Czy boty Carding wykorzystują Twoją witrynę e-commerce do popełniania oszustw?

Większość z nas jest przyzwyczajona do spamowania botów, a nawet klikania botów na naszych stronach internetowych. Ale co z botami cardingowymi?

Carding to coraz bardziej problematyczny problem dla sprzedawców internetowych, ponieważ w 2020 roku w wyniku oszustw związanych z kartami kredytowymi stracono około 30 miliardów dolarów.

A ponieważ coraz więcej firm polega na swoich platformach internetowych, przestępcy często mogą znaleźć sposób na wykorzystanie tandetnych zabezpieczeń w celu potwierdzenia swoich zysków.

Ale czym właściwie jest gręplowanie i jak to działa?

Co to jest gręplowanie?

Carding to praktyka, w której dane skradzionej karty kredytowej lub karty podarunkowej są wykorzystywane w witrynach detalicznych lub portalach płatniczych. Intencją jest, aby oszuści ustalili, które skradzione karty faktycznie działają, zwykle poprzez przetwarzanie wielu transakcji kartowych w krótkim czasie.

Może to skutkować nieuczciwymi zakupami, wypaczoną analizą, fałszywymi potencjalnymi klientami i problemami z zapasami. Mogą również skutkować obciążeniami zwrotnymi, co może mieć wpływ na reputację firmy u wystawcy karty.

Praktyka ta jest również znana jako wypychanie kart kredytowych, atak weryfikacyjny karty i ataki botów kartingowych.

Boty Carding to zautomatyzowane skrypty, które wykonują zadanie wprowadzania danych karty, aby zweryfikować je dla ich właścicieli. Te skradzione lub nieuczciwie zdobyte karty można następnie sprzedać online już za 45 USD.

Jeśli zarządzasz stroną internetową z jakąkolwiek funkcjonalnością kasy, jesteś niestety narażony na atak bota carding.

W jaki sposób uzyskuje się te skradzione karty?

Karty używane w ataku karcianym mogą być zarówno kartami fizycznymi, jak i pochodzącymi ze skradzionych danych. Hakerzy, którzy uzyskują dostęp do źle przechowywanych danych, mogą często podczas jednego ataku zebrać tysiące, a nawet miliony danych kart kredytowych.

Oczywiście nie wszystkie z tych kart są ważne, więc tutaj przydaje się grę w karty. Używając botów do kartowania, oszuści mogą szybko zrozumieć, które skradzione karty warto sprzedawać lub używać.

Istnieje wiele forów internetowych, zwykle w sieci Tor, na których przestępcy mogą sprzedawać i wymieniać dane skradzionych kart.

Jak działa atak kartingowy?

Jak każda forma ataku oszustwa z wykorzystaniem złośliwych botów, carding można przeprowadzić bardzo szybko i masowo.

Na początek transakcja będzie wydawać się normalnym ludzkim zachowaniem, a często tak jest. W razie potrzeby można zarejestrować konto i dodać kilka pozycji do koszyka. Naśladując autentyczne zachowanie użytkownika, bot może wykonać zadanie, do którego jest zaprogramowany.

W momencie kasy bot przejmie kontrolę.

W tym miejscu przetwarzanych jest wiele kart kredytowych lub debetowych w celu utworzenia listy funkcjonujących kart.

Bot zazwyczaj przeprowadza transakcję o niskiej wartości, zwykle zaledwie kilka dolarów. Po potwierdzeniu transakcji o niskiej wartości karta może być następnie używana do zakupów o większej wartości lub o wysokim ryzyku.

Jak rozpoznać atak karciany

Podobnie jak w przypadku większości aktywności botów, wiele sygnałów sugeruje, że coś jest nie w porządku.

Obserwując te znaki, możesz stwierdzić, czy Twoja witryna mogła być ofiarą ataku karcianego:

• Duża liczba nieudanych autoryzacji płatności
• Niższy średni rozmiar koszyka
• Skok liczby porzuconych koszyków
• Ten sam adres IP użytkownika powodujący dużą liczbę nieudanych autoryzacji płatności
• Wiele wizyt na tej samej stronie kasy w związku z wizytami w witrynie
• Używane są karty z różnymi adresami lub karty odrzucone z powodu niezgodności adresów

Chociaż bot carding może wykazywać coś, co wydaje się autentycznym zachowaniem użytkownika, do pewnego stopnia to właśnie przy kasie prawda wychodzi na jaw.

Te boty mogą być również cyborgami . Oznacza to, że są obsługiwane przez człowieka aż do etapu kasy, kiedy oszust po prostu uruchamia kod bota.

Oczywiście w przypadku wielu platform zapobiegających botom jest już za późno. Szkoda jest wyrządzona i zostajesz z fałszywymi zamówieniami, niezliczonymi obciążeniami zwrotnymi lub pulpitem analitycznym, który jest bałaganem.

Więc co możesz zrobić?

Zapobieganie atakom botów kartingowych

Właściciel witryny może zapobiec tego rodzaju atakom botów na wiele sposobów.

Captcha

Jeden z oryginalnych sposobów zapobiegania klikaniu botów w Twojej witrynie, Captcha jest nadal skuteczny. Może to jednak zniechęcać prawdziwych klientów, którzy są przyzwyczajeni do realizacji transakcji jednym kliknięciem.

Użyj AVS

System weryfikacji adresu (AVS) pomaga dopasować adres użytkownika karty do konta lub adresu dostawy. Ponieważ boty cardingowe często próbują zweryfikować wiele kart od różnych osób, bardzo prawdopodobne jest, że adresy nie będą pasować.

Analiza zachowania

Korzystanie z zewnętrznego rozwiązania do oszustw, które analizuje rzeczywiste zachowanie użytkowników, jest dobrym sposobem na blokowanie botów kartingowych. Ta forma zapobiegania oszustwom wykorzystuje uczenie maszynowe do wykrywania oznak zachowań botów i blokowania aktywności w czasie rzeczywistym.

Walidacja przeglądarki

Wiele botów działa z własnego okna. Oznacza to, że muszą udawać, że używają określonej przeglądarki, takiej jak Chrome, aby uzyskać dostęp do Twojej witryny. Oprogramowanie do sprawdzania poprawności przeglądarek może sprawdzić, czy użytkownik naprawdę korzysta z przeglądarki, za którą się podaje, i wyeliminować tego typu boty oszustów.

Bezpieczeństwo API

Większość witryn ze zintegrowaną płatnością często ma certyfikaty API do weryfikacji informacji o płatnościach. Jest to podatne na ataki typu brute force ze strony botów cardingowych, dlatego witryny e-commerce wykorzystują Transport Layer Security (TLS) i inne mechanizmy autoryzacji do sprawdzania transakcji.

Kontrole prędkości

To proste rozwiązanie do sprawdzania oszustw pomaga w zablokowaniu możliwości korzystania z wielu różnych kart w krótkim czasie. Prawdziwy użytkownik (np. człowiek) prawdopodobnie nie dokona więcej niż kilku transakcji na jednej platformie. Możesz określić próg dla tego typu transakcji u swojego operatora płatności, co jest jednym z najłatwiejszych sposobów zapobiegania oszustwom związanym z kartami płatniczymi w Twojej witrynie.

Zapobieganie klikaniu botów

Niezależnie od tego, jak zarządzasz swoją firmą online, boty mogą być uciążliwe, a nawet szkodliwe. Od klikania reklam, spamowania po nieuczciwe zawyżanie statystyk, blokowanie botów staje się coraz ważniejsze dla biznesu.

Zarejestruj się w ClickCease za darmo, aby zapobiec klikaniu przez boty w reklamach Google i Facebook.