Представим, что вы владелец одной из 100500-миллионной доски объявлений по недвижимости. Вы чувствуете, что тема перспективная, бабла на рынке крутится много, вам хочется заработать и быть счастливым. Для монетизации вашего сайта у вас, допустим, есть распространённый приём: деление аккаунтов на «пользовательские» (публиковать можно только одно объявление), т.е. бесплатные, и «профессиональные», т.е. аккаунты продавцов, за деньги.
Некоторые нехорошие продавцы (поскольку они нехорошие, то будем и нехорошим словом их дальше называть — «мошенники»), в свою очередь, тоже хотят зарабатывать и не хотят вам платить.
В результате вы каждое утро получаете на свой сайт очередную тонну шлако-объявлений от «псевдочастников», которые только отпугивают пользователей вашего сайта (они же ищут частников, а в каждом втором объявлении попадают на очередного мошенника), а значит и ударяют по вашей прибыли.
Большинство подобных сайтов, в том числе самые крупные и известные, используют один более или менее схожий способ:
Некоторые сайты также ставят Cookie пользователю, иногда ещё сохраняют его IP. Но всё это малодейственно: мегатонны объявлений от мошенников продолжают валиться каждое утро на сайт.
Самое плохое здесь то, что мы рассматриваем ситуацию с позиции идеального, справедливого мира. Мы ожидаем, что мошенник, увидев как его забанили, уйдёт и не будет больше пытаться добавить объявление.
Мне ли вам говорить, что мир — это не коробка шоколадных конфет? Мошенники становятся всё более грамотными: встретившись с такой защитой, они, словно настоящие хакеры, начинают искать обход защиты. Удаляют кукисы, меняют браузер, подключаются через прокси, покупают на улице тонны «левых» симок и дальше ломятся на ваш сайт (неудивительно, ведь они на этом неплохо зарабатывают).
Самый эффективный способ борьбы (у меня он работает в разы лучше других способов): это сделать иллюзию для мошенника, что он «победил». Но только иллюзию.
Что это значит?
Это значит, что мы:
Что значит «полускрытое объявление»? Это значит оно не видно никому, кроме самого владельца объявления (в нашем случае мошенника). Незалогиненным пользователям оно также не видно. Что особенно важно: для самого мошенника мы это объявление показываем так, будто оно абсолютно нормально опубликовано и показывается наряду с объявлениями прочих пользователей на сайте.
Итог: мошенник думает, что он обхитрил нас, всё у него успешно добавилось и со спокойной душой идёт к следующей жертве-доске. А для прочих («хороших») пользователей, сайт остаётся абсолютно чистым: всего этого лохотрона они не видят.
Что если мошенник разлогинился? Он увидит, что объявления нет?
Нет, ведь мы его определим по установленным Cookie.
Но что если он очистит и кукисы?
Для этого мы запоминали максимум идентифицирующей информации о нём. Теперь, если он не обнаружит своего объявления, и попытается добавить его с другим номером, мы по той информации определим его и добавим его новый номер телефона в чёрный список тоже.
Но что если он удалит кукисы, сменит браузер, подключит проксисменит пол?
Предлагаемое мною решение — конечно же не панацея. Можно напридумывать ещё много своих способов идентификации мошенника, но ни один из них на 100% не избавит от негодяев. Ручная работа для модераторов всё равно останется, но теперь её станет существенно меньше.
Почему вы так уверены, что мошенники не сразу просекут хитрость?
Потому что их работа тоже заключается не в одном только вашем сайте. После каждой доски объявлений очищать кукисы/менять прокси/менять юзер-агент/менять номер телефона — это вся работа для них встанет.
P.S.: благодарю, что смогли дочитать это жуткое полотно текста до сих строк, надеюсь я потратил несколько минут вашей жизни не зря.
P.P.S.: попрекающие меня в том, что я написал топик с Q&A, вы заметили, что вообще-то я и был автором ответа на тот вопрос?
Некоторые нехорошие продавцы (поскольку они нехорошие, то будем и нехорошим словом их дальше называть — «мошенники»), в свою очередь, тоже хотят зарабатывать и не хотят вам платить.
В результате вы каждое утро получаете на свой сайт очередную тонну шлако-объявлений от «псевдочастников», которые только отпугивают пользователей вашего сайта (они же ищут частников, а в каждом втором объявлении попадают на очередного мошенника), а значит и ударяют по вашей прибыли.
Какой самый распространённый способ борьбы с такими мошенниками?
Большинство подобных сайтов, в том числе самые крупные и известные, используют один более или менее схожий способ:
- определяем, что под объявлением скрывается мошенник;
- заносим его контактный номер телефона в чёрный список;
- при следующей попытке добавить объявление с таким номером телефона, говорим пользователю «атата!» и отказываемся добавлять его объявление.
Некоторые сайты также ставят Cookie пользователю, иногда ещё сохраняют его IP. Но всё это малодейственно: мегатонны объявлений от мошенников продолжают валиться каждое утро на сайт.
В чём главная ошибка такого подхода?
Самое плохое здесь то, что мы рассматриваем ситуацию с позиции идеального, справедливого мира. Мы ожидаем, что мошенник, увидев как его забанили, уйдёт и не будет больше пытаться добавить объявление.
Мне ли вам говорить, что мир — это не коробка шоколадных конфет? Мошенники становятся всё более грамотными: встретившись с такой защитой, они, словно настоящие хакеры, начинают искать обход защиты. Удаляют кукисы, меняют браузер, подключаются через прокси, покупают на улице тонны «левых» симок и дальше ломятся на ваш сайт (неудивительно, ведь они на этом неплохо зарабатывают).
Как более эффективно бороться с таким явлением?
Самый эффективный способ борьбы (у меня он работает в разы лучше других способов): это сделать иллюзию для мошенника, что он «победил». Но только иллюзию.
Что это значит?
Это значит, что мы:
- определяем, что вот этот пользователь — мошенник;
- несмотря на это, добавляем в БД его объявление, но делаем его «полускрытым»;
- ставим ему бессрочные Cookie, что он — мошенник;
- запоминаем текущее время и максимум уникальной информации о нём (IP, User-agent, e-mail и пр.).
Что значит «полускрытое объявление»? Это значит оно не видно никому, кроме самого владельца объявления (в нашем случае мошенника). Незалогиненным пользователям оно также не видно. Что особенно важно: для самого мошенника мы это объявление показываем так, будто оно абсолютно нормально опубликовано и показывается наряду с объявлениями прочих пользователей на сайте.
Итог: мошенник думает, что он обхитрил нас, всё у него успешно добавилось и со спокойной душой идёт к следующей жертве-доске. А для прочих («хороших») пользователей, сайт остаётся абсолютно чистым: всего этого лохотрона они не видят.
Что если мошенник разлогинился? Он увидит, что объявления нет?
Нет, ведь мы его определим по установленным Cookie.
Но что если он очистит и кукисы?
Для этого мы запоминали максимум идентифицирующей информации о нём. Теперь, если он не обнаружит своего объявления, и попытается добавить его с другим номером, мы по той информации определим его и добавим его новый номер телефона в чёрный список тоже.
Но что если он удалит кукисы, сменит браузер, подключит прокси
Предлагаемое мною решение — конечно же не панацея. Можно напридумывать ещё много своих способов идентификации мошенника, но ни один из них на 100% не избавит от негодяев. Ручная работа для модераторов всё равно останется, но теперь её станет существенно меньше.
Почему вы так уверены, что мошенники не сразу просекут хитрость?
Потому что их работа тоже заключается не в одном только вашем сайте. После каждой доски объявлений очищать кукисы/менять прокси/менять юзер-агент/менять номер телефона — это вся работа для них встанет.
P.S.: благодарю, что смогли дочитать это жуткое полотно текста до сих строк, надеюсь я потратил несколько минут вашей жизни не зря.
P.P.S.: попрекающие меня в том, что я написал топик с Q&A, вы заметили, что вообще-то я и был автором ответа на тот вопрос?
