SaaS 支付
什么是速度检查?
什么是速度检查?
速率检查是一种(实时)风险评估机制,用于观察公司目标时间段内特定客户行为的发生频率。当活动频率超出既定限制时(例如客户每秒尝试支付多次),系统会通过标记或阻止这些活动来处理。
速率检查对SaaS订阅支付为何重要?
与SaaS产品销售相关的网页有时被标记为自动化软件的初始访问点,这与其普遍的公共可用性特点一致(并且通常不需要密码即可进行初始服务交互)。实施速率检查提供了一种管理至少三种最常见的滥用类别的方法:
- 银行卡测试是指利用自动化系统,通过商家的交易门户提交大量被盗用的银行卡号码,以识别其有效性。商家的运营支出包括交易处理费以及与拒付相关的财务责任。
- 通过凭证填充,机器人会执行自动化登录序列,以测试通过先前数据收集获得的大量用户名和密码在SaaS平台中是否有效。
- 通过脚本创建大量临时免费账户,使得用户能够访问各种付费服务,例如云计算或抓取工具,而无需相应的订阅。截至目前,这些用户可以免费使用这些功能,并且未预见未来会有商业化。
什么数据支撑速率检查?
一套非常强大的速度规则不仅会关注“一次点击”的频率,还会检查与身份相关的信息组合,以捕获那些竭力伪装成以下身份的欺诈者:
- 交易日志:系统显示在给定时间内,单个信用卡号、账户ID或个人账单地址被使用的频率。
- 设备指纹:记录硬件、浏览器版本和屏幕分辨率的精确组合。设想一下,如果一个浏览器配置文件在两分钟内显示了 20 次使用记录,并且伴随着不同的用户名,这将导致一个阻止分类结果。
- IP地理定位: 请求来自同一IP地址的次数。系统还被配置为将某些情况检测为“不可能的旅行”,例如,在五分钟内,一次登录先发生于纽约,随后又发生于东京。
- 分析电子邮件行为:研究仅通过临时电子邮件提供商注册的特定数量账户的行为,或通过同一基本电子邮件地址的不同变体(例如 [email protected]、[email protected] 等等)注册的行为。
如何在SaaS计费堆栈中实施速率检查?
根据公司规模,工程团队通常会选择两种主要实施方案中的一种:
- 支付服务提供商: 其仪表板提供了定义规则的功能,以在初始阶段应对银行卡测试尝试。使用此功能不涉及对主系统进行修改或额外的编程。
- 定制化欺诈检测 (专用API):在客户操作到达您的计费系统之前的几个步骤,您有权对其进行拦截,并向您的外部欺诈供应商发送API请求。这种分析水平基于深入的应用内数据跟踪和复杂的历史决策,并在任何内容进一步传递到支付流程之前决定允许或阻止。
什么是“速率检查失败”错误,以及如何处理?
这一现象表明,在特定持续时间内,输入请求量超出了配置的最大阈值。一个简单、通用的错误消息(如果同时阻止后续尝试)可能会向未经授权的实体透露安全措施的某些方面。这种组合也会影响已认证用户的体验。解决溢出的一种有效方法是引入 验证码 或 多因素身份验证 (MFA),因为这样做至少暂时停止了机器人的自动化,同时也为人工用户提供了一个完成工作的途径。
结论
检查速度是现代SaaS计费基础设施的关键第一道防线。对用户事件频率和滚动时间窗口进行实时测量,可以使软件平台识别并缓解恶意自动化,从而防止系统过载并避免某些与处理相关的罚款。
准备好开始了吗?
我们也曾经历过您的挑战。让我们分享18年的经验,助您实现全球梦想。