我建议实施 Visa 和 Mastercard 3DSecure 验证。

向您的收单行询问有关在您的商家帐户上启用这些服务的信息。如果通过了正确的 VbV/3DS 密码/OTP 身份验证，这两项服务将把责任转移给客户。

您还可以选择拒绝未启用 VbV/3D 的卡，或者您可以通过这些交易并承担拒付风险。

如果由于法律等原因，您仅提供的金融服务在特定国家/地区“可用”，我建议在您的网站上设置 geoIP 锁定，并询问您的收单机构（或者如果他们提供，请在您的商家控制面板中进行设置）此类设施）锁定，因此仅接受在 X 国发行的卡。

如果您还想使用 AVS（地址验证系统），我建议用户必须在注册时输入他们的帐单地址，然后您发送一封带有激活帐户所需的一次性代码的实体邮件。然后只能使用此帐单地址。更改帐单地址会停用帐户并向新地址发送新的蜗牛邮件代码。这也为客户增加了便利（他不需要一直输入他的账单地址）、可审计性（您有一个真实的地址供客户在欺诈的情况下向警方提供）和安全性（因为地址都通过蜗牛邮件和信用卡验证）。

这应该是一个评论，但它变得有点长......

我认为我可以在大约 30 分钟内将这样的图片伪造到需要有能力的数据取证专家才能发现的程度。我没有专业技能/工具。

而且您似乎对您要在这里保护的内容感到困惑。这是传输未加密的信用卡最后 4 位数字的泄漏，但非常轻微。它与您试图解决的威胁（即验证卡所有权）正交。

因此，我认为您所做的不会增加任何价值，但我认为它不会造成任何重大伤害。

“我们只要求提供帐单地址”——但您还有许多其他信息可用于识别欺诈行为——源 IP、HTTP 标头、用户代理、请求的产品、时间、导航模式。您可以轻松添加额外的捕获，例如验证的电子邮件地址、浏览器指纹。虽然这些不能防止欺诈的第一次发生，但它们可以用来防止重复发生的欺诈。