В течение последних нескольких недель члены группы Advanced WordPress Facebook (AWP) обсуждали методы борьбы с мошенничеством с Stripe Card Testing. Разработчик WordPress Джон Браун открыл эту тему после того, как увидел мошеннические платежи на пяти различных веб-сайтах, в том числе на четырех с использованием WooCommerce и на одном с использованием платформы Leaky Paywall.
«Все пятеро были на Cloudflare с включенным режимом боя с ботом, когда это впервые произошло», — сказал Браун. «Я добавил CAPTCHA ко всем 5, я включил режим CloudFlare «Под атакой» на странице корзины/оформления заказа».
У сайтов WooCommerce не было повторения, но у сайта Leaky Paywall было. Браун сказал, что клиент этого не заметил, так как электронные письма Stripe попадали в его папку со спамом.
«Это продолжалось две недели, пока скачок нагрузки не отключил сайт, и я это заметил», — сказал он. «Около 1200 успешных транзакций на сумму 2,99 доллара США, из которых 100 000 заблокированы».
Браун сказал, что не понимает, почему Stripe не распознает и не блокирует мошеннические платежи, поскольку все они следуют одному и тому же шаблону с использованием случайного адреса Gmail. Его клиенту пришлось оспорить около 100 таких транзакций.
«Разрешение каждого спора стоит 15 долларов, — сказал Браун. «Каждый неоспариваемый возврат стоит 0,40 доллара, поскольку Stripe (как сейчас PayPal) удерживает комиссию.
«Таким образом, 100 * 15 долларов США + 1100 * 0,40 доллара США = 1940 долларов США в виде упущенной выгоды из-за сборов, и это, очевидно, ПОСЛЕ возмещения 2,99 долларов США за мошенническую транзакцию. Это означает, что мошенничество на 3600 долларов (2,99 * 1200) только что привело к чистому убытку в размере 1940 долларов — это безумие».
Многие другие разработчики, участвовавшие в разговоре, столкнулись с подобными атаками, некоторые с установленными приманками, которые ничего не предотвратили. Один рекомендовал использовать плагин WooCommerce Fraud Prevention . Это позволяет владельцам магазинов блокировать заказы с определенных IP-адресов, адресов электронной почты, адресов, штатов и почтовых индексов. Это может помочь после начала атак, но не предотвращает их полностью. Некоторым разработчикам удалось остановить атаки с помощью reCaptcha for WooCommerce , коммерческого плагина, который реализует reCaptcha V2 (флажок) и reCaptcha V3 от Google, чтобы остановить такие вещи, как несанкционированные попытки входа в систему, поддельные регистрации, поддельные гостевые заказы и другие автоматические атаки.
«Мы столкнулись с этим около года назад», — сказал разработчик WordPress Джон Монтгомери. «Это способ для хакеров/воров проверить список номеров карт на наличие действительных. Как только они подтвердят, что карта работает на сайте, они могут использовать ее для покупки товаров за реальные деньги. В конце концов, это большое раздражение, но, честно говоря, для нас это не имеет большого значения, потому что у нас есть цифровые продукты, а они на самом деле не интересовались ими».
Монтгомери установил плагин Limit Orders for WooCommerce , разработанный Nexcess, который запрещает заказы после достижения определенного порога.
«Я настроил его на x заказов в час (выше любых исторических цифр)… поэтому, если мы получим, скажем, 100 заказов в час, он отключит заказы», — сказал он. «Это что-то вроде кувалды, но однажды она нам уже помогла».
Хотя многие владельцы магазинов не решаются добавлять какие-либо сложности в процесс оформления заказа, консультант по технологиям Джордан Траск рекомендует требовать от покупателей создания учетных записей, прежде чем продолжить и проверять электронную почту. Он написал руководство по борьбе с атаками при тестировании карт .
«Суть правил — блокировать все страны, кроме тех, которые вы обслуживаете», — сказал Траск. «Однако для WooCommerce я бы поставил JS Managed Challenge для корзины и оформления заказа.
«В Cloudflare встроено ограничение скорости, которое может помочь, но оно больше основано на запросе, а не на заказе, что вам нужно потенциально на основе IP. Если запросы приходят с одного и того же IP-адреса, вы можете просмотреть лимитные заказы для каждого IP-адреса, поскольку электронная почта каждый раз отличается».
Плагин Checkout Rate Limiter , доступный на GitHub, предлагает ограничение скорости оформления заказа WooCommerce на основе IP-адреса.
Руководство Trask также рекомендует проверять журналы платежных систем при расследовании мошеннических списаний:
Всегда проверяйте журналы платежной системы, чтобы узнать, где создаются платежи. Возможно, существует промежуточный сайт с рабочими ключами API, или ваш сайт был взломан, и ключи API были украдены. Большинство платежных систем будут иметь более подробную информацию в своих журналах с дополнительной информацией.
Разработчик WordPress Рахул Нагаре рекомендует проверить защиту от мошенничества Stripe Radar , которая использует машинное обучение для обеспечения расширенной защиты и выявления мошенников.
«Это позволит вам настроить собственные правила в Stripe для отклонения подозрительных транзакций», — сказал Нагаре. «Раньше это был бесплатный сервис Stripe, но в прошлом году его изменили. Я бы рассмотрел возможность блокировки всех транзакций с оценкой риска выше среднего и, возможно, региона тестировщиков карт».
В документации WooCommerce есть раздел, посвященный реагированию на атаки по тестированию карт , в котором содержатся многие из рекомендаций, обсуждавшихся в недавней ветке AWP. Плагин CAPTCHA — это первая линия защиты. Он также рекомендует избегать продуктов «плати сколько хочешь» или продуктов для пожертвований без минимального минимума, поскольку эти продукты часто предназначены для тестов карт с небольшими транзакциями, которые держатели карт могут пропустить. Быстрое возмещение любых успешных мошеннических заказов уменьшит вероятность споров.
