Як виявити зловживання безкоштовним пробним періодом і запобігти створенню кількох облікових записів користувачами SaaS

Щоб виявити зловживання безкоштовною пробною версією та запобігти створенню кількох облікових записів користувачами SaaS, вам слід:

• Впровадити методи перевірки особи
• Моніторити широкий спектр даних користувачів та моделей поведінки
• Стратегічно обмежити вашу безкоштовну пропозицію, щоб зменшити зловживання
• Чітко повідомте свої умови використання користувачам

Щоб мати змогу зробити все це, розділіть процес на такі практичні кроки:

Перш ніж впроваджувати будь-яке технічне рішення, оцініть потреби вашого бізнесу. Правильна стратегія поєднує користувацький досвід із безпекою. Процес з високим коефіцієнтом тертя може зменшити кількість реєстрацій, тоді як процес з низьким коефіцієнтом тертя може призвести до шахрайства з безкоштовними пробними версіями. Задайте собі ці питання, щоб знайти баланс:

• Яка цінність вашого безкоштовного рівня? Чим вища цінність (наприклад, щедрі обмеження API, розширені функції), тим більший стимул для зловживань і тим сильнішими мають бути ваші методи запобігання.
• Який у вас рівень толерантності до тертя з користувачами? Чи відштовхне вимога номера телефону або кредитної картки вашу цільову аудиторію? A B2B програмне забезпечення може зіткнутися з меншим опором, ніж те, що орієнтоване на споживача відеогри.
• Який технічний потенціал вашої команди? Чи може ваша команда розробників створити та підтримувати складну систему виявлення шахрайства, чи вам потрібне стороннє рішення?
• Яка ціна зловживань? Розрахуйте витрати на сервер, час підтримки та потенційні втрати доходу від одного зловмисного користувача. Якщо вартість шахрайства з підписками висока, інвестиції в посилення запобігання є виправданими.

Ви можете використовувати просту таблицю для оцінки різних стратегій на основі ваших відповідей.

Метою перевірки є збільшення зусиль, необхідних для створення кількох облікових записів. Почніть з основ і додавайте рівні залежно від рівня зловживання безкоштовним пробним періодом вашого досвіду. Інтегрований партнер може взяти на себе складність управління цими процесами, тому корисно розуміти роль Merchant of Record проти постачальника платіжних послуг у цьому контексті. 

1.1. Почніть з перевірки електронної пошти: Це найпростіший крок. Після реєстрації користувача надішліть автоматичний електронний лист з унікальним посиланням, на яке потрібно натиснути, щоб активувати свій обліковий запис. Це підтверджує, що вони мають доступ до адреси електронної пошти та фільтрує ботів, які використовують підроблені, непрацюючі адреси електронної пошти.

1.2. Додати номер телефону або OAuth-верифікацію Якщо ви бачите, що користувачі створюють кілька облікових записів з одноразовими електронними адресами, додайте другий рівень перевірки.

• Перевірка телефону (SMS): Вимагайте дійсний номер телефону та надсилайте одноразовий код через SMS. Отримання кількох номерів телефону є складнішим і дорожчим для зловмисників.
• OAuth: Дозвольте користувачам реєструватися за допомогою своїх облікових записів Google, GitHub або LinkedIn. Це передає початкову перевірку особи надійній платформі.

1.3. Розгляньте перевірку високого рівня для чутливих сервісів Для SaaS високої вартості або тих, що працюють у регульованих галузях (наприклад, FinTech), вам може знадобитися надійніше підтвердження особи.

• Перевірка ідентифікаційного номера платника ПДВ: Перевірка ідентифікаційного номера платника податку з продажу (для B2B SaaS).
• Перевірка посвідчення особи: Користувач завантажує зображення посвідчення особи (для SaaS-бізнесів високого ризику або коли потрібне підтвердження віку).
• Перевірка методу оплати: Користувач повинен прив'язати дійсну кредитну картку або обліковий запис PayPal.

Проактивно виявляйте підозрілу активність, відстежуючи дані після початкової реєстрації. Створіть систему прапорців або оцінку ризику, яка зростає, коли обліковий запис демонструє більше підозрілої поведінки.

2.1. Відстеження ключових точок даних: Поєднайте кілька точок даних, щоб створити унікальний підпис для сеансу користувача.

• IP-адреса: Записуйте IP-адресу під час реєстрації та наступних входів. Використовуйте базу даних GeoIP, щоб перевірити, чи належить IP-адреса відомому центру обробки даних, проксі-серверу або вихідному вузлу Tor — поширена тактика шахрайства з безкоштовними пробними версіями. За останніми даними, понад 30% користувачів інтернету використовували VPN, тому IP-адреса від VPN-провайдера є сигналом, але не остаточним доказом зловживання.
• Файли cookie: Помістіть постійний файл cookie у браузер користувача з унікальним ідентифікатором. Якщо користувач видаляє файли cookie та одразу ж знову реєструється з тієї ж IP-адреси, підвищте його оцінку ризику.

2.2. Аналіз моделей поведінки Шукайте дії, що відхиляються від поведінки справжнього користувача.

• Час до дії: Як швидко новий обліковий запис виконує дію з високою цінністю (наприклад, завантаження файлу, використання ключової функції)? Облікові записи, які роблять це за лічені секунди, ймовірно, автоматизовані.
• Швидкість використання: Активність легітимного користувача у програмному забезпеченні або відеогрі матиме природний ритм. Обліковий запис, який одразу досягає 100% своїх лімітів використання (наприклад, максимальна кількість викликів API за першу годину), є підозрілим.
• Одночасні сесії: Позначити облікові записи, до яких отримано доступ з кількох географічно віддалених IP-адрес одночасно.

Моніторинг поведінки користувачів за допомогою ШІ: Для проактивного підходу до шахрайства з безкоштовними пробними версіями, слідкуйте за шаблонами активності користувачів. Підозріла поведінка, така як швидке створення облікових записів з різних геолокацій або незвичайні сплески використання, може бути позначена для перевірки.

Впровадження систем виявлення шахрайства на основі машинного навчання та штучного інтелекту може автоматизувати цей процес. Ці системи аналізують величезні обсяги даних, щоб виявити складні схеми зловживань, які людині було б важко виявити. З часом модель ШІ може навчатися та адаптуватися до нових тактик зловживань.

Структура вашого безкоштовного плану може бути вашою найкращою захистом. Мета полягає в тому, щоб зробити безкоштовний рівень корисним для законної оцінки, але непривабливим для тривалого, інтенсивного використання. Щоб зробити це добре, вам потрібен чіткий шлях для оновлення користувачів, що включає розуміння процесу впровадження багаторівневого ціноутворення.

3.1. Обмежуйте функції, а не лише використання: Замість того, щоб просто обмежувати кількість дій (наприклад, 5 завантажень), обмежте функції, які вам найбільше коштують або надають найбільшу цінність.

3.2. Пропонуйте безкоштовний пробний період з обмеженим терміном дії: Замість постійного безкоштовного плану, пропонуйте 3-денний або 7-денний безкоштовний пробний період. Це створює відчуття терміновості та запобігає безкінечному використанню користувачами безкоштовного плану. Щоб оптимізувати цей підхід, перегляньте Рекомендовані практики безкоштовних пробних періодів SaaS щоб максимізувати конверсії. Хоча зловмисники все ще можуть створювати нові облікові записи, це змушує їх переносити свої дані та перезапускати роботу кожні кілька днів, що є значним клопотом.

Це один з найефективніших способів запобігання зловживанням обліковими записами. Це також спрощує перехід на платний план, оскільки система може налаштувати повторювані платежі без подальших дій користувача. Вимагаючи дійсну кредитну картку для початку безкоштовного пробного періоду, ви створюєте суттєву перешкоду для створення кількох облікових записів.

Насамкінець, будьте прозорими. Ваш умови надання послуг Слід наголосити, що створення кількох облікових записів для обходу обмежень безкоштовного рівня заборонено. Хоча це не зупинить шахраїв, які шукають безкоштовних послуг, це дає вам чітке обґрунтування для призупинення облікових записів і встановлює очікування для добросовісних користувачів.