Nas últimas semanas, membros do grupo Advanced WordPress Facebook (AWP) têm discutido métodos de combate à fraude do Stripe Card Testing. O desenvolvedor do WordPress Jon Brown abriu o tópico depois de ver cobranças fraudulentas em cinco sites diferentes, incluindo quatro usando WooCommerce e um usando a plataforma Leaky Paywall.
“Todos os cinco estavam no Cloudflare com o modo de luta de bot ativado quando aconteceu pela primeira vez”, disse Brown. “Adicionei CAPTCHA a todos os 5, habilitei o modo ‘Sob ataque’ do CloudFlare na página de carrinho/checkout.”
Os sites WooCommerce não tiveram uma recorrência, mas o site Leaky Paywall sim. Brown disse que o cliente não percebeu, pois tinha e-mails do Stripe indo para sua pasta de spam.
“Isso durou duas semanas até que o pico de carga deixou o site offline e eu percebi isso”, disse ele. “Cerca de 1.200 transações bem-sucedidas por US$ 2,99, com 100.000 bloqueadas.”
Brown disse que não entende por que o Stripe não reconhece e bloqueia as cobranças fraudulentas, já que todas seguem um padrão semelhante usando um endereço aleatório do Gmail. Seu cliente teve que contestar aproximadamente 100 dessas transações.
“Cada disputa custa US$ 15 para ser resolvida”, disse Brown. “Cada reembolso não contestado custa US$ 0,40, já que o Stripe (como o PayPal agora) mantém a taxa.
“Então, 100 * $ 15 + 1.100 * $ 0,40 = $ 1.940 em receita perdida para taxas e isso é obviamente DEPOIS de também reembolsar os $ 2,99 por transação fraudulenta. Isso significa que US$ 3.600 em fraude (US$ 2,99 * 1.200) resultaram em uma perda líquida de US$ 1.940 – isso é insano.”
Muitos outros desenvolvedores na conversa foram atingidos por ataques semelhantes, alguns com honeypots que não impediram nada. Um recomendado usar o plugin WooCommerce Fraud Prevention. Ele permite que os proprietários de lojas bloqueiem pedidos de endereços IP, e-mails, endereços, estados e códigos postais específicos. Isso pode ajudar uma vez que os ataques tenham começado, mas não os impede totalmente. Alguns desenvolvedores tiveram sucesso em parar ataques usando o reCaptcha para WooCommerce, um plugin comercial que implementa o reCaptcha V2 (caixa de seleção) e o reCaptcha V3 do Google para impedir coisas como tentativas de login não autorizadas, registros falsos, pedidos de convidados falsos e outros ataques automatizados.
“Nós nos deparamos com isso há cerca de um ano”, disse o desenvolvedor do WordPress John Montgomery. “É uma forma de hackers/ladrões verificarem uma lista de números de cartão para ver se eles são válidos. Depois de confirmar que o cartão funciona em um site, eles podem usar para comprar produtos de verdade. No final, um grande aborrecimento, mas honestamente não é um grande negócio para nós, porque temos produtos digitais e eles não estavam realmente interessados neles.”
Montgomery instalou um plugin chamado Limit Orders for WooCommerce, desenvolvido pela Nexcess, que não permite pedidos após um determinado limite ser atingido.
“Eu configurei para x pedidos por hora (acima de qualquer número histórico)… então, se recebermos, digamos, 100 pedidos em uma hora, ele encerrará os pedidos”, disse ele. “É uma marreta, mas já nos ajudou uma vez.”
Embora muitos lojistas hesitem em adicionar qualquer atrito ao processo de checkout, o consultor de tecnologia Jordan Trask recomenda exigir que os clientes criem contas antes de continuar e verificar os e-mails. Ele escreveu um guia sobre como lidar com ataques de teste de cartão.
“A essência das regras está bloqueando todos os países, exceto aqueles que você atende”, disse Trask. “No entanto, para o WooCommerce, eu colocaria um JS Managed Challenge para o carrinho e o checkout.
“Há um limite de taxa embutido no Cloudflare que pode ajudar, mas é mais baseado em solicitação do que por pedido, que é o que você precisa com base em IP. Se as solicitações vierem do mesmo endereço IP, você poderá limitar os pedidos por IP, pois o e-mail é diferente a cada vez. ”
O plug-in Checkout Rate Limiter, disponível no GitHub, oferece limite de taxa de checkout no checkout WooCommerce com base no endereço IP.
O guia do Trask também recomenda verificar os logs do processador de pagamento ao investigar cobranças fraudulentas:
Sempre verifique os logs do seu processador de pagamento para verificar onde as cobranças estão sendo criadas. Um site de teste pode existir com chaves de API de produção ou seu site foi invadido e as chaves de API foram roubadas. A maioria dos processadores de pagamento terá mais detalhes em seus logs com informações adicionais.
O desenvolvedor do WordPress, Rahul Nagare, recomenda verificar a proteção contra fraudes de radar da Stripe, que usa aprendizado de máquina para fornecer proteção avançada e identificação de fraudadores.
“Isso permitirá que você configure regras personalizadas no Stripe para rejeitar transações suspeitas”, disse Nagare. “Isso costumava ser um serviço gratuito com o Stripe, mas eles o mudaram no ano passado. Eu tentaria bloquear todas as transações com pontuação de risco maior que a média e talvez a região dos testadores de cartão.”
A documentação do WooCommerce tem uma seção sobre como responder a ataques de teste de cartão, que tem muitas das mesmas recomendações discutidas no recente tópico AWP. Um plugin CAPTCHA é a primeira linha de defesa. Também recomenda evitar produtos do tipo pague o que quiser ou doação sem mínimo, pois esses produtos geralmente são direcionados para testes de cartão com pequenas transações que os titulares de cartão podem perder. Reembolsar rapidamente quaisquer pedidos fraudulentos bem-sucedidos diminuirá a possibilidade de disputas.