• Homepage
  • Articoli
  • SEO
  • I robot carding utilizzano il tuo sito di e-commerce per commettere frode?

I robot carding utilizzano il tuo sito di e-commerce per commettere frode?

Pubblicato: 2021-08-17

La maggior parte di noi è abituata a inviare spam ai bot o addirittura a fare clic sui bot sui nostri siti web. Ma che dire dei robot cardatori?

La carta è un problema sempre più problematico per i rivenditori online, con circa 30 miliardi di dollari persi per frode con carta di credito nel 2020. In effetti, la frode con carta non presente è ora il tipo più comune di frode con carta di credito, essendo circa l'81% più probabile.

E con più aziende che dipendono dalle loro piattaforme online, i criminali possono spesso trovare un modo per sfruttare una sicurezza scadente per convalidare i loro guadagni.

Ma cos'è esattamente la cardatura e come funziona?

Cos'è la cardatura?

La carding è una pratica in cui i dettagli della carta di credito o della carta regalo rubati vengono utilizzati su siti Web di vendita al dettaglio o portali di pagamento. L'intenzione è che i truffatori capiscano quali carte rubate funzionano effettivamente, di solito elaborando più transazioni con carte in un breve lasso di tempo.

Ciò può comportare acquisti fraudolenti, analisi distorte, contatti falsi e problemi di inventario. Possono anche comportare storni di addebito, che possono avere un impatto sulla reputazione di un'azienda presso un emittente di carte.

La pratica è anche nota come carta di credito stuffing, un attacco di verifica della carta e attacchi di carding bot.

I carding bot sono script automatici che svolgono il compito di inserire i dettagli della carta per convalidarli per i loro proprietari. Queste carte rubate o ottenute in modo fraudolento possono quindi essere vendute online per un minimo di $ 45.

Se gestisci un sito Web con qualsiasi forma di funzionalità di checkout, purtroppo sei a rischio di un attacco di carding bot.

Come si ottengono queste carte rubate?

Le carte utilizzate in un attacco con carding possono essere sia carte fisiche, sia dati rubati. Gli hacker che accedono a dati archiviati in modo inadeguato possono spesso raccogliere migliaia o addirittura milioni di dettagli di carte di credito in un solo attacco.

Naturalmente, non tutte queste carte sono valide, quindi è qui che la card è utile. Utilizzando i bot per le carte, i truffatori possono capire rapidamente quali carte rubate vale la pena vendere o utilizzare.

Ci sono molti forum online, di solito sulla rete Tor, dove i criminali possono vendere e scambiare i dettagli delle carte rubate.

Come funziona un attacco con le carte?

Come qualsiasi forma di attacco fraudolento che utilizza bot dannosi, la carding può essere eseguita molto rapidamente e in blocco.

Per cominciare, la transazione sembrerà un normale comportamento umano, come spesso accade. Se necessario, è possibile registrare un account e aggiungere alcuni articoli al carrello. Imitando il comportamento genuino dell'utente, il bot può svolgere il compito per cui è programmato.

Al momento del pagamento, il bot prenderà il sopravvento.

È qui che vengono elaborate più carte di credito o di debito per creare un elenco di carte funzionanti.

Il bot di solito esegue una transazione di basso valore, in genere solo pochi dollari. Una volta confermata questa transazione di basso valore, la carta può essere utilizzata per acquisti di valore più elevato o ad alto rischio.

Come individuare un attacco cardante

Come la maggior parte delle attività dei bot, spesso ci sono una serie di segnali che suggeriscono che qualcosa non va.

Tenendo d'occhio questi segnali, puoi capire se il tuo sito potrebbe essere stato vittima di un attacco carding:

  • Un volume elevato di autorizzazioni di pagamento non riuscite
  • Cesto di dimensioni medie inferiori
  • Un picco nel numero di carrelli abbandonati
  • Lo stesso IP utente causa un gran numero di autorizzazioni di pagamento non riuscite
  • Più visite alla stessa pagina di pagamento in relazione alle visite al sito
  • Carte con indirizzi diversi in uso o carte rifiutate a causa della mancata corrispondenza degli indirizzi

Sebbene il bot di cardatura possa mostrare quello che sembra un comportamento utente genuino, a un certo punto è alla cassa che viene fuori la verità.

Questi robot potrebbero anche essere cyborg . Ciò significa che sono gestiti da un utente umano fino alla fase di checkout, quando il truffatore esegue semplicemente il codice del bot.

Naturalmente, per molte piattaforme di prevenzione dei bot, è qui che è troppo tardi. Il danno è fatto e ti rimangono ordini fraudolenti, innumerevoli storni di addebito o una dashboard di analisi che è un disastro.

Che cosa si può fare?

Prevenire gli attacchi dei bot cardanti

Esistono diversi modi in cui il proprietario di un sito può prevenire questo tipo di attacco bot.

Captcha

Uno dei modi originali per impedire ai bot di fare clic sul tuo sito Web, il Captcha è ancora efficace. Tuttavia, può essere scoraggiante per i clienti autentici che sono abituati al checkout con un clic.

Usa AV

Il sistema di verifica dell'indirizzo (AVS) aiuta a far corrispondere l'indirizzo dell'utente della carta con l'account o l'indirizzo di consegna. Poiché i robot di carding cercheranno spesso di verificare più carte di persone diverse, è molto probabile che gli indirizzi non corrispondano.

Analisi del comportamento

L'utilizzo di una soluzione di frode esterna che analizzi il comportamento reale degli utenti è un buon modo per bloccare i bot di carding. Questa forma di prevenzione delle frodi utilizza l'apprendimento automatico per individuare i segnali del comportamento dei bot e bloccare l'attività in tempo reale.

Convalida del browser

Molti bot operano all'interno della propria finestra. Ciò significa che potrebbero dover fingere di utilizzare un browser specifico, come Chrome, per poter accedere al tuo sito. Il software di convalida del browser può verificare se l'utente sta davvero utilizzando il browser che afferma di essere ed eliminare questi tipi di bot fraudolenti.

Sicurezza API

La maggior parte dei siti con pagamento integrato ha spesso certificati API per convalidare le informazioni di pagamento. Questo è vulnerabile agli attacchi di forza bruta dei bot di carding, quindi i siti di e-commerce utilizzano Transport Layer Security (TLS) e altri meccanismi di autorizzazione per controllare le transazioni.

Controlli di velocità

Questa semplice soluzione di controllo delle frodi aiuta a impedire a qualcuno di provare a utilizzare più carte diverse in un breve lasso di tempo. È improbabile che un utente autentico (ad esempio un essere umano) effettui più di una manciata di transazioni su una qualsiasi piattaforma. Puoi specificare la soglia per questo tipo di transazione con il tuo elaboratore di pagamento, che è uno dei modi più semplici per prevenire le frodi con carte di credito sul tuo sito.

Impedire i clic del bot

Indipendentemente da come gestisci la tua attività online, i bot possono essere dirompenti e persino dannosi. Dal fare clic sui tuoi annunci, allo spamming, al gonfiare in modo fraudolento le tue analisi, il blocco dei bot è diventato sempre più importante per il business.

Iscriviti gratuitamente a ClickCease per impedire i clic dei bot sui tuoi annunci Google e Facebook.