¿Los bots de cardado están utilizando su sitio de comercio electrónico para cometer fraude?

Publicado: 2021-08-17

La mayoría de nosotros estamos acostumbrados a los bots de spam o incluso a los bots de clic en nuestros sitios web. Pero, ¿qué pasa con los bots de cardado?

Las tarjetas son un problema cada vez más problemático para los minoristas en línea, con alrededor de $ 30 mil millones perdidos por fraude con tarjetas de crédito en 2020. De hecho, el fraude con tarjeta no presente es ahora el tipo más común de fraude con tarjeta de crédito, siendo alrededor del 81% más probable.

Y con más empresas que dependen de sus plataformas en línea, los delincuentes a menudo pueden encontrar una manera de explotar la seguridad de mala calidad para validar sus ganancias.

Pero, ¿qué es exactamente el cardado y cómo funciona?

¿Qué es el cardado?

El uso de tarjetas es una práctica en la que se utilizan detalles de tarjetas de crédito o tarjetas de regalo robadas en sitios web minoristas o portales de pago. La intención es que los estafadores averigüen qué tarjetas robadas realmente funcionan, generalmente mediante el procesamiento de múltiples transacciones con tarjetas en un corto período de tiempo.

Esto puede resultar en compras fraudulentas, análisis sesgados, clientes potenciales falsos y problemas de inventario. También pueden dar lugar a devoluciones de cargo, lo que puede tener un impacto en la reputación de una empresa con el emisor de la tarjeta.

La práctica también se conoce como relleno de tarjeta de crédito, ataque de verificación de tarjeta y ataques de bot de cardado.

Los bots de cardado son scripts automatizados que realizan la tarea de ingresar los detalles de la tarjeta para validarlos para sus propietarios. Estas tarjetas robadas u obtenidas de manera fraudulenta se pueden vender en línea por tan solo $45.

Si administra un sitio web con alguna forma de funcionalidad de pago, lamentablemente corre el riesgo de sufrir un ataque de bot de cardado.

¿Cómo se obtienen estas tarjetas robadas?

Las tarjetas utilizadas en un ataque carding pueden ser tanto tarjetas físicas como de datos robados. Los piratas informáticos que acceden a datos mal almacenados a menudo pueden recopilar miles o incluso millones de detalles de tarjetas de crédito en un solo ataque.

Por supuesto, no todas estas tarjetas son válidas, por lo que aquí es donde la tarjeta es útil. Mediante el uso de bots para las tarjetas, los estafadores pueden comprender rápidamente qué tarjetas robadas vale la pena vender o usar.

Hay muchos foros en línea, generalmente en la red Tor, donde los delincuentes pueden vender e intercambiar detalles de tarjetas robadas.

¿Cómo funciona un ataque de cardado?

Al igual que cualquier forma de ataque fraudulento que utilice bots maliciosos, el cardado se puede realizar de forma muy rápida y masiva.

Para empezar, la transacción parecerá un comportamiento humano normal, que a menudo lo es. Se puede registrar una cuenta, si es necesario, y agregar algunos artículos a la cesta de la compra. Al imitar el comportamiento genuino del usuario, el bot puede realizar la tarea para la que está programado.

En el punto de pago, el bot se hará cargo.

Aquí es donde se procesan varias tarjetas de crédito o débito para crear una lista de tarjetas en funcionamiento.

El bot generalmente realizará una transacción de bajo valor, generalmente solo unos pocos dólares. Una vez que se confirma esta transacción de bajo valor, la tarjeta se puede usar para más compras de alto valor o alto riesgo.

Cómo detectar un ataque de cardado

Como la mayoría de las actividades de los bots, a menudo hay una serie de señales que sugieren que algo anda mal.

Al estar atento a estos signos, puede saber si su sitio podría haber sido víctima de un ataque de carding:

  • Un alto volumen de autorizaciones de pago fallidas
  • Tamaño medio de la cesta más bajo
  • Un aumento en el número de carritos de compras abandonados
  • La misma IP de usuario que causa una gran cantidad de autorizaciones de pago fallidas
  • Múltiples visitas a la misma página de pago en relación con las visitas al sitio
  • Tarjetas con diferentes direcciones en uso, o tarjetas rechazadas debido a una discrepancia en la dirección

Aunque el bot de cardado puede exhibir lo que parece ser un comportamiento genuino del usuario, hasta cierto punto, es en la caja donde sale la verdad.

Estos bots también pueden ser cyborgs . Esto significa que son operados por un usuario humano hasta el paso de pago cuando el estafador simplemente ejecuta el código del bot.

Por supuesto, para muchas plataformas de prevención de bots, aquí es demasiado tarde. El daño ya está hecho y te quedas con pedidos fraudulentos, innumerables devoluciones de cargo o un panel de análisis que es un desastre.

¿Entonces que puedes hacer?

Prevención de ataques de bots de cardado

Hay varias formas en que el propietario de un sitio puede prevenir este tipo de ataque de bot.

Captchas

Una de las formas originales de evitar que los bots hagan clic en su sitio web, el Captcha sigue siendo efectivo. Sin embargo, puede ser desagradable para los clientes genuinos que están acostumbrados a pagar con un solo clic.

Usar AVS

El Sistema de verificación de direcciones (AVS) ayuda a hacer coincidir la dirección del usuario de la tarjeta con la cuenta o la dirección de entrega. Debido a que los bots de tarjetas a menudo intentarán verificar varias tarjetas de diferentes personas, es muy probable que las direcciones no coincidan.

Análisis de comportamiento

El uso de una solución de fraude externa que analice el comportamiento real del usuario es una buena forma de bloquear los bots de carding. Esta forma de prevención del fraude utiliza el aprendizaje automático para detectar signos de comportamiento de bots y bloquear la actividad en tiempo real.

Validación del navegador

Muchos bots operan desde su propia ventana. Esto significa que es posible que deban fingir que están usando un navegador específico, como Chrome, para poder acceder a su sitio. El software de validación del navegador puede verificar si el usuario realmente está usando el navegador que dice que usa y eliminar este tipo de bots fraudulentos.

seguridad de API

La mayoría de los sitios con pago integrado suelen tener certificados API para validar la información de pago. Esto es vulnerable a los ataques de fuerza bruta de los bots de carding, por lo que los sitios de comercio electrónico utilizan Transport Layer Security (TLS) y otros mecanismos de autorización para verificar las transacciones.

Comprobaciones de velocidad

Esta sencilla solución de control de fraudes ayuda a impedir que alguien intente utilizar varias tarjetas diferentes en un breve período de tiempo. Es poco probable que un usuario genuino (por ejemplo, un ser humano) realice más de un puñado de transacciones en cualquier plataforma. Puede especificar el umbral para este tipo de transacción con su procesador de pagos, que es una de las formas más fáciles de evitar el fraude con tarjetas en su sitio.

Prevención de clics de bots

Independientemente de cómo administre su negocio en línea, los bots pueden ser disruptivos e incluso dañinos. Desde hacer clic en sus anuncios o enviar spam hasta inflar de forma fraudulenta sus análisis, el bloqueo de bots se ha vuelto cada vez más importante para las empresas.

Regístrese en ClickCease de forma gratuita para evitar los clics de bots en sus anuncios de Google y Facebook.