カーディングボットはeコマースサイトを使用して詐欺を犯していますか?

公開: 2021-08-17

私たちのほとんどは、ボットにスパムを送信したり、Webサイトでボットをクリックしたりすることに慣れています。 しかし、カーディングボットはどうですか?

カーディングはオンライン小売業者にとってますます問題となる問題であり、2020年にクレジットカード詐欺で約300億ドルが失われました。実際、カード不在詐欺は現在最も一般的なタイプのクレジットカード詐欺であり、約81%の可能性があります。

また、オンラインプラットフォームに依存する企業が増えるにつれ、犯罪者は、見苦しいセキュリティを悪用して利益を検証する方法を見つけることがよくあります。

しかし、カーディングとは正確には何であり、それはどのように機能しますか?

カーディングとは何ですか?

カーディングとは、盗まれたクレジットカードやギフトカードの詳細が小売店のウェブサイトや支払いポータルで使用されることです。 詐欺師は、通常、複数のカードトランザクションを短時間で処理することにより、どの盗まれたカードが実際に機能するかを突き止めることを目的としています。

これにより、不正な購入、偏った分析、誤ったリード、在庫の問題が発生する可能性があります。 また、チャージバックが発生する可能性があり、カード発行者に対する企業の評判に影響を与える可能性があります。

この手法は、クレジットカードのスタッフィング、カード検証攻撃、およびカードボット攻撃としても知られています。

カーディングボットは、カードの詳細を入力して所有者に対して検証するタスクを実行する自動スクリプトです。 これらの盗まれた、または不正に入手されたカードは、わずか45ドルでオンラインで販売できます。

何らかの形のチェックアウト機能を備えたWebサイトを管理している場合、残念ながら、カーディングボット攻撃のリスクがあります。

これらの盗まれたカードはどのように入手されますか?

カーディング攻撃で使用されるカードは、物理的なカードでも、盗まれたデータからのものでもかまいません。 保存が不十分なデータにアクセスするハッカーは、1回の攻撃で数千または数百万ものクレジットカードの詳細を収集することがよくあります。

もちろん、これらのカードのすべてが有効であるとは限らないので、ここでカーディングが役立ちます。 詐欺師は、カードにボットを使用することで、どの盗まれたカードを販売または使用する価値があるかをすばやく理解できます。

オンラインには多くのフォーラムがあり、通常はTorネットワーク上にあり、犯罪者が盗んだカードの詳細を販売および交換することができます。

カーディング攻撃はどのように機能しますか?

悪意のあるボットを使用したあらゆる形態の詐欺攻撃と同様に、カーディングは非常に迅速かつ大量に実行できます。

そもそも、トランザクションは通常の人間の行動のように見えますが、これはよくあることです。 必要に応じてアカウントを登録し、いくつかのアイテムを買い物かごに追加することができます。 本物のユーザーの行動を模倣することにより、ボットはプログラムされた義務を実行できます。

チェックアウトの時点で、ボットが引き継ぎます。

これは、機能しているカードのリストを作成するために複数のクレジットカードまたはデビットカードが処理される場所です。

ボットは通常、価値の低いトランザクション、通常はわずか数ドルを実行します。 この低価値の取引が確認されると、カードはより高価値または高リスクの購入に使用できます。

カーディング攻撃を見つける方法

ほとんどのボットアクティビティと同様に、何かが間違っていることを示唆する多くのシグナルがあります。

これらの兆候に注意することで、サイトがカーディング攻撃の被害者であった可能性があるかどうかを判断できます。

  • 大量の支払い承認の失敗
  • バスケットの平均サイズが小さい
  • 放棄されたショッピングカートの数の急増
  • 同じユーザーIPにより、多数の支払い承認が失敗しました
  • サイト訪問に関連する同じチェックアウトページへの複数回の訪問
  • 異なるアドレスが使用されているカード、またはアドレスの不一致が原因で拒否されたカード

カーディングボットは、本物のユーザーの行動のように見えるかもしれませんが、ある意味では、真実が明らかになるのはチェックアウトです。

これらのボットはサイボーグである可能性もあります。 これは、詐欺師がボットコードを実行するチェックアウトステップまで、人間のユーザーによって操作されることを意味します。

もちろん、多くのボット防止プラットフォームにとって、これは手遅れです。 被害が発生し、不正な注文、数え切れないほどのチャージバック、または混乱した分析ダッシュボードが残ります。

それで、あなたは何ができますか?

カーディングボット攻撃の防止

サイト所有者がこの種のボット攻撃を防ぐ方法はいくつかあります。

キャプチャ

ボットがWebサイトをクリックするのを防ぐ独自の方法の1つであるキャプチャは、依然として効果的です。 ただし、ワンクリックでチェックアウトすることに慣れている本物の顧客にとっては、それは気が進まない可能性があります。

AVSを使用する

住所確認システム(AVS)は、カードユーザーの住所をアカウントまたは配送先住所と照合するのに役立ちます。 カーディングボットは、さまざまな人からの複数のカードを検証しようとすることが多いため、アドレスが一致しない可能性が非常に高くなります。

行動分析

本物のユーザーの行動を分析する外部の詐欺ソリューションを使用することは、カーディングボットをブロックするための良い方法です。 この形式の不正防止では、機械学習を使用してボットの動作の兆候を見つけ、リアルタイムでアクティビティをブロックします。

ブラウザの検証

多くのボットは、独自のウィンドウ内から動作します。 つまり、サイトにアクセスするには、Chromeなどの特定のブラウザを使用しているふりをする必要がある場合があります。 ブラウザ検証ソフトウェアは、ユーザーが実際に使用していると言っているブラウザを使用しているかどうかを確認し、これらのタイプの詐欺ボットを排除できます。

APIセキュリティ

支払いが統合されているほとんどのサイトには、支払い情報を検証するためのAPI証明書が含まれていることがよくあります。 これは、カーディングボットからのブルートフォース攻撃に対して脆弱であるため、eコマースサイトはトランスポート層セキュリティ(TLS)およびその他の承認メカニズムを使用してトランザクションをチェックします。

速度チェック

この単純な不正チェックソリューションは、誰かが短期間に複数の異なるカードを使用しようとするのを防ぐのに役立ちます。 本物のユーザー(例:人間)は、1つのプラットフォームで一握り以上のトランザクションを実行することはほとんどありません。 支払い処理業者とのこのタイプのトランザクションのしきい値を指定できます。これは、サイトでのカーディング詐欺を防ぐ最も簡単な方法の1つです。

ボットクリックの防止

オンラインでビジネスを管理している場合でも、ボットは破壊的であり、損害を与える可能性さえあります。 広告のクリックやスパムから、分析を不正に膨らませるまで、ボットのブロックはビジネスにとってますます重要になっています。

ClickCeaseに無料でサインアップして、GoogleおよびFacebook広告でのボットクリックを防ぎます。