KadencereCAPTCHAを使用してカーディング攻撃を防ぐ方法

公開: 2022-02-01
カーディング攻撃を防ぐreCAPTCHA

以前、スパマーやブルートフォースログイン攻撃からサイトを保護するためのKadencereCAPTCHAについて書きました。 Kadence reCAPTCHAは、カーディング攻撃の標的となる可能性のあるeコマースストアにも役立ちます。

残念ながら、WooCommerceを使用しているか、他のカートアプリケーションを使用しているかにかかわらず、多数のeコマースストアに影響を与える現在の問題は、カード攻撃です。 これらの攻撃は、大小を問わずオンラインマーチャントに深刻な影響を与える可能性があります。

本日の投稿では、カーディング攻撃とそれに関連するリスク、およびKadencereCAPTCHAがカード攻撃によるストアへの影響を軽減するための効果的なツールとなる方法について説明します。

カーディング攻撃とは何ですか?

カーディング攻撃は、単に「カーディング」または「クレジットカードスタッフィング」と呼ばれることもあります。 これらの攻撃では、犯罪者は、取得したクレジットカード番号が有効かどうかを判断し、盗んだ情報を振り返って不正に商品を入手できるようにします。 多くの場合、これらの犯罪者は盗まれたクレジットカード番号を使用して高額商品を購入し、現金で転売します。

犯罪者は盗まれたクレジットカード番号のリストを購入します。これには、名前、クレジットカード番号、有効期限、CVVコード、郵便番号、さらにはカード所有者のアドレス、電子メールアドレス、その他の機密情報など、カード所有者の個人識別情報(PII)も含まれます。情報。 これらの盗まれたクレジットカード番号のリストに含まれるものは、ソースによって異なります。 これらの盗まれたクレジットカードは、ハッキングされたサイトから入手される場合があります(iThemes Securityなどの保護を常に使用する必要がある理由)。または、疑いを持たない消費者に対するフィッシング詐欺から入手することもできます。

多くの場合、これらのリストは多数の犯罪者または「カーダー」によって購入されるため、時間が重要です。 カード所有者が詐欺の疑いをかける前に使用できるように、どのクレジットカード番号がまだ有効であるかを確認する必要があります。 したがって、彼らはそうする必要があります。

そのため、これらの犯罪者は、盗まれたクレジットカードのリストを無防備な商人に対してテストするスクリプトを作成します。 これらのテストはほんの小さな購入かもしれませんが、多くの場合、単一の商人のオンラインストアフロントに送信される何千ものトランザクションです。

カードが認証され、有効であることが示されると、カーダーはそのクレジットカード情報を使用して、高額のチケットアイテム、ギフトカード、またはその他の入手可能なものを購入し、すぐに利益を得ることができます。

店主へのカーディング攻撃のリスクは何ですか?

カーディング攻撃は、盗まれたクレジットカードをテストするためにカーダーがWebサイトを使用している企業に悪影響を与える可能性があります。 カーディングは通常、チャージバックを引き起こします。これは、カード所有者の資金を払い戻すための取り消されたトランザクションをもたらす係争中のトランザクションです。

すべてのチャージバックは、クレジットカードプロセッサを使用するオンラインマーチャントの評判に影響を及ぼし、マーチャントの履歴が不十分になり、チャージバックのペナルティが多数発生する可能性があります。

多くの場合、これらのタイプのカード攻撃がビジネスに影響を与える場合、クレジットカード処理会社は販売者に連絡して、問題を修正するための措置を講じるよう販売者に依頼します。 チェックを外したままにすると、ストアの所有者はマーチャントアカウントを失うリスクがあり、新しいマーチャントアカウントを取得できるようになるまでオンラインでトランザクションを受け入れることができなくなります。 たとえそうだとしても、すでにこの種の攻撃の犠牲になっている店主は、高リスクの指定によって傷つけられ、別のマーチャントアカウントプロバイダーからのより高い料金の対象となる可能性があります。

攻撃を受けていることを知る方法

カード攻撃を試みるオンライン犯罪者の標的になっている場合は、カートの動作が異常になります。 あなたは見始めるかもしれません:

  • カートの放棄率が高い
  • ショッピングカートの平均サイズが小さい
  • 多数の失敗した支払い承認
  • 通常のチェックアウトフローに従わないショッピングカートの支払いステップへのトラフィックが多い
  • チャージバックの増加
  • 同じユーザー、IPアドレス、またはセッションからの多数の失敗した支払い承認

オンライントランザクションを監視している場合、カーディング攻撃はかなり明白です。 カーディング攻撃は、カーダーが時間のプレッシャーにさらされているため、ほとんどの場合、明確に識別可能なパターンを持つ自動化されたプロセスです。 何かが正しく見えず、攻撃を際立たせるパターンがいくつかあります。

カーディング攻撃を止める方法

カーディング攻撃を停止することは、トリッキーな試みになる可能性があります。 あなたは、製品を購入したい人ができるだけ簡単に購入できるようにしたいのです。 ログインしたり、アカウントを作成したり、フープを飛び越えたり、摩擦を経験したりすることなく、彼らが自分の道をチェックできるようにしたいと考えています。 支払い情報をすばやく簡単に提供して、[今すぐ購入]をクリックしてもらいたい。

ただし、すべてのセキュリティ慣行と同様に、サイト訪問者が何かを実行しやすくするほど、悪意のある攻撃者がその機能を悪用しやすくなります。 攻撃者のためにそれを作るのが難しいほど、潜在的な顧客のためにそれを作るのは難しくなります。

では、店主はどこでバランスをとっていますか? 幸いなことに、ボットは、自動化されたボット主導のパターンを明確に識別できる場合、悪意のあるアクティビティをブロックする十分な機会を与えてくれます。

私たちの推奨事項は、多くのセキュリティ専門家の推奨事項と似ています。カーディング攻撃を阻止するには、階層化されたアプローチを採用して、サイトのeコマースプラットフォームを犯罪者のカーダーやカーディングボットの陽気なコレクションに魅力を感じさせないようにします。

そのために、次のことをお勧めします。

  • WooCommerceチェックアウトでKadenceのGooglereCAPTCHA統合を使用します。
  • eコマースサイトを保護するために提供する不正防止サービスについては、マーチャントプロバイダーにご相談ください。
  • サイトが攻撃された場合のインシデント対応計画を立てて、迅速に対応できるようにします。
  • ボットがサイトに到達する前に、ボットのアクティビティを幅広く識別できるCloudflareのようなサービスを使用してください。
  • サイトに到達する前に、ネットワークレベルで悪意のあるアクティビティを検出することについて、ホスティングプロバイダーに相談してください。

Kadence reCAPTCHAはどのようにしてカーディング攻撃を削減しますか?

ほとんどのカーディング攻撃は自動化されているため、ほとんどの場合、reCAPTCHAに失敗します。 reCAPTCHAプロセスは、リクエストが有効な人間の入力からのものであるかどうかを検出します。 リクエストが自動化されていることが検出された場合、これらの簡単に識別できるパターンは、カーディング攻撃をブロックするのに役立つ効果的な手段の1つになります。

カード攻撃を防ぐためにKadencereCAPTCHAを使い始める方法

KadenceのreCAPTCHAプラグインは、フルバンドルまたはライフタイムバンドルのいずれかを購入した人が利用できます。 個別購入はできません。 フルバンドルまたはライフタイムバンドルをご利用の場合は、KadenceWP.comのアカウントにアクセスして、reCAPTCHAプラグインをダウンロードしてください。 Kadence reCAPTCHAに関する以前の投稿で、KadencereCAPTCHAをサイトで機能させる方法についての完全な説明があります。

注意事項:

  1. WooCommerceチェックアウトのreCAPTCHAがオンになっていることを確認します。
kadencerecaptcha設定


2.チェックアウトの摩擦を減らすには、reCAPTCHA v3を使用して、ユーザーがチェックアウトでreCAPTCHAが使用されていることに気付かないようにします。

キャプチャスコアのしきい値


3.チェックアウトプロセスにreCAPTCHAv3を実装するときは、注文を注意深く監視してください。 有効なユーザーに問題がないことを確認するために、スコアのしきい値を調整する必要がある場合があります。


4. Googleを定期的にブロックしている国から注文を受け取った場合は、Kadence reCAPTCHA設定でrecaptcha.netを選択して、注文がブロックされないようにします。

reCAPTCHAドメイン名


5. reCAPTCHAバッジを非表示にする場合は、Googleの指示に従って、フォームに適切なテキストを追加してください。

結論

商取引があるところならどこでも、利益を上げるために弱点を悪用しようとしている泥棒や詐欺師がいるでしょう。 サイト所有者としての私たちの仕事は、防御を強化し、これらのタイプの攻撃が私たちのサイトで簡単にならないようにすることです。 私たちの見返りは、管理上の頭痛の種が減り、クレジットカードの処理手数料が減り、有効な顧客が利用できるサーバーリソースが増え、全体としてオンラインでの存在感が高まることです。

Kadenceは、サイト所有者が顧客を喜ばせる効果的なサイトを構築するのを支援することに尽力しており、そのために、セキュリティはバンドルされた製品のもう1つのツールにすぎません。

オンラインストアフロントをサポートするためにKadenceバンドルの入手を検討している場合は、役立つプラグインが多数用意されています。 フルバンドルとライフタイムバンドルの両方に、Kadence reCAPTCHA、Kadence Conversions、Kadence Shop Kit、およびその他の多くの便利なツールが含まれています。

Kadenceバンドルを入手する