Les carding bots utilisent-ils votre site de commerce électronique pour commettre une fraude ?

Publié: 2021-08-17

La plupart d'entre nous sommes habitués à spammer des robots ou même à cliquer sur des robots sur nos sites Web. Mais qu'en est-il des carding bots ?

Le carding est un problème de plus en plus problématique pour les détaillants en ligne, avec environ 30 milliards de dollars perdus à cause de la fraude par carte de crédit en 2020. En fait, la fraude par carte non présente est désormais le type de fraude par carte de crédit le plus courant, avec environ 81 % de probabilité de plus.

Et avec de plus en plus d'entreprises dépendantes de leurs plateformes en ligne, les criminels peuvent souvent trouver un moyen d'exploiter une sécurité de mauvaise qualité pour valider leurs gains.

Mais qu'est-ce que le cardage exactement et comment ça marche ?

Qu'est-ce que le cardage ?

Le carding est une pratique dans laquelle les détails d'une carte de crédit ou d'une carte-cadeau volée sont utilisés sur des sites Web de vente au détail ou des portails de paiement. L'intention est que les fraudeurs déterminent quelles cartes volées fonctionnent réellement, généralement en traitant plusieurs transactions par carte dans un court laps de temps.

Cela peut entraîner des achats frauduleux, des analyses biaisées, de fausses pistes et des problèmes d'inventaire. Ils peuvent également entraîner des rétrofacturations, ce qui peut avoir un impact sur la réputation d'une entreprise auprès d'un émetteur de cartes.

La pratique est également connue sous le nom de bourrage de carte de crédit, d'attaque de vérification de carte et d'attaques de carding bot.

Les robots de cardage sont des scripts automatisés qui effectuent la tâche de saisir les détails de la carte pour les valider pour leurs propriétaires. Ces cartes volées ou obtenues frauduleusement peuvent ensuite être vendues en ligne pour aussi peu que 45 $.

Si vous gérez un site Web avec n'importe quelle forme de fonctionnalité de paiement, vous êtes malheureusement à risque d'une attaque de carding bot.

Comment ces cartes volées sont-elles obtenues ?

Les cartes utilisées dans une attaque par cardage peuvent être à la fois des cartes physiques ou des données volées. Les pirates qui accèdent à des données mal stockées peuvent souvent collecter des milliers, voire des millions de détails de carte de crédit en une seule attaque.

Bien sûr, toutes ces cartes ne sont pas valides, c'est donc là que le cardage est utile. En utilisant des bots pour le cardage, les fraudeurs peuvent rapidement comprendre quelles cartes volées valent la peine d'être vendues ou utilisées.

Il existe de nombreux forums en ligne, généralement sur le réseau Tor, où les criminels peuvent vendre et échanger des détails de cartes volées.

Comment fonctionne une attaque par carding ?

Comme toute forme d'attaque frauduleuse utilisant des bots malveillants, le carding peut être effectué très rapidement et en masse.

Pour commencer, la transaction semblera être un comportement humain normal, ce qui est souvent le cas. Un compte peut être enregistré, si nécessaire, et quelques articles ajoutés à un panier. En imitant le comportement authentique de l'utilisateur, le bot peut effectuer la tâche pour laquelle il est programmé.

Au moment du paiement, le bot prendra le relais.

C'est là que plusieurs cartes de crédit ou cartes de débit sont traitées pour créer une liste de cartes fonctionnelles.

Le bot effectuera généralement une transaction de faible valeur, généralement de quelques dollars seulement. Une fois cette transaction de faible valeur confirmée, la carte peut alors être utilisée pour des achats de plus grande valeur ou à haut risque.

Comment repérer une attaque de carding

Comme la plupart des activités de bot, il y a souvent un certain nombre de signaux qui suggèrent que quelque chose ne va pas.

En gardant un œil sur ces signes, vous pouvez savoir si votre site a pu être victime d'une attaque par carding :

  • Un volume élevé d'autorisations de paiement échouées
  • Taille moyenne du panier inférieure
  • Un pic du nombre de paniers abandonnés
  • La même adresse IP d'utilisateur provoquant un grand nombre d'échecs d'autorisations de paiement
  • Visites multiples sur la même page de paiement par rapport aux visites du site
  • Cartes avec différentes adresses utilisées ou cartes rejetées en raison d'une incompatibilité d'adresse

Bien que le robot de cardage puisse présenter ce qui semble être un véritable comportement d'utilisateur, jusqu'à un certain point, c'est à la caisse que la vérité éclate.

Ces bots pourraient aussi être des cyborgs . Cela signifie qu'ils sont exploités par un utilisateur humain jusqu'à l'étape de paiement lorsque le fraudeur exécute simplement le code du bot.

Bien sûr, pour de nombreuses plateformes de prévention des bots, c'est là qu'il est trop tard. Le mal est fait et vous vous retrouvez avec des commandes frauduleuses, d'innombrables rétrofacturations ou un tableau de bord d'analyse en désordre.

Alors, qu'est-ce que tu peux faire?

Empêcher les attaques de carding bot

Il existe plusieurs façons pour un propriétaire de site d'empêcher ce type d'attaque de bot.

Captchas

L'un des moyens originaux d'empêcher les robots de cliquer sur votre site Web, le Captcha est toujours efficace. Cependant, cela peut être rebutant pour les vrais clients habitués au paiement en un clic.

Utiliser AVS

Le système de vérification d'adresse (AVS) aide à faire correspondre l'adresse de l'utilisateur de la carte avec le compte ou l'adresse de livraison. Étant donné que les robots de carding essaieront souvent de vérifier plusieurs cartes de différentes personnes, il est très probable que les adresses ne correspondent pas.

Analyse comportementale

L'utilisation d'une solution de fraude externe qui analyse le comportement authentique des utilisateurs est un bon moyen de bloquer les robots de carding. Cette forme de prévention de la fraude utilise l'apprentissage automatique pour repérer les signes de comportement des bots et bloquer l'activité en temps réel.

Validation du navigateur

De nombreux bots fonctionnent depuis leur propre fenêtre. Cela signifie qu'ils devront peut-être faire semblant d'utiliser un navigateur spécifique, tel que Chrome, pour pouvoir accéder à votre site. Le logiciel de validation de navigateur peut vérifier si l'utilisateur utilise vraiment le navigateur qu'il prétend utiliser et éliminer ces types de robots frauduleux.

Sécurité des API

La plupart des sites avec paiement intégré ont souvent des certificats API pour valider les informations de paiement. Ceci est vulnérable aux attaques par force brute des robots cardeurs, de sorte que les sites de commerce électronique utilisent Transport Layer Security (TLS) et d'autres mécanismes d'autorisation pour vérifier les transactions.

Contrôles de vitesse

Cette solution simple de vérification des fraudes aide à empêcher quelqu'un d'essayer d'utiliser plusieurs cartes différentes dans un court laps de temps. Il est peu probable qu'un véritable utilisateur (par exemple, un humain) effectue plus d'une poignée de transactions sur une même plate-forme. Vous pouvez spécifier le seuil pour ce type de transaction avec votre processeur de paiement, ce qui est l'un des moyens les plus simples d'empêcher la fraude par carte sur votre site.

Empêcher les clics de bot

Quelle que soit la façon dont vous gérez votre entreprise en ligne, les bots peuvent être perturbateurs et même dommageables. Qu'il s'agisse de cliquer sur vos publicités, de spammer ou de gonfler frauduleusement vos analyses, le blocage des bots est devenu de plus en plus important pour les entreprises.

Inscrivez-vous gratuitement à ClickCease pour empêcher les clics de robots sur vos publicités Google et Facebook.