在過去一段時間里,Advanced WordPress Facebook (AWP) 小組的成員一直在討論打擊 Stripe Card Testing 欺詐的方法。 WordPress 開發人員 Jon Brown 在看到五個不同網站上的欺詐指控后開啟了這個話題,其中四個使用 WooCommerce,一個使用 Leaky Paywall 平臺。
“當它第一次發生時,所有五個人都在Cloudflare上開啟了機器人戰鬥模式,”布朗說。 “我已經將 CAPTCHA 添加到所有 5 個中,我在購物車/結帳頁面上啟用了 CloudFlare 的’Under Attack’模式。”
WooCommerce 網站沒有再次出現,但 Leaky Paywall 網站出現了。 Brown 說客戶沒有注意到它,因為他將 Stripe 電子郵件放到了他的垃圾郵件資料夾中。
“這種情況持續了兩周,直到負載激增導致網站離線,我才注意到這一點,”他說。 “大約 1,200 次成功交易,價格為 2.99 美元,其中 100,000 次被阻止。”
Brown 說他不明白為什麼 Stripe 不識別和阻止欺詐性收費,因為它們都遵循使用隨機 Gmail 位址的相似模式。 他的客戶不得不對其中大約 100 筆交易提出異議。
“解決每起糾紛需要 15 美元,”布朗說。 “每筆無爭議的退款費用為 0.40 美元,因為 Stripe(就像現在的 PayPal)保留了這筆費用。
“所以 100 * 15 美元 + 1100 * 0.40 美元 = 1940 美元的費用收入損失,這顯然是在還退還每筆欺詐交易 2.99 美元之後。 這意味著 3,600 美元的欺詐(2.99 美元 * 1200 美元)僅導致 1940 美元的凈損失——這太瘋狂了。 ”
對話中的許多其他開發人員都遭到了類似攻擊,其中一些使用了無法阻止任何事情的蜜罐。 一個建議使用WooCommerce 欺詐預防外掛程式。 它允許店主阻止來自特定IP位址、電子郵件、位址、州和郵遞區編碼的訂單。 一旦攻擊開始,這可能會有所説明,但不能完全阻止它們。 一些開發人員使用reCaptcha for WooCommerce成功阻止了攻擊,這是一個商業外掛程式,實現了 Google 的 reCaptcha V2(複選框)和 reCaptcha V3,以阻止未經授權的登錄嘗試、 虛假註冊、虛假訪客訂單和其他自動攻擊。
“大約一年前,我們遇到了這個問題,”WordPress 開發人員約翰·蒙哥馬利 (John Montgomery) 說。 “這是駭客/小偷檢查有效卡號列表的一種方式。 一旦他們確認該卡在網站上有效,他們就可以用來購買真實的產品。 最後,這是一個很大的煩惱,但老實說,最終對我們來說並不是什麼大不了的事,因為我們有數字產品,而他們對這些並不真正感興趣。 ”
Montgomery 安裝了一個名為Limit Orders for WooCommerce的外掛程式,該外掛程式由 Nexcess 開發,可在達到特定閾值后禁止下單。
“我將其設置為每小時 x 個訂單(高於任何歷史數位)…… 因此,如果我們在一小時內收到 100 個訂單,它將關閉訂單,“他說。 “這有點像一把大錘,但它確實幫助過我們一次。”
儘管許多店主不願在結帳過程中增加任何摩擦,但技術顧問 Jordan Trask 建議要求客戶在繼續之前創建帳戶並驗證電子郵件。 他寫了一份關於處理卡片測試攻擊的指南。
“規則的要旨是阻止除你服務的國家以外的所有國家,”特拉斯克說。 “但是,對於 WooCommerce,我會為購物車和結賬設置一個 JS 託管驗證。
“Cloudflare 內置的速率限制可能會有所説明,但它更多的是基於請求而不是基於IP的訂單,這可能是您需要的。 如果請求來自相同的IP位址,您可以查看每個IP的限制訂單,因為每次的電子郵件都不同。 ”
GitHub 上提供的Checkout Rate Limiter外掛程式基於IP位址對 WooCommerce 結帳提供結賬速率限制。
Trask 的指南還建議在調查欺詐性收費時檢查支付處理器日誌:
始終檢查您的支付處理器日誌以驗證在何處創建費用。 暫存網站可能存在生產 API 金鑰,或者您的網站被黑,API 金鑰被盜。 大多數支付處理商將在其日誌中提供更多詳細資訊和其他資訊。
WordPress 開發人員 Rahul Nagare 建議查看Stripe 的 Radar 欺詐保護,它使用機器學習來提供高級保護和欺詐者識別。
“這會讓你在 Stripe 上設置自定義規則以拒絕可疑交易,”Nagare 說。 “這曾經是 Stripe 的一項免費服務,但他們去年對其進行了更改。 我會考慮阻止風險評分高於平均水準的所有交易,也許還有卡測試員的區域。 ”
WooCommerce 的文檔有一個關於回應Stripe Card Testing 的部分,其中有許多與最近的 AWP 線程中討論的相同的建議。 驗證碼外掛程式是第一道防線。 它還建議避免按需支付或沒有最低限額的捐贈產品,因為這些產品通常針對持卡人可能會錯過的小額交易進行卡片測試。 迅速退款任何成功的欺詐訂單將減少糾紛的可能性。