publiczną dostępnością (i zazwyczaj nie wymaga hasła do początkowej interakcji z usługą). Wdrożenie kontroli szybkości zapewnia środek do zarządzania co najmniej trzema najczęstszymi kategoriami nadużyć:

  •       Testowanie kart polega na wykorzystaniu zautomatyzowanych systemów do przesyłania licznych skompromitowanych numerów kart przez portal transakcyjny sprzedawcy w celu zidentyfikowania ich statusu operacyjnego. Koszty operacyjne sprzedawcy obejmują takie pozycje jak opłaty za przetwarzanie i zobowiązania finansowe związane z obciążeniami zwrotnymi.
  •       W przypadku Credential Stuffing, boty przeprowadzają zautomatyzowane sekwencje logowania, aby sprawdzić, czy znaczna liczba nazw użytkownika i haseł, pozyskanych w wyniku wcześniejszych wycieków danych, działa poprawnie na platformie SaaS.
  •       Tworzenie licznych tymczasowych darmowych kont za pomocą skryptów umożliwia dostęp do różnych płatnych usług, takich jak przetwarzanie w chmurze czy narzędzia do scrapingu, bez odpowiedniej subskrypcji. Obecnie funkcje są dostępne dla tych użytkowników bezpłatnie, a przyszła monetyzacja nie jest przewidywana.

Jakie dane zasilają kontrolę szybkości?

Naprawdę solidny zestaw reguł weryfikacji szybkości transakcji będzie zwracał uwagę jedynie na częstotliwość “kliknięcia”, a także analizował kombinacje informacji związanych z tożsamością, aby złapać oszusta, który stara się jak najlepiej ukryć pod postacią:

  • Dziennik Transakcji: System pokazuje częstotliwość użycia pojedynczego numeru karty kredytowej, identyfikatora konta lub adresu rozliczeniowego danej osoby w danym okresie czasu.
  • Odciski Palców Urządzenia: Rejestruje precyzyjną kombinację sprzętu, wersji przeglądarki i rozdzielczości ekranu. Scenariusz, w którym profil przeglądarki wykazuje 20 użyć w ciągu dwuminutowego przedziału czasowego, w towarzystwie różnych nazw użytkowników, odpowiada wynikowi klasyfikacji blokady.
  • Geolokalizacja IP: Liczba razy, kiedy żądanie pochodzi z tego samego adresu IP. System jest również skonfigurowany do wykrywania zdarzeń jako “niemożliwa podróż”, takich jak logowanie pochodzące z Nowego Jorku, a następnie z Tokio w ciągu pięciominutowego interwału.
  • Analiza zachowań e-mailowychAnaliza zachowania pewnej liczby kont rejestrowanych wyłącznie za pomocą tymczasowych dostawców poczty e-mail lub poprzez różne wariacje tego samego podstawowego adresu e-mail (takich jak, na przykład, [email protected], [email protected] i tak dalej).

 

Jak wdrożyć sprawdzanie szybkości w stosie rozliczeniowym SaaS?

W zależności od wielkości firmy, zespoły inżynierskie zazwyczaj wybierają jedną z dwóch głównych opcji implementacji:

  • Dostawca Usług PłatniczychJego pulpit nawigacyjny oferuje możliwość definiowania reguł, które przeciwdziałają próbom testowania kart na wczesnym etapie. Korzystanie z tej funkcjonalności nie wymaga modyfikacji głównego systemu ani dodatkowego programowania.
  • Dostosowana weryfikacja oszustw (Dedykowane API): Na kilka kroków, zanim działanie klienta dotrze do Twojego systemu rozliczeniowego, masz prawo je przechwycić i wysłać żądanie API do zewnętrznego dostawcy usług antyfraudowych. Ten poziom analizy opiera się na głębokim śledzeniu danych w aplikacji oraz złożonym, historycznym podejmowaniu decyzji i decyduje o zezwoleniu lub zablokowaniu, zanim cokolwiek zostanie przekazane dalej w procesie płatności.

Jak dostosować Reguły Szybkości, nie zwiększając liczby fałszywych odrzuceń?

Specyficzne zestawy reguł identyfikują sytuacje, w których autentyczni użytkownicy mogą napotkać trudności z dostępem (na przykład, zapomniane hasło lub ograniczony dostęp do internetu). Oto kilka wskazówek, które pomogą Ci dopracować swoje reguły:

 

Czym jest błąd „Velocity Check Failed” i jak sobie z nim radzić?

Ten sygnał jest związany z przekroczeniem skonfigurowanego maksymalnego progu wolumenu żądań wejściowych w określonym czasie. Prosty, ogólny komunikat o błędzie (w połączeniu z blokowaniem kolejnych prób) mógłby poinformować nieautoryzowane podmioty o aspektach środków bezpieczeństwa. Ta kombinacja wpływa również na doświadczenie uwierzytelnionych użytkowników. Jednym skutecznym sposobem zaradzenia przepełnieniu jest wprowadzenie CAPTCHA lub uwierzytelnianie wieloskładnikowe (MFA), ponieważ takie działanie zatrzymuje automatyzację bota, przynajmniej na chwilę, a także daje ludzkiemu użytkownikowi możliwość wyjścia, pozwalając mu dokończyć pracę.

Wniosek

Prędkość weryfikacji to kluczowa pierwsza linia obrony dla nowoczesnych infrastruktur rozliczeniowych SaaS. Pomiar w czasie rzeczywistym częstotliwości zdarzeń użytkownika i ruchome okna czasowe mogą umożliwić platformie oprogramowania identyfikację i łagodzenie złośliwej automatyzacji, zapobiegając przeciążeniu systemu i unikając pewnych kar związanych z przetwarzaniem. ​‍​‌‍​

Gotowy do rozpoczęcia?

Byliśmy na Twoim miejscu. Podziel się z nami swoimi globalnymi marzeniami, a my wykorzystamy nasze 18-letnie doświadczenie, aby stały się rzeczywistością.
Obraz mozaikowy
pl_PLPolski