Os bots de cardação estão usando seu site de comércio eletrônico para cometer fraudes?

A maioria de nós está acostumada a enviar spam para bots ou até mesmo clicar em bots em nossos sites. Mas e os bots de cardação?

O cartão é um problema cada vez mais problemático para os varejistas on-line, com cerca de US$ 30 bilhões perdidos em fraudes de cartão de crédito em 2020. Na verdade, a fraude com cartão não presente é agora o tipo mais comum de fraude com cartão de crédito, sendo cerca de 81% mais provável.

E com mais empresas dependentes de suas plataformas online, os criminosos muitas vezes podem encontrar uma maneira de explorar a segurança de má qualidade para validar seus ganhos.

Mas o que exatamente é cardar e como funciona?

O que é cardação?

O cartão de crédito é uma prática em que os detalhes do cartão de crédito ou cartão-presente roubados são usados ​​em sites de varejo ou portais de pagamento. A intenção é que os fraudadores descubram quais cartões roubados realmente funcionam, geralmente processando várias transações com cartões em um curto período de tempo.

Isso pode resultar em compras fraudulentas, análises distorcidas, leads falsos e problemas de estoque. Eles também podem resultar em estornos, o que pode afetar a reputação de uma empresa com o emissor do cartão.

A prática também é conhecida como enchimento de cartão de crédito, ataque de verificação de cartão e ataques de bot de cartão.

Os bots de cartão são scripts automatizados que realizam a tarefa de inserir os detalhes do cartão para validá-los para seus proprietários. Esses cartões roubados ou obtidos de forma fraudulenta podem ser vendidos on-line por apenas US$ 45.

Se você gerencia um site com qualquer forma de funcionalidade de checkout, infelizmente corre o risco de um ataque de bot de carding.

Como esses cartões roubados são obtidos?

Os cartões usados ​​em um ataque de cardagem podem ser tanto cartões físicos quanto de dados roubados. Hackers que acessam dados mal armazenados geralmente podem coletar milhares ou até milhões de detalhes de cartão de crédito em um ataque.

Claro, nem todos esses cartões são válidos, então é aqui que o cartão é útil. Ao usar bots para cartões, os fraudadores podem entender rapidamente quais cartões roubados valem a pena vender ou usar.

Existem muitos fóruns online, geralmente na rede Tor, onde os criminosos podem vender e trocar detalhes de cartões roubados.

Como funciona um ataque de cardação?

Como qualquer forma de ataque de fraude usando bots maliciosos, o carding pode ser feito muito rapidamente e em massa.

Para começar, a transação parecerá um comportamento humano normal, o que geralmente é. Uma conta pode ser registrada, se necessário, e alguns itens adicionados a uma cesta de compras. Ao imitar o comportamento genuíno do usuário, o bot pode realizar o dever para o qual está programado.

No momento do checkout, o bot assumirá o controle.

É aqui que vários cartões de crédito ou débito são processados ​​para criar uma lista de cartões em funcionamento.

O bot geralmente realiza uma transação de baixo valor, normalmente apenas alguns dólares. Uma vez confirmada essa transação de baixo valor, o cartão pode ser usado para compras de valor mais alto ou de alto risco.

Como identificar um ataque de cardação

Como a maioria das atividades de bots, geralmente há vários sinais que sugerem que algo está errado.

Ao ficar atento a esses sinais, você pode saber se seu site pode ter sido vítima de um ataque de carding:

• Um grande volume de autorizações de pagamento com falha
• Menor tamanho médio da cesta
• Um aumento no número de carrinhos de compras abandonados
• O mesmo IP de usuário causando um grande número de autorizações de pagamento com falha
• Várias visitas à mesma página de checkout em relação às visitas ao site
• Cartões com endereços diferentes sendo usados ​​ou cartões rejeitados devido à incompatibilidade de endereço

Embora o bot de cartão possa exibir o que parece ser um comportamento genuíno do usuário, até certo ponto, é no caixa que a verdade aparece.

Esses bots também podem ser ciborgues . Isso significa que eles são operados por um usuário humano até a etapa de checkout, quando o fraudador apenas executa o código do bot.

É claro que, para muitas plataformas de prevenção de bots, é tarde demais. O estrago está feito e você fica com pedidos fraudulentos, inúmeros estornos ou um painel de análise que é uma bagunça.

Então o que você pode fazer?

Prevenindo ataques de bots de cardação

Existem várias maneiras pelas quais um proprietário de site pode impedir esse tipo de ataque de bot.

Captchas

Uma das formas originais de impedir que bots cliquem em seu site, o Captcha ainda é eficaz. No entanto, pode ser desanimador para clientes genuínos que estão acostumados a fazer o checkout com um clique.

Usar AVS

O Address Verification System (AVS) ajuda a combinar o endereço do usuário do cartão com a conta ou endereço de entrega. Como os bots de cartão geralmente tentam verificar vários cartões de pessoas diferentes, é muito provável que os endereços não correspondam.

Análise do comportamento

Usar uma solução de fraude externa que analisa o comportamento genuíno do usuário é uma boa maneira de bloquear bots de cartão. Essa forma de prevenção de fraudes usa aprendizado de máquina para detectar sinais de comportamento de bot e bloquear atividades em tempo real.

Validação do navegador

Muitos bots operam de dentro de sua própria janela. Isso significa que eles podem precisar fingir que estão usando um navegador específico, como o Chrome, para acessar seu site. O software de validação do navegador pode verificar se o usuário está realmente usando o navegador que diz estar e eliminar esses tipos de bots de fraude.

Segurança da API

A maioria dos sites com pagamento integrado geralmente possui certificados de API para validar as informações de pagamento. Isso é vulnerável a ataques de força bruta de bots de cartão, portanto, os sites de comércio eletrônico usam o Transport Layer Security (TLS) e outros mecanismos de autorização para verificar as transações.

Verificações de velocidade

Essa solução simples de verificação de fraudes ajuda a impedir que alguém tente usar vários cartões diferentes em um curto período de tempo. É improvável que um usuário genuíno (por exemplo, um humano) faça mais do que um punhado de transações em qualquer plataforma. Você pode especificar o limite para esse tipo de transação com seu processador de pagamento, que é uma das maneiras mais fáceis de evitar fraudes de cartão em seu site.

Evitando cliques de bot

Independentemente de como você está gerenciando seus negócios on-line, os bots podem ser disruptivos e até prejudiciais. Desde clicar em seus anúncios ou enviar spam até inflar fraudulentamente suas análises, o bloqueio de bots se tornou cada vez mais importante para os negócios.

Inscreva-se no ClickCease gratuitamente para evitar cliques de bot em seus anúncios do Google e do Facebook.