在過去的幾周里,高級 WordPress Facebook (AWP) 組的成員已經 討論 打擊條紋卡測試欺詐的方法。 WordPress 開發人員 Jon Brown 在看到五個不同網站上的欺詐指控後打開了這個話題,其中四個使用 WooCommerce,一個使用 Leaky Paywall 平台。
「當它第一次發生時,所有五個人都在 Cloudflare 上,並開啟了機器人戰鬥模式,」布朗說。 「我已經將驗證碼添加到所有 5 個中,我已經在購物車/結帳頁面上啟用了 CloudFlare 的『Under Attack』模式。」
WooCommerce 網站沒有再次出現,但 Leaky Paywall 網站卻出現了。 布朗說,客戶沒有注意到,因為他的垃圾郵件文件夾中有 Stripe 電子郵件。
「它持續了兩周,直到負載高峰使網站離線,我注意到了,」他說。 「以 2.99 美元的價格成功完成了大約 1,200 筆交易,其中 100,000 筆交易被阻止。」
布朗說,他不明白為什麼 Stripe 不識別和阻止欺詐性收費,因為它們都遵循使用隨機 Gmail 地址的類似模式。 他的客戶不得不對其中大約 100 筆交易提出異議。
「每項爭議的解決費用為 15 美元,」布朗說。 「每筆無爭議的退款費用為 0.40 美元,因為 Stripe(就像現在的 PayPal)保留了費用。
「所以 100 * 15 美元 + 1100 美元 * 0.40 美元 = 1940 美元的費用收入損失,這顯然是在退還每筆欺詐交易 2.99 美元之後。 這意味著 3,600 美元的欺詐(2.99 美元 * 1200 美元)僅導致 1940 美元的凈損失——這太瘋狂了。」
對話中的許多其他開發人員也受到了類似攻擊,其中一些安裝了蜜罐,但並沒有阻止任何事情。 一個推薦使用 WooCommerce 欺詐預防 插入。 它允許商店所有者阻止來自特定 IP 地址、電子郵件、地址、州和郵政編碼的訂單。 一旦攻擊開始,這可能會有所幫助,但不能完全阻止它們。 一些開發人員使用成功阻止了攻擊 WooCommerce 的驗證碼,一個商業插件,實現了谷歌的 reCaptcha V2(複選框)和 reCaptcha V3,以阻止未經授權的登錄嘗試、虛假註冊、虛假客人訂單和其他自動攻擊。
「我們大約在一年前遇到了這個問題,」WordPress 開發人員 John Montgomery 說。 「這是黑客/小偷檢查有效卡號列表的一種方式。 一旦他們確認該卡在網站上有效,他們就可以用來購買真實的產品。 最後,這是一個很大的煩惱,但老實說,最終對我們來說並不是什麼大不了的事,因為我們有數字產品,而他們對這些並不真正感興趣。」
Montgomery 安裝了一個名為 WooCommerce 的限價訂單,由 Nexcess 開發,在達到某個閾值後禁止下單。
「我將其設置為每小時 x 個訂單(高於任何歷史數字)……所以如果我們在一小時內收到 100 個訂單,它將關閉訂單,」他說。 「這有點像大鎚,但它確實曾經幫助過我們一次。」
儘管許多店主不願在結賬過程中增加任何摩擦,但技術顧問 Jordan Trask 建議要求客戶在繼續和驗證電子郵件之前創建帳戶。 他寫了一個指南 處理卡片測試攻擊.
「規則的要點是封鎖除你所服務的國家以外的所有國家,」特拉斯克說。 「但是,對於 WooCommerce,我會為購物車和結賬設置 JS 託管挑戰。
「Cloudflare 中內置的速率限制可能會有所幫助,但它更多地基於請求,而不是基於 IP 的潛在需求。 如果請求來自相同的 IP 地址,您可以查看限制每個 IP 的訂單,因為電子郵件每次都不同。」
這 結帳率限制器 GitHub 上提供的插件提供基於 IP 地址的 WooCommerce 結帳的結帳率限制。
Trask 的指南還建議在調查欺詐性收費時檢查支付處理器日誌:
始終檢查您的支付處理器日誌,以驗證費用是在哪裡產生的。 暫存站點可能存在生產 API 密鑰,或者您的站點被黑客入侵,並且 API 密鑰被盜。 大多數支付處理商將在其日誌中提供更多詳細信息以及其他信息。
WordPress 開發人員 Rahul Nagare 建議簽出 Stripe 的雷達欺詐保護,它使用機器學習來提供對欺詐者的高級保護和識別。
「這將讓你在 Stripe 上設置自定義規則以拒絕可疑交易,」Nagare 說。 「這曾經是 Stripe 的免費服務,但他們去年改變了它。 我會考慮阻止所有風險評分高於平均水平的交易,也許是卡測試者所在的地區。」
WooCommerce 的文檔有一個關於 響應卡測試攻擊,其中有許多在最近的 AWP 線程中討論過的相同建議。 驗證碼插件是第一道防線。 它還建議避免按需支付或無最低限額的捐贈產品,因為這些產品通常針對持卡人可能錯過的小額交易的卡片測試。 迅速退還任何成功的欺詐訂單將減少糾紛的可能性。