Уважаемый @BlackSprut , Здравствуйте. Наверное можно как-то автоматизировать восстановление доступа к аккаунту? Или, хотя бы, что бы пользователь имел возможность вручную его заблокировать? Для последующих разбирательств? Примерное представление о степени бедлама в тикетах понять несложно, исходя из всплывающих сообщений на форуме с тегами "памагите срочна".
- Как вижу автоматизацию, и смотрю на это я?
Исходим из вводных данных, и так, что бы избежать атаки подобной "брутфорсу":
Завершая регистрацию, пользователь получает уникальный идентификатор. – Да, его наверное хрен кто записывает, я понадеюсь что таких одарённых меньшинство.
– Почему бы новых пользователей не приучить его записывать, а потом, ещё, и ручкой на листок переписать.
Исходим от обратного! Новорегу запретим покидать страничку с ID, до...
а) Новорег попадёт на Заглавную только тогда, когда придумает "Второй пароль" (ID) и впишет его в диалоговое окно. (аналог секретного вопроса, и ответа на него);
б) Новорега сразу не отпускаем, когда он нажал в диалог "подтверждаю", спрашиваем у него "Вы ID ty ID сохранили?"
Автоматизация блокировок/Быстрого восстановления доступа. На странице с авторизацией добавить диалог – суть его: Тебя взломали? Кликни меня. – пользователя пересылает на отдельный от Площадки и Форума ресурс, который необходимо будет кратко обозначить, и такой ресурс (ссылку) дать на домене БС и на Форуме.
Пользователю предстоит лёгкая процедура приостановки/восстановления доступа, где предстоит ему совершить минимальные телодвижения, а машина (бот) с точностью реагировала на запрос. Потерпевший предоставляет информацию выданный ID или введённый ID [машина рандомит, и блокирует этот вид запроса], логин, пароль, Город, примерный промежуток дат регистрации аккаунта. Пользователь выбирает галочками в диалоге действий ниже параметр (причину): например (Всего 4 пункта: Я не ставил 2Fa / Мой пароль взломан / Я утратил свой доступ к 2Fa / Мой ключ дискредитирован).
Мой выбор падает на "особую" блокировку аккаунта. Если пользователь указал точные вводные, Бот переводит его обратно на Площадку, с временными данными для входа, где ему будет предоставлен интерфейс – Чат, с автоматически созданным тикетом, что будет проще рассмотреть. Контрольный вопрос станет другой ID (или оба ID).
- Уверен, вы меня верно поняли под кавычками. Забанить аккаунт можно, и не блокируя интерфейс? Пускай злоумышленник развлекается там себе, он ведь не подозревает о том, что с момента обращения жертвы, к этому аккаунту будет представлен особый "надзор", (алгоритм слежки, машинное обучение, ChatGPT подключить к расследованию, принять действия вплоть до деанонимизации злоумышленников, извлечь полезную информацию) – заблокировать исходящую транзакцию на аккаунт. Ваши IT специалисты, уверен, способны нечто такое организовать, а у СБ будут новые механизмы защиты Чести и Достоинства BlackSprut.
p.s. Волне фишинга необходимо дать серьёзный отпор, и тут виден чей-то хитрый след. Мы , как и Вы, понимаем, что страдает в первую очередь, репутация экосистемы...
С Уважением, Broadsoniens