在过去一段时间里,Advanced WordPress Facebook (AWP) 小组的成员一直在讨论打击 Stripe Card Testing 欺诈的方法。WordPress 开发人员 Jon Brown 在看到五个不同网站上的欺诈指控后开启了这个话题,其中四个使用 WooCommerce,一个使用 Leaky Paywall 平台。
“当它第一次发生时,所有五个人都在 Cloudflare 上开启了机器人战斗模式,”布朗说。“我已经将 CAPTCHA 添加到所有 5 个中,我在购物车/结帐页面上启用了 CloudFlare 的‘Under Attack’模式。”
WooCommerce 网站没有再次出现,但 Leaky Paywall 网站出现了。Brown 说客户没有注意到它,因为他将 Stripe 电子邮件放到了他的垃圾邮件文件夹中。
“这种情况持续了两周,直到负载激增导致网站离线,我才注意到这一点,”他说。“大约 1,200 次成功交易,价格为 2.99 美元,其中 100,000 次被阻止。”
Brown 说他不明白为什么 Stripe 不识别和阻止欺诈性收费,因为它们都遵循使用随机 Gmail 地址的相似模式。他的客户不得不对其中大约 100 笔交易提出异议。
“解决每起纠纷需要 15 美元,”布朗说。“每笔无争议的退款费用为 0.40 美元,因为 Stripe(就像现在的 PayPal)保留了这笔费用。
“所以 100 * 15 美元 + 1100 * 0.40 美元 = 1940 美元的费用收入损失,这显然是在还退还每笔欺诈交易 2.99 美元之后。这意味着 3,600 美元的欺诈(2.99 美元 * 1200 美元)仅导致 1940 美元的净损失——这太疯狂了。”
对话中的许多其他开发人员都遭到了类似攻击,其中一些使用了无法阻止任何事情的蜜罐。一个建议使用WooCommerce 欺诈预防插件。它允许店主阻止来自特定 IP 地址、电子邮件、地址、州和邮政编码的订单。一旦攻击开始,这可能会有所帮助,但不能完全阻止它们。一些开发人员使用reCaptcha for WooCommerce成功阻止了攻击,这是一个商业插件,实现了 Google 的 reCaptcha V2(复选框)和 reCaptcha V3,以阻止未经授权的登录尝试、虚假注册、虚假访客订单和其他自动攻击。
“大约一年前,我们遇到了这个问题,”WordPress 开发人员约翰·蒙哥马利 (John Montgomery) 说。“这是黑客/小偷检查有效卡号列表的一种方式。一旦他们确认该卡在网站上有效,他们就可以用来购买真实的产品。最后,这是一个很大的烦恼,但老实说,最终对我们来说并不是什么大不了的事,因为我们有数字产品,而他们对这些并不真正感兴趣。”
Montgomery 安装了一个名为Limit Orders for WooCommerce的插件,该插件由 Nexcess 开发,可在达到特定阈值后禁止下单。
“我将其设置为每小时 x 个订单(高于任何历史数字)……因此,如果我们在一小时内收到 100 个订单,它将关闭订单,”他说。“这有点像一把大锤,但它确实帮助过我们一次。”
尽管许多店主不愿在结账过程中增加任何摩擦,但技术顾问 Jordan Trask 建议要求客户在继续之前创建帐户并验证电子邮件。他写了一份关于处理卡片测试攻击的指南。
“规则的要旨是阻止除你服务的国家以外的所有国家,”特拉斯克说。“但是,对于 WooCommerce,我会为购物车和结账设置一个 JS 托管验证。
“Cloudflare 内置的速率限制可能会有所帮助,但它更多的是基于请求而不是基于 IP 的订单,这可能是您需要的。如果请求来自相同的 IP 地址,您可以查看每个 IP 的限制订单,因为每次的电子邮件都不同。”
GitHub 上提供的Checkout Rate Limiter插件基于 IP 地址对 WooCommerce 结账提供结账速率限制。
Trask 的指南还建议在调查欺诈性收费时检查支付处理器日志:
始终检查您的支付处理器日志以验证在何处创建费用。暂存站点可能存在生产 API 密钥,或者您的站点被黑,API 密钥被盗。大多数支付处理商将在其日志中提供更多详细信息和其他信息。
WordPress 开发人员 Rahul Nagare 建议查看Stripe 的 Radar 欺诈保护,它使用机器学习来提供高级保护和欺诈者识别。
“这会让你在 Stripe 上设置自定义规则以拒绝可疑交易,”Nagare 说。“这曾经是 Stripe 的一项免费服务,但他们去年对其进行了更改。我会考虑阻止风险评分高于平均水平的所有交易,也许还有卡测试员的区域。”
WooCommerce 的文档有一个关于响应Stripe Card Testing 的部分,其中有许多与最近的 AWP 线程中讨论的相同的建议。验证码插件是第一道防线。它还建议避免按需支付或没有最低限额的捐赠产品,因为这些产品通常针对持卡人可能会错过的小额交易进行卡片测试。迅速退款任何成功的欺诈订单将减少纠纷的可能性。
