Security

购物网站角度来看盗刷风控

最近帮同学搭建一个购物网站,涉及线上交易,网站提供给卖家很多关于支付的源信息,来帮助卖家避免信用卡盗刷等风险。我自己也用信用卡也了解一些信用卡安全,也被盗刷过,申请过拒付以及银行赔偿。还有之前正常使用自己信用卡,也遇到过之前由于发卡行是在中国,在德国买东西而被风控拒绝交易。这次站在卖家的角度,看用户支付数据来判断是否有风险,感觉挺有意思的。 这个截图是网站关于我一个示例订单风险的梗概。可以看到商家能够分析的角度还是很多的,IP地址这个不用说了,最基本该有的信息。他们可能还有一个大数据库,看这个IP地址是不是来自代理服务商,那些靠VPN连接模拟地址的人可能会被揪出来。还有收货地址与IP地址的距离,在家网购寄给自己,那说明是被盗刷的可能性就小了很多。还有账单地址与下单国家是否匹配。由于申请信用卡都会填一个账单地址,全世界都是这样,偷的或者捡的卡这个信息并不容易获得。买东西的时候也会填一个账单地址,这个是否一致,也可以作为判断依据。不过这个就有可能出现误判的情况。 这个图是购物网站对于金融风险设置页面的截图,第二项应该绝大多数网站都会勾选,是验证信用卡后边的那三位数字,这个都匹配不上了,那肯定是有问题。第一个选项是判断购物时候填写账单地址邮政编码和申请信用卡时候的邮政编码是否一致。这个多数网站并没有使用,因为就像我这样卡是中国申请的,办卡填写的地址也是中国的,但是我长期生活的在德国,账单地址也是德国,造成了合理的邮政编码不匹配,就会发生误判的情况。我在德国网购那几次被拒绝的清晰,我猜十有八九是由于邮政编码没匹配上造成的。 从上边可看出,网点要不要接纳用户输入的信用卡信息进行交易,商家有很大的发言权,商家说可以那么就可以进行信用卡扣款,然后交易完成。甚至如果选择了不验证CVV的话,只需要信用卡正面姓名卡号有效期三个数据就可以告知银行可以扣钱,亚马逊就是这样的只需要三个信息(可能对他们自己的风控非常有把握吧)。所以这就对于商家对于银行甚至对于持卡者有很大的风险,万一卡被盗刷,那真正持卡者和银行扯皮,银行拒付商家,商家还把货给发了,除了黑客,另外三家都不开心。所以后来有了MasterCard SecureCode™ 和VISA家的Verified by VISA服务。在支付的时候,输入完信用卡账号密码会跳转到银行的一个页面,多数银行再进行一次短信,或者U盾的验证,然后有银行决定是否交易通过。这样商家的责任就转移到银行,商家不来决定是否交易成功,而由银行来做这个最终的判断。银行掌握的数据更详实,技术能力更强,所以这个服务是对持卡人,对商家以及对银行都是利好的。德铁在饱受黑卡套现好几年来,现在也更新了支付系统,启用了上边我介绍的信用卡3D验证功能,将信用卡支付的最终决定权交给了银行。 我想模拟一笔被判断为高风险的交易,我找了另外的一张中国的信用卡,在这个网站上没支付过,然后我用了一个中国的代理,这样IP地址(中国河北),收货地址(德国),以及账单地址(中国随便填了一个地方)都不同。然后我下了一个测试单,令人沮丧的是欺诈分析还是低。虽然里边已经有红标提示一些很不科学的信息,发货地址距离IP地址7979公里,但是通过网站综合判断这笔交易还是低欺诈成分的,我装骗子失败。我后来反思可能有这么几个原因,一个是我没有换账号。我用来下单的账号测试了很久,各种登录各种下单各种尝试,另外我也没换浏览器,其实在这个综述之外还有更多的比如浏览器数据,计算机数据等源信息,在这里省略了没显示。我只是在下这单时候用了一个新卡用了一个假IP,这两个维度还是太小了,没有欺骗过程序,让程序知道了我想欺骗它让它说我是欺骗。 信用卡欺诈这个领域太适合用机器学习来深入了,下边我还有一个截图,是更多的源数据,这也不是全部的。有这么多的维度,机器学习比人更会找规律,让机器来自动从这么多角度入手学习那种是欺诈行为而哪种是像我刚才做实验一样是假的欺诈行为。还是挺有意思的。  

购物网站角度来看盗刷风控 Read More »

IPv6的普及对于GFW的影响

我中国的家中使用的是中国联通的DSL宽带,并且提供的是公网的IP。虽然价格贵一些可是服务质量确实高很多。最近我看到运营商提供了IPv6的地址,并经过测试确实网路是接通的,能够正常访问用于检测的纯v6网站。 对于互联网很敏感的我,想知道在IPv6时代,强大的XXX还能不能实时检测海量的网络IP了。所以做了一个小测试并且惊喜的发现,很多谷歌服务可以直接打开,包括Google Search,YouTube 以及Gmail。通过Google查询我的IP也能得到我正确的IPv6地址,并且通过访问历史记录也可以看到Google可以得到我正确的位置,而不是挂代理后的机房地址。 多次测试发现并不是每次都能顺利打开Google服务,很多时候也会像之前v4的时候一样会遭遇reset。我怀疑是XXX有一个动态库检测Google的IP,可是由于IPv6的地址池及其的庞大,所以新更新的地址没有在库里记录的话,就会造成通过IPv6通道可以连接到Google的服务器,从而造成被屏蔽的网址间歇性可用。还有一个有趣的现象可以佐证我的猜想:对于google.com域名能直接打开的几率小很多,远小于Google的一些分站比如我经常用的google.de。我猜是由于XXX对于google.com检测扫描的频率以及重视程度要远大于那些分站,造成这样的现象。同时如果所有客户端都普及了IPv6,那么对于XXX之后的工作也切切实实带来了不小的挑战。

IPv6的普及对于GFW的影响 Read More »

Charles:一个可以自己架设代理服务器进行iOS抓包的工具

好强大的一个工具,我最喜欢的是通过SSL证书从而抓取手机客户端的加密流量。同时由于是收费软件,30天试用期并且每次只能使用半小时,到时间就需要重新打开一遍软件。穷学生支付不起正版授权,暂且使用trick避开一下半小时限制。我是坚定不移支持正版,等我之后经济条件好一些后欠下的授权费会补上。 https://www.zzzmode.com/mytools/charles/ https://blog.zzzmode.com/2017/05/16/charles-4.0.2-cracked/ https://github.com/8enet/Charles-Crack

Charles:一个可以自己架设代理服务器进行iOS抓包的工具 Read More »

专业的事情,交给专业的人去做

大约一年前,我想尝试自己搭建一个XXX服务器,一方面自己可能偶尔有使用的需求,另外一方面是亲自做一遍熟悉一下并且记录搭建步骤,之后再有需要到话拿出之前到笔记迅速就能完成。 记得当时搭建时候费了很大到劲,命令不熟,各种包找不到,以及亚马逊防火墙的各种坑。看了很多帖子,踩了不少坑,用了很久时间终于把L2TP搞定了,苹果Android都可以连接,当时还是超级开心的,并且特别详细到把每一步骤都记录了下来,一方面为自己留存,一方面觉得其他的教程帖都是垃圾,按照我的这个一步一步来肯定能作成。 最近就到了翻笔记到时候。国内同学有这个需要,我法兰克福服务器在国内连接有点慢,所以打算搬到东京,然后特别欢喜的打开我的帖子一步一步照着配置我的新服务器。 然而噩梦就此开始了。时隔一年,用到了各种软件都有升级,有些甚至安装方法都不一样,本以为半小时说有事情完成,可是光安装包就用了很久。其中一个包由于亚马逊Linux内核升级还报错,虽然找到了解决方案但是我还是不清楚到底有没有正常运行。安装包还好,更折磨人到是一些包到配置文档发生了结构改变,我直接复制之前到内容到新服务器,软件根本不能识别我的配置语句,也就算说,我得重新读一遍新的文档,并且按照新的结构结合我的需求再写一遍。这和我第一次配置有啥区别,并且我沾沾自喜的笔记也毫无作用。 以为半小时到工作量,至少做了有5小时还没搞定。所遇到的问题我也有头绪知道该怎样解决,报出的错误我也差不多能找到原因在那儿,可是我就是想配置个XXX服务器啊,我每天工作重点不是搞这个,我不想将我的大量时间投入在这个一次性工作,因为可能现在学会了可是一段时间后又有了新的问题。突然间也特别理解网上写教程到博主,之前一直好奇为何这么多人写一些错误到教程,有效的却少之又少,现在逐渐明白,那些并不是错误的,只是博主写作当时可以运行可是后边由于某种关系不好使了。就像我到那篇事无巨细的流程贴,现在即使是让我看来,也是一篇行不通的方案。 后来我用了github的安装脚本,星星和分叉都很高,上边还写着在不同的系统都测试通过,我尝试着安装,确实太好用了,随便点几下就同时配置好了L2TP和PPTP,让我自己搞到话估计还需要好久,而这个脚本时间大约只用了十分钟。并且这个repository是开源的,也不用担心有病毒,这只是一些脚本文件,每一个我都能看懂它在干什么,只是我自己做到话,这么多句命令我不能保证全部一次性正确,所以需要搞很久。并且这个开源的代码是随时更新的,像我遇到的软件升级配置文件语法不一样到情形,这个脚本的用户会很快察觉到,并且提交issue快速做出更改。这也是开源共同协作到力量。 这个经历让我特别感慨,感慨到内容就是题目这句话:专业的事情,交给专业到人去做,每个人就尽力把自己到任务做到最好。像刚才配置XXX,我自己再扣下去的话也肯定能搞成,因为第一次我就是这样一步一步弄好的,可是特别的费时费力,并且是一次性的我的成绩用不了多久就被淘汰了。所以这么多时间,我把我的事情做好该多好,将机器学习自动驾驶往前推动那么一丢丢,这样其他人直接用我的成果而给他们方便很多事情。我搭建XXX就直接用他们专业人士到脚本,心情也舒畅,多好。 未来是个协作的社会,我之前所有事总要自己亲自亲为的想法似乎需要多元化一些了。大家各司其职,努力将这个社会推动向更美好。多好啊。 但是同时也是这个经历给自己到感悟,由于配置服务器我曾经全部都弄过一次,所以用网上这个脚本我能根据我的需求做很多自定义的事情,而不是像个黑盒只看这工作了而对其中到流程一无所知。在自动配置完成后我觉得有些地方默认的设置不太好,我直接就能找到它配置文件所在的地儿,并且做出我喜欢的更改,仍然特别的开心。   我所所用到脚本是这个: https://github.com/bedefaced/vpn-install

专业的事情,交给专业的人去做 Read More »

Win10连接L2TP的方式

之前写过教程架设L2TP,iOS以及Android连接很顺利,到了Win10死活连接不上。 通过查资料找到了解决方案: 1. 单击“开始”,单击“运行”,键入“regedit”,然后单击“确定” 2. 找到下面的注册表子项,然后单击它:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters 3. 在“编辑”菜单上,单击“新建”->“DWORD值” 4. 在“名称”框中,键入“ProhibitIpSec” 5. 在“数值数据”框中,键入“1”,然后单击“确定” 6. 在注册表 “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent”,新建 一个 dword类型的键 AssumeUDPEncapsulationContextOnSendRule 值为2。 7. 保存,重启计算机。 参考: https://blog.csdn.net/a_small_mouse/article/details/52036389 https://community.barracudanetworks.com/forum/index.php?/topic/26466-ipsec-windows-10-not-working/

Win10连接L2TP的方式 Read More »

XXX服务器记录登陆用户、登陆时间、登陆IP、在线时间、流量统计等信息

搞了个XXX服务器以备不时之需,服务器流量是有限额的,所以花了点时间研究了研究记录使用量功能。现在不仅可以记录每个用户用了多少流量,还可以记录下来登录时间登陆IP(PPTP有效,L2TP不知为何采集不到) 步骤很简单,在/etc/ppp/ip-up文件最下边添加下边的脚本: echo “****************************************************” >> /var/log/XXX-${1}.log echo “username: $PEERNAME” >> /var/log/XXX-${1}.log echo “clientIP: $6” >> /var/log/XXX-${1}.log echo “device: $1” >> /var/log/XXX-${1}.log echo “xxxIP: $4” >> /var/log/XXX-${1}.log echo “assignIP: $5” >> /var/log/XXX-${1}.log echo “logintime: `date -d today +%F_%T`” >> /var/log/XXX-${1}.log 在/etc/ppp/ip-down文件最下边添加下边的脚本: echo “downtime: `date -d today +%F_%T`” >> /var/log/XXX-${1}.log echo “bytes sent: $BYTES_SENT B” >> /var/log/XXX-${1}.log

XXX服务器记录登陆用户、登陆时间、登陆IP、在线时间、流量统计等信息 Read More »