在过去的几周里,Advanced WordPress Facebook (AWP) 小组的成员一直在讨论打击 Stripe 卡测试欺诈的方法。 WordPress 开发人员 Jon Brown 在看到五个不同网站的欺诈指控后开启了这个话题,其中四个使用 WooCommerce,一个使用 Leaky Paywall 平台。
“当它第一次发生时,所有五个人都在 Cloudflare 上并开启了机器人战斗模式,”布朗说。 “我已经为所有 5 个都添加了验证码,并且在购物车/结帐页面上启用了 CloudFlare 的‘Under Attack’模式。”
WooCommerce 网站没有再次出现,但 Leaky Paywall 网站出现了出现。布朗说客户没有注意到,因为他的垃圾邮件文件夹中有 Stripe 电子邮件。
“它持续了两周,直到负载激增导致网站离线,我注意到了,”他说。 “大约 1200 笔交易以 2.99 美元的价格成功完成,其中 10 万笔交易被阻止。”
布朗表示,他不明白为什么 Stripe 没有识别并阻止欺诈性收费,因为他们都遵循了类似的用法随机 Gmail 地址的模式。他的客户不得不对其中大约 100 笔交易提出异议。
“每次争议的解决费为 15 美元,”布朗说。 “每次无争议的退款需要 0.40 美元的费用,因为 Stripe(就像现在的 PayPal)保留了费用。
”所以 100 * 15 美元 + 1100 美元 * 0.40 美元 = 1940 美元的费用损失收入,这显然是在每次欺诈退款后 2.99 美元交易。这意味着 3,600 美元的欺诈(2.99 美元 * 1,200 美元)仅导致净损失 1,940 美元——这太疯狂了。
对话中还有很多其他的开发者也受到了类似的攻击,有的安装了蜜罐,并没有阻止什么。一个建议使用 WooCommerce 欺诈预防插入。它允许店主阻止来自特定 IP 地址、电子邮件、地址、州和邮政编码的订单请求。一旦攻击开始,这可能会有所帮助,但不会完全阻止它们。一些开发人员已成功阻止使用商业插件 WooCommerce 验证码的攻击,实施 Google 的 reCaptcha V2(复选框)和 reCaptcha V3 以阻止未经授权的登录尝试、虚假注册、虚假访客订单和其他自动攻击。
“我们遇到了问题,”WordPress 开发人员 John Montgomery 说。“这是黑客/小偷检查有效卡号列表的一种方式。一旦他们验证该卡在网站上有效,他们就可以用它来购买真实的产品。最后,这是一个很大的烦恼,但老实说,这最终对我们来说并不是什么大问题,因为我们有数字内容,而他们对此并不真正感兴趣。 "
Montgomery 安装了一个名为 WooCommerce 的限价订单,由 Nexcess 开发,它禁止在达到某个阈值后下订单。
"我将其设置为每小时 x 个订单(高于任何历史数字)......因此,如果我们在一小时内收到 100 个订单,它将关闭订单,”他说。“这有点大锤,但它确实帮助了我们一次。
虽然许多店主不愿在结账过程中增加任何摩擦,但技术顾问 Jordan Trask 建议要求客户在继续操作和验证电子邮件之前创建帐户。他写了一份应对卡测试攻击的指南。
“规则的重点是阻止除你服务的国家以外的所有国家,”特拉斯克说。 “但是,对于 WooCommerce,我会为购物车和结账设置一个 JS 托管挑战。
“Cloudflare 中内置的速率限制可能会有所帮助,但它更多地是基于请求而不是基于 IP 的基础需求。如果请求来自同一 IP 地址,您可以查看每个订单的 IP 限制,因为电子邮件每次都不一样。”
GitHub 上提供的这个 Checkout Rate Limiter 插件为基于 IP 地址的 WooCommerce 结账提供结账速率限制。
Trask的指南也推荐Check调查欺诈性收费时的支付处理器日志:
请始终检查您的支付处理器日志以验证发生费用的位置。暂存站点上可能有一个生产 API 密钥,或者您的站点被黑客入侵并且 API 密钥被盗。大多数支付处理商将在其日志中提供更多详细信息以及其他信息。
WordPress 开发人员 Rahul Nagare 建议查看 Stripe 的 Radar Fraud Protection,它使用机器学习来提供高级保护和识别欺诈者。
“这将允许您在 Stripe 上设置自定义规则以拒绝可疑交易,”Nagare 说。 “这曾经是 Stripe 的一项免费服务,但他们去年改变了它。我会考虑阻止所有风险评分高于平均水平的交易,也许是卡测试员所在的区域。”
WooCommerce 的文档 有一个 Response Card Testing Attack,其中包含许多在最近的 AWP 线程中讨论的相同建议。验证码插件是第一道防线。它还建议避免使用现收现付或无最低限额的捐赠产品,因为这些产品通常针对持卡人可能会错过的小额交易进行卡测试。及时退款任何成功的欺诈订单将减少争议的可能性。
类别:电子商务、新闻
资源
