Como usar o Kadence reCAPTCHA para evitar ataques de carding

Anteriormente, escrevemos sobre o Kadence reCAPTCHA para proteger seu site contra spammers e ataques de login de força bruta. O Kadence reCAPTCHA também pode ser útil para lojas de comércio eletrônico que podem ser alvo de ataques de cartão.

Infelizmente, um problema atual que afeta várias lojas de comércio eletrônico, se você usa o WooCommerce ou qualquer outro aplicativo de carrinho, são os ataques de cartão. Esses ataques podem ter repercussões severas para comerciantes on-line, grandes e pequenos.

No post de hoje, analisamos os ataques de cartão, os riscos associados a eles e como o Kadence reCAPTCHA pode ser uma ferramenta eficaz para reduzir o impacto dos ataques de cartão em sua loja.

O que é um ataque de cardação?

Um ataque de cardação também pode ser chamado apenas de “carding” ou “enchimento de cartão de crédito”. Nesses ataques, os criminosos procuram determinar se os números de cartão de crédito roubados que obtiveram são válidos ou não, para que possam usar essas informações roubadas para obter mercadorias de forma fraudulenta. Muitas vezes, esses criminosos usam números de cartão de crédito roubados para comprar itens de alto valor e revendê-los por dinheiro.

Os criminosos compram listas de números de cartões de crédito roubados, que também podem incluir informações de identificação pessoal (PII) dos titulares do cartão, incluindo nome, número do cartão de crédito, data de validade, código CVV, código postal e até mesmo o endereço do titular do cartão, endereço de e-mail e outras informações confidenciais. em formação. O que está incluído nessas listas de números de cartões de crédito roubados depende da fonte. Às vezes, esses cartões de crédito roubados são obtidos por meio de sites invadidos (por que você deve sempre usar proteção como o iThemes Security) ou podem ser obtidos por meio de golpes de phishing em consumidores desavisados.

Muitas vezes, essas listas são compradas por vários criminosos ou “carders”, então o tempo é essencial para eles. Eles precisam descobrir quais números de cartão de crédito ainda são válidos para que possam usá-los antes que o titular do cartão suspeite de fraude. Assim, eles precisam fazê-lo rapidamente.

Como tal, esses criminosos escrevem scripts que testam sua lista de cartões de crédito roubados contra comerciantes desavisados. Esses testes podem ser apenas pequenas compras, mas geralmente são milhares de transações enviadas para a loja online de um único comerciante.

Depois que um cartão é autenticado e se mostra válido, o cartão de crédito usará as informações do cartão de crédito para comprar itens de grandes ingressos, cartões-presente ou qualquer outra coisa que eles possam obter para obter um lucro rápido.

Quais são os riscos de um ataque de carding para os lojistas?

Um ataque de cartão pode afetar negativamente as empresas cujos sites estão sendo usados ​​por cardadores para testar cartões de crédito roubados. O cartão normalmente resultará em um estorno, uma transação contestada que resulta em uma transação revertida para reembolsar os fundos do titular do cartão.

Cada estorno pode afetar a reputação do comerciante on-line com processadores de cartão de crédito, levar a um histórico ruim do comerciante e a inúmeras penalidades de estorno.

Muitas vezes, quando esses tipos de ataques de cartão afetam uma empresa, a empresa de processamento de cartão de crédito entra em contato com o comerciante para pedir que ele tome medidas para corrigir o problema. Se não for verificado, o proprietário da loja corre o risco de perder sua conta de comerciante, eliminando sua capacidade de aceitar transações on-line até que possa obter uma nova conta de comerciante. Mesmo que o façam, o dono da loja, já vítima desse tipo de ataque, é prejudicado por uma designação de alto risco e pode estar sujeito a taxas mais altas de outro provedor de contas de comerciante.

Como saber que você está sob ataque

Se você for alvo de criminosos on-line que tentam ataques de cartão, verá um comportamento aberrante do carrinho. Você pode começar a ver:

• Altas taxas de abandono de carrinho
• Tamanho médio baixo do carrinho de compras
• Várias autorizações de pagamento com falha
• Alto tráfego para a etapa de pagamento em seu carrinho de compras que não segue o fluxo de checkout típico
• Aumento de estornos
• Várias autorizações de pagamento com falha do mesmo usuário, endereço IP ou sessão

Se você estiver observando suas transações on-line, um ataque de cartão será bastante óbvio. Os ataques de cardagem, devido à pressão de tempo que os cardadores estão sofrendo, são quase sempre processos automatizados com padrões claramente identificáveis. Algo não parecerá certo e haverá alguns padrões que farão o ataque se destacar.

Como parar um ataque de cardação

Parar um ataque de cardação pode ser um esforço complicado. Você quer garantir que qualquer pessoa que queira comprar produtos possa fazê-lo da maneira mais fácil possível. Você quer que eles possam fazer o check-out do jeito deles, sem precisar fazer login, criar uma conta, pular obstáculos ou experimentar qualquer atrito. Queremos que eles forneçam informações de pagamento de forma rápida e fácil e cliquem em “Comprar agora”.

No entanto, como acontece com todas as práticas de segurança, quanto mais fácil for para que os visitantes do site façam algo, mais fácil será para os agentes mal-intencionados abusarem dessa funcionalidade. Quanto mais difícil for para os invasores, mais difícil será para os clientes em potencial.

Então, onde o dono de uma loja encontra o equilíbrio? Felizmente, os bots nos dão uma ampla oportunidade de bloquear atividades maliciosas quando podemos identificar claramente seus padrões automatizados orientados por bots.

Nossa recomendação é semelhante à de muitos profissionais de segurança: para interromper um ataque de carding, adote uma abordagem em camadas para tornar o uso da plataforma de comércio eletrônico do seu site pouco atraente para carders criminosos e sua alegre coleção de bots de carding.

Para isso recomendamos:

• Usando a integração do Google reCAPTCHA do Kadence no seu checkout do WooCommerce.
• Converse com seu provedor comercial sobre quaisquer serviços antifraude que eles ofereçam para proteger seu site de comércio eletrônico.
• Estabeleça um plano de resposta a incidentes caso seu site seja atacado para que você possa responder rapidamente.
• Use um serviço como o Cloudflare que pode identificar amplamente a atividade do bot antes mesmo de chegar ao seu site.
• Converse com seu provedor de hospedagem sobre como detectar atividades maliciosas no nível da rede antes que elas cheguem ao seu site.

Como o Kadence reCAPTCHA reduz os ataques de carding?

Como a maioria dos ataques de cartão são automatizados, eles quase sempre falham no reCAPTCHA. O processo reCAPTCHA detecta se uma solicitação vem ou não de uma entrada humana válida. Se for detectado que a solicitação é automatizada, esses padrões facilmente identificáveis ​​podem ser uma das medidas eficazes para ajudar a bloquear um ataque de cartão.

Como começar a usar o Kadence reCAPTCHA para evitar ataques de carding

O plug-in reCAPTCHA do Kadence está disponível para aqueles que compraram o Pacote Completo ou Vitalício. Não está disponível para compra individual. Se você é um cliente Full ou Lifetime Bundle, acesse sua conta no KadenceWP.com e baixe o plugin reCAPTCHA. Temos instruções completas sobre como fazer o Kadence reCAPTCHA funcionar em seu site em nossa postagem anterior sobre o Kadence reCAPTCHA.

Algumas coisas de nota:

1. Certifique-se de que o checkout do reCAPTCHA para WooCommerce esteja ativado.

2. Para reduzir o atrito no seu checkout, use o reCAPTCHA v3 para que seus usuários nem saibam que o reCAPTCHA está sendo usado no seu checkout.

3. Ao implementar o reCAPTCHA v3 em seu processo de checkout, observe atentamente os pedidos. Pode ser necessário ajustar o limite de pontuação para garantir que os usuários válidos não tenham problemas.

4. Se você receber pedidos de países que costumam bloquear o Google, escolha recaptcha.net nas configurações do Kadence reCAPTCHA para garantir que seus pedidos não sejam bloqueados.

5. Se você ocultar o selo reCAPTCHA, certifique-se de adicionar o texto apropriado ao seu formulário conforme instruído pelo Google.

Conclusão

Onde quer que haja comércio, haverá ladrões e fraudadores procurando explorar a fraqueza para obter lucro. Nosso trabalho como proprietários de sites é fortalecer nossas defesas e garantir que esses tipos de ataques não sejam fáceis em nossos sites. Nossa recompensa é menos dor de cabeça administrativa, taxas de processamento de cartão de crédito mais baixas, mais recursos de servidor disponíveis para clientes válidos e uma melhor presença online como um todo.

A Kadence está empenhada em ajudar os proprietários de sites a criar sites eficazes que encantem os clientes e, para isso, a segurança é apenas mais uma ferramenta em nossa oferta integrada.

Se você está pensando em adquirir um Pacote Kadence para dar suporte à sua vitrine online, temos vários plugins que podem ajudá-lo. Os pacotes completos e vitalícios incluem o Kadence reCAPTCHA, bem como o Kadence Conversions, o Kadence Shop Kit e muitas outras ferramentas úteis.