@logicalscope 提出了一些很好的建议，但总的来说，您仍然必须处理一个冷酷的事实：

从技术上讲，即使是这个尼日利亚王子也是一个完全有效的用户。

他唯一的问题是他不拥有他提供的信用卡——尽管他提供了所有必要的验证。
这实际上是信用卡系统本身的失败 - 将what you know（CC号码）视为something you have（信用卡本身）。
而且，由于这些数字几乎属于公共领域（即您将它们提供给许多网站，您将实体卡交给超市的收银员和加油站的服务员等），因此不应将了解它们视为卡所有权证明。

底线，正式地你应该能够依赖所提供的证明，不幸的是存在退款的小问题。所以，基本上，信用卡公司都在做他们最擅长的事情——从两个方向把你搞砸:)。

除了咆哮，您实际上可以做些什么来避免向不属于提供 CHD 的人所有的卡收费？
好吧，不多（我很高兴没有人建议 CAPTCHA....）但是，您将最低费用作为所有权证明形式的想法是一个非常好的想法。

它与 Paypal 的方法非常相似，实际上我建议按照他们的方向稍微修改您的方案。注册 (IIRC) 时，会收取一笔小额费用。金额不是秘密，因为只有这么多的金额可以在亚美元范围内进行......相反，他们要求您提供交易编号，该编号显示在您的信用卡报告中。获得访问权限的唯一方法是接收持卡人的邮件，或者访问 CC 提供商的消费者门户。作为记录，他们还会在您注册后退还该美元。

正如@logicalscope 所建议的那样，您可能只想对具有潜在风险的帐户实施此操作 - 例如通过 IP 地理定位。

我认为您应该研究的另一种可能性是外包卡验证。要么只接受 Paypal 账户，要么使用第 3 方验证系统。这会将责任转移给其他人，让其他人直接为您接受付款（ala VBV/3Dsecure）。

您可能拥有的唯一技术解决方案是在某种形式的垃圾邮件代理中训练用户数据（例如姓名、地址、IP 等信息）。与垃圾邮件分类器类似，这可用于创建您需要的“邪恶图灵测试”。您可以考虑将其视为垃圾邮件问题，并查看针对垃圾邮件、短信垃圾邮件、社交媒体/论坛垃圾邮件等存在哪些类型的解决方案。主要问题是可用数据的数量和质量。

否则，根据您的描述，听起来似乎所有技术特征都得到了满足，而人为因素却没有。如果上述选项失败，在这种情况下，我通常会提出支持和反对特定行动的商业案例。

1. 相对于退款、商家账户丢失、声誉风险等的成本，您希望从尼日利亚 IP 获得多少收入？删除尼日利亚 IP 是否会占预期恶意用户的 XX%？显然这对代理没有帮助，但你可以得到大多数情况。

2. 诈骗者发送的信息是否明显是垃圾邮件？

3. 您能否对总用户群的一部分应用更严格的检查，例如 SMS 和低于美元的费用？也就是说，您已将尼日利亚（可能还有其他国家）确定为您关注的主要领域。为什么要采取严厉措施将其他“更有信誉”的国家包括在内？

4. 你能反向查找IP吗？大多数合法用户都解决了吗？非合法用户是否解析到特定域或知名代理？

5. 您是否能够通过“X-Forwarded”或“X-Client-IP”或此类 HTTP 标头检测代理的使用？这也将捕获潜在的合法用户，但同样，您可以将此措施与其他信息相结合。

当然，如果上述任何一项检查失败，您甚至不需要完全关闭用户。只需将它们移至审查队列，然后将它们与其他看起来合法的请求分开处理。花钱请人审查这些数据是否比允许它通过更便宜？有时，这一切都归结为业务案例。

您可以考虑要求与您建立帐户的用户通过基于 SMS 的验证来验证他们的电话号码。

您可能需要将每个帐户链接到唯一的电话号码（不用于任何其他帐户）。

而且，更重要的是，如果您检测到欺诈行为（例如，信用卡拒付），您可以阻止该电话号码用于将来的帐户，并关闭使用该电话号码的任何现有帐户。这样，如果尼日利亚诈骗者可以使用 4 或 5 部电话，他可以设置 4 或 5 个帐户并诈骗您 4 或 5 次，但这可能会被洗掉。如果他想继续开设新账户，他将不得不不断获得新手机，这提高了攻击的门槛。

您能否将 SMS 方面作为该过程中潜在的第二个因素？猜测一下，您是否可以使用卡的 BIN 号码来定位发卡银行所在的国家/地区，然后要求您在该国家/地区提供一个有效的电话号码，您可以向该国家/地区发送 SMS 消息并要求输入该号码以验证帐户。

它仍然可以绕过（在目标国家/地区获得一个 VOIP 帐户以接收 SMS），但可能会提高一点标准。

理论上，您也可以将 VOIP 提供商列入黑名单作为 SMS 消息的接收者。根据您的客户群，这可能是不可能的，但对于您的欺诈者来说，这又会使事情变得更加棘手。