在过去的几周里,Advanced WordPress Facebook (AWP) 小组的成员一直在讨论打击 Stripe Card Testing 欺诈的方法。WordPress 开发人员 Jon Brown 在看到五个不同网站上的欺诈指控后打开了这个话题,其中四个使用 WooCommerce,一个使用 Leaky Paywall 平台。
“当它第一次发生时,所有五个人都在 Cloudflare 上,并开启了机器人战斗模式,”布朗说。“我已经将验证码添加到所有 5 个中,我已经在购物车/结帐页面上启用了 CloudFlare 的‘Under Attack’模式。”
WooCommerce 网站没有再次出现,但 Leaky Paywall 网站却出现了。布朗说,客户没有注意到,因为他的垃圾邮件文件夹中有 Stripe 电子邮件。
“它持续了两周,直到负载高峰使网站离线,我注意到了,”他说。“以 2.99 美元的价格成功完成了大约 1,200 笔交易,其中 100,000 笔交易被阻止。”
布朗说,他不明白为什么 Stripe 不识别和阻止欺诈性收费,因为它们都遵循使用随机 Gmail 地址的类似模式。他的客户不得不对其中大约 100 笔交易提出异议。
“每项争议的解决费用为 15 美元,”布朗说。“每笔无争议的退款费用为 0.40 美元,因为 Stripe(就像现在的 PayPal)保留了费用。
“所以 100 * 15 美元 + 1100 美元 * 0.40 美元 = 1940 美元的费用收入损失,这显然是在退还每笔欺诈交易 2.99 美元之后。这意味着 3,600 美元的欺诈(2.99 美元 * 1200 美元)就导致 1940 美元的净损失——这太疯狂了。”
对话中的许多其他开发人员也受到了类似攻击,其中一些安装了蜜罐,但并没有阻止任何事情。一个建议使用WooCommerce 欺诈预防插件。它允许商店所有者阻止来自特定 IP 地址、电子邮件、地址、州和邮政编码的订单。一旦攻击开始,这可能会有所帮助,但不能完全阻止它们。一些开发人员使用reCaptcha for WooCommerce成功阻止了攻击,这是一个商业插件,实现了 Google 的 reCaptcha V2(复选框)和 reCaptcha V3,以阻止未经授权的登录尝试、虚假注册、虚假客人订单和其他自动攻击。
“我们大约在一年前遇到了这个问题,”WordPress 开发人员 John Montgomery 说。“这是黑客/小偷检查有效卡号列表的一种方式。一旦他们确认该卡在网站上有效,他们就可以用来购买真实的产品。最后,这是一个很大的烦恼,但老实说,最终对我们来说并不是什么大不了的事,因为我们有数字产品,而他们对这些并不真正感兴趣。”
Montgomery 安装了一个名为Limit Orders for WooCommerce的插件,该插件由 Nexcess 开发,在达到某个阈值后禁止下单。
“我将其设置为每小时 x 个订单(高于任何历史数字)……所以如果我们在一小时内收到 100 个订单,它将关闭订单,”他说。“这有点像大锤,但它确实曾经帮助过我们一次。”
尽管许多店主不愿在结账过程中增加任何摩擦,但技术顾问 Jordan Trask 建议要求客户在继续和验证电子邮件之前创建帐户。他写了一本关于处理信用卡测试攻击的指南。
“规则的要点是封锁除你所服务的国家以外的所有国家,”特拉斯克说。“但是,对于 WooCommerce,我会为购物车和结账设置 JS 托管挑战。
“Cloudflare 中内置的速率限制可能会有所帮助,但它更多地基于请求,而不是基于 IP 的潜在需求。如果请求来自相同的 IP 地址,您可以查看限制每个 IP 的订单,因为电子邮件每次都不同。”
GitHub 上提供的Checkout Rate Limiter插件提供了基于 IP 地址的 WooCommerce 结帐的结帐率限制。
Trask 的指南还建议在调查欺诈性收费时检查支付处理器日志:
始终检查您的支付处理器日志,以验证费用是在哪里产生的。暂存站点可能存在生产 API 密钥,或者您的站点被黑客入侵,并且 API 密钥被盗。大多数支付处理商将在其日志中提供更多详细信息以及其他信息。
WordPress 开发人员 Rahul Nagare 建议查看Stripe 的 Radar 欺诈保护,它使用机器学习来提供高级保护和欺诈者识别。
“这将让你在 Stripe 上设置自定义规则以拒绝可疑交易,”Nagare 说。“这曾经是 Stripe 的免费服务,但他们去年改变了它。我会考虑阻止所有风险评分高于平均水平的交易,也许是卡测试者所在的地区。”
WooCommerce 的文档中有一个关于响应信用卡测试攻击的部分,其中有许多与最近 AWP 线程中讨论的相同建议。验证码插件是第一道防线。它还建议避免按需支付或无最低限额的捐赠产品,因为这些产品通常针对持卡人可能错过的小额交易的卡片测试。迅速退还任何成功的欺诈订单将减少纠纷的可能性。