如何防止新访问者的网站奖励游戏

Question

我即将着手建立一个网站，公司希望用礼物奖励新访问者。这份礼物有一定的货币价值，我担心该网站被玩弄了。我正在寻找方法来帮助减少任何人耗尽整个礼物库存的机会。

计划要求与 Facebook 集成，因此使用您的 FB 凭据进行身份验证至少可以让您确信新访问者实际上是一个真实的人（假设编写脚本创建 100 个 FB 帐户，然后使用它们不是简单的任务）。

但是，还需要奖励没有 FB 帐户的新访客，这就是我寻找想法的地方。电子邮件验证系统本身不会解决它，因为它非常容易获得无数的电子邮件地址（me+1@gmail.com、me+2@gmail.com 等）。有人告诉我，要求提供信用卡号码是一个太大的障碍。

是否有一些相当可靠的策略或服务来处理此类情况？

编辑：“礼物”是虚拟的——就像一张优惠券

Answer 1

最终，这是一场艰难的、失败的战斗。如果有动力去打败这个系统，就会有人尝试，他们最终会成功。 （例如：每个已实施的 DRM 方案。）

也就是说，有一些策略可以降低游戏系统的易用性。

• 我真的不认为 FB 帐户是 安全的。创建一个新的 FB 帐户的障碍可能比创建一个新的 webmail 帐户高得可以忽略不计。
• 按IP地址过滤注定是一场灾难。单个 IP 地址（咳，AOL）的代理背后可能有成千上万的用户，并且诈骗者可以使用僵尸网络将每个帐户请求分发到唯一的 IP。抢先阻止 IP 可能会带来更多麻烦，但您可以稍后（例如，在实际发送奖励之前）分析请求，以查看某个 IP 是否存在大量可疑行为。
• 要求提供信用卡号是一个好的开始，但您已经排除了这种可能性。另请考虑，在实际信用卡、借记卡和一次性卡号之间，一个人可以拥有 10 个或更多卡号。
• 考虑通过 SMS 向 PSTN 号码发送验证码。这将花费您一些钱（每条消息几美分），但诈骗者也会花费大量零钱来获取大量电话号码来接收这些消息。 （根据您的奖励价值，预付费 SIM 卡的成本可能会使其成本过高。）当然，如果诈骗者已经拥有许多可接收 SMS 的 PSTN 号码，那么这将行不通。

Answer 2

首先我想知道这些礼物是否需要发送到实际地址。欺骗 100 个电子邮件地址或 FB 帐户很容易，但很明显，想出 100 个明显独特的物理地址要困难得多。

当然，您可能会给他们一张电子优惠券或其他东西，因此地址可能不是一个选项。

曾几何时，我为竞赛评审工具编写了一个非常激烈的反游戏脚本。虽然这是几个月的开发，而且过于复杂，无法详细描述，但我可以概述脚本的基本特征：

首先，当用户申请比赛时，我们会记录所有细节。通过从一组标准（如 IP、浏览器等）中考虑登录/提交之间的平均时间，很容易在帐户中发现明显的相似之处（所有这些都可以被欺骗，因此它们本身是不可靠的）。此外，我通过使用不仅可靠的levenshtein 距离的组合以及分解的解析脚本，比较了明显游戏的帐户凭据 - 例如 acct1@yahoo.com、acct2@yahoo.com 等凭据的各种详细信息并寻找模式。

根据每次测试的分数，我们分配了游戏概率以及可能的帐户匹配列表。然后由管理员将它们从结果中排除。

您可能会持续数月来完善您的算法，但永远无法使其完美。这就是为什么我的脚本只标记帐户并且没有采取任何自动操作的原因。

Answer 3

既然您说的是库存，那么我们可以假设您的礼物是实际的实物吗？

如果是这样，那么送礼将需要一个实际的送达地址 - 要求唯一的地址（或者，允许重复地址但标记这些用户以供人工审核）应该是一个很好的限制。

我的前提是：虽然理论上您可以运行脚本来创建 100 个 Facebook 或 Google 帐户，但对数百个不同的现实世界交付地点进行物理控制是完全不同的问题。

Answer 4

我会建议一个更“真实世界”的解决方案，而不是所有的安全措施：明确表示每个地址只有一张优惠券。 Fysical（交货和/或付款）地址。然后随心所欲地做，也许通过电子邮件或其他方式来限制它的外观，但最后，限制它是针对每个真正的最终用户，而不是每个接收优惠券的人。