Come proteggere il tuo negozio WooCommerce dalle frodi

Pubblicato: 2023-02-17

Qualche settimana fa, WPTavern ha evidenziato il recente picco di frodi nei pagamenti tramite Stripe sui siti Web WooCommerce. Sebbene questo problema in sé non sia nuovo, questo post è stato attivato da una discussione sul gruppo Facebook di Advanced WordPress, da parte di diversi sviluppatori che hanno notato che i siti Web dei loro clienti sono stati interessati da incidenti simili.

E non sono soli.

Secondo i dati analizzati da Statista, le perdite di e-commerce dovute a frodi nei pagamenti online sono raddoppiate a livello globale da 20 miliardi di dollari USA nel 2021 a 41 miliardi di dollari USA nel 2022. Sulla base di queste tendenze, le proiezioni attuali stimano il numero in ben 48 miliardi di dollari USA nel 2023.

Comprensione delle frodi nei pagamenti

Comprensione delle frodi nei pagamenti

In poche parole, la "frode" implica il furto di ciò che non ti appartiene, tuttavia, la frode nei pagamenti online è tutt'altro che semplice.

Cos'è la frode nei pagamenti?

Quando un pagamento viene effettuato tramite una transazione non autorizzata, cioè senza l'approvazione del proprietario della carta o del conto bancario, si parla di frode nei pagamenti.

Tipi comuni di frode nei pagamenti

Esistono vari tipi di frodi sui pagamenti che vengono eseguiti in modo così fluido che ci vuole un po' di tempo prima che le vittime si rendano conto di essere state ingannate.

Test delle carte

Un truffatore con i dettagli della carta di debito o di credito rubati effettua alcuni piccoli acquisti per confermare che i dettagli della carta sono validi. Questo è generalmente noto come test delle carte o cracking delle carte.

I truffatori cercano spesso siti Web che consentono di pagare qualsiasi importo (paga quanto vuoi) o siti Web senza scopo di lucro che accettano piccole somme come donazione. Altrimenti, identificano qualsiasi sito Web di commerciante ignaro casuale e acquistano articoli economici per confermare che la carta rubata è ancora attiva.

Per aggiungere a questo pasticcio, se il truffatore è tecnicamente abbastanza abile da utilizzare script automatici o bot per questo, può portare a un numero enorme di tali transazioni in un periodo molto breve. Il più delle volte, è già troppo tardi quando il commerciante interessato e l'effettivo proprietario della carta notano queste transazioni anomale e cercano di fermarle.

Frode da triangolazione

Questo tipo di frode può essere un vero incubo, perché è davvero difficile rintracciare questa catena. Ecco come va di solito:

  • Un truffatore imposta un negozio fittizio su un mercato (ad esempio e-Bay o Amazon) completo di prodotti.
  • Un vero cliente visita il negozio del truffatore e acquista un prodotto.
  • Il truffatore utilizza quindi una carta di credito rubata ed effettua un ordine per quel prodotto con un commerciante legittimo, con l'indirizzo di spedizione del cliente.
  • Ora, il cliente non si accorge di nulla di anomalo, perché riceve esattamente ciò che ha ordinato, utilizzando i dati autentici della sua carta.
  • Quando il proprietario della carta rubata vede l'addebito sul suo conto e solleva una controversia sul pagamento, è l'ignaro commerciante che deve pagare la penale per il chargeback. Con la merce già consegnata a qualcuno che ha effettivamente pagato il prodotto (anche se al truffatore), il commerciante non ha modo di recuperare l'articolo consegnato o il pagamento che gli è dovuto. Inoltre finisce per pagare anche la penale per il chargeback.
  • Se il vero commerciante non fa il suo gioco e impedisce tali transazioni fraudolente, le perdite possono aumentare abbastanza rapidamente.

Frode amichevole

La frode amichevole (nota anche come storno di addebito falso) si verifica quando un cliente acquista qualcosa utilizzando la propria carta valida da un rivenditore online, ma in seguito presenta uno storno di addebito alla propria banca, chiedendo un rimborso. Ciò potrebbe essere dovuto al rimorso dell'acquirente o all'esitazione a contattare il commerciante e risolverlo amichevolmente.

Rimborsi alternativi

Questo è quando un imbroglione paga un sito web (di solito un non-profit o un sito web che accetta donazioni pay-what-you-want) una grossa somma, usando una carta rubata. Quindi contattano il sito Web e affermano di aver trasferito più di quanto intendevano, chiedendo un rimborso parziale su una carta alternativa (la sua), affermando nuovamente falsamente che la carta utilizzata per il pagamento originale è scaduta.

Semplici azioni per prevenire l'hacking e le frodi nei pagamenti

Ad essere onesti, i processori del gateway di pagamento fanno del loro meglio per tenere fuori gli attori malintenzionati, ma semplicemente non è sufficiente.

In effetti, Stripe ha pubblicato una nota che descrive in dettaglio la sua risposta a questa recente ondata di attacchi ai test delle carte. Sebbene ciò possa aver contribuito a ridurre le frodi, è ancora solo una piccola ammaccatura, se si considera l'entità di tali tentativi fraudolenti che hanno successo.

Quindi è meglio che tu ti assuma la responsabilità di proteggere il tuo sito Web WordPress e di fare tutto il possibile.

Ecco 5 semplici modi per farlo!

1. Applicare un processo di accesso sicuro

Un sito Web può essere sicuro solo quanto la sua password più debole. Applicare password complesse è il minimo che puoi fare per impedire agli hacker di accedere al tuo sito web. Tuttavia, se la password è troppo complessa da ricordare per gli esseri umani, potrebbero diventare pigri e scriverla in un luogo non sicuro. O se è abbastanza facile da ricordare per loro, è probabile che sia anche facile essere hackerati.

Invece di fare affidamento solo su una password complessa, si consiglia vivamente di optare per un ulteriore livello di sicurezza, aggiungendo un ulteriore passaggio al processo di accesso. Alcuni dei modi per farlo -

  • Applica l'autenticazione a due fattori utilizzando un plug-in di WordPress
  • Abilita le passkey biometriche per evitare del tutto le password

2. Monitorare regolarmente i pagamenti

Fai attenzione a eventuali modelli di clienti insoliti, ID e-mail dispari, indirizzo di fatturazione e mancata corrispondenza della posizione dell'indirizzo IP, ecc. Puoi farlo manualmente o utilizzare un plug-in di pagamento WooCommerce come quelli elencati di seguito.

Ecco alcuni plugin WordPress WooCommerce appositamente progettati per la prevenzione delle frodi

SyncTrack Auto Aggiungi Paypal

SyncTrack Auto Aggiungi Paypal

Informazioni e download

Questo è un plugin gratuito relativamente meno conosciuto, che è stato rilasciato nel maggio 2022. Ciò che mira a fare è geniale: si integra con Paypal e trasmette le informazioni di tracciamento dei pagamenti, in modo da proteggerti da controversie e storni di addebito relativi a ordini fraudolenti.

Tuttavia, questo plugin non è stato aggiornato dal suo rilascio e testato con le recenti versioni di WordPress, quindi dovrebbe essere usato con cautela.

WooCommerce Eye4Fraud

Software di protezione dalle frodi online Eye4Fraud

Informazioni e download

Garantisce letteralmente la protezione del chargeback promettendo di rimborsarti completamente, se un cliente solleva un chargeback con successo su un account approvato da Eye4Fraud. Non c'è niente di meglio di questo, immagino.

Eye4Fraud

Avrai bisogno di un account Eye4Fraud per farlo funzionare e ti addebitano una percentuale dell'importo dell'ordine come commissione. Non ci sono informazioni sui prezzi sul loro sito web, puoi contattarli per un preventivo personalizzato.

YITH WooCommerce Antifrode

YITH WooCommerce Antifrode

Info & DownloadVisualizza la demo

Questo plugin rileva automaticamente comportamenti sospetti durante il processo di pagamento e blocca gli ordini. Ad esempio, eventuali mancate corrispondenze di parametri come indirizzo IP, posizione geografica ecc.

Consente inoltre di configurare regole per il blocco degli ordini in base a condizioni quali soglia di rischio, e-mail da domini sospetti, importi degli ordini insolitamente elevati (è possibile specificare l'importo) e altro ancora.

Woocommerce Antifrode di OPMC

Woocommerce Antifrode di OPMC

Informazioni e download

Questo popolare plug-in WordPress antifrode ti consente di impostare varie regole e avvisi in base al comportamento previsto del cliente. Eventuali ordini non conformi a questo vengono evidenziati, in modo da poterli esaminare più da vicino.

Questo plugin inoltre:

  • Valuta il rischio associato a ciascun pagamento e ti avvisa in caso di pagamenti ad alto rischio
  • Fornisce protezione contro gli attacchi di velocità utilizzando reCAPTCHA
  • Si integra con QuickEmailVerification per convalidare gli indirizzi e-mail

3. Disabilitare gli ordini degli ospiti (senza registrazioni dei clienti)

Prendi in considerazione la possibilità di costringere gli utenti a registrarsi sul tuo sito Web prima di effettuare un ordine. Puoi anche aggiungere un ulteriore controllo costringendo i nuovi utenti a convalidare il loro indirizzo email o aggiungendo un captcha nel modulo di registrazione (o entrambi).

E se non l'hai fatto, prendi in considerazione l'aggiunta di un captcha anche alla tua pagina di pagamento. Anche se ciò potrebbe infastidire i tuoi veri clienti che desiderano un'esperienza di check-out rapida e fluida, potrebbe comunque valerne la pena.

Tuttavia, ciò potrebbe aiutare a ridurre le possibilità di attacchi di test delle carte in cui vengono effettuati più ordini per piccoli importi utilizzando ID di posta casuali inesistenti, da parte di bot.

4. Abilita la limitazione della velocità

Il plug-in WooCommerce Antifrode di YITH ti consente di controllare il numero di ordini per utente entro un periodo di tempo specificato. Ciò impedisce ai truffatori di effettuare automaticamente un numero elevato di ordini utilizzando lo stesso ID cliente. Non che questo lo impedisca del tutto ovviamente, ma ogni piccolo aiuto.

5. Sfrutta ciò che hai già

Dovresti fare del tuo meglio per sfruttare qualsiasi risorsa che potresti già utilizzare, ad esempio il tuo hosting, Cloudflare (o fornitori di sicurezza simili).

Per esempio:

  • Puoi abilitare la modalità Bot Fight di Cloudflare in modo che ogni volta che vengono rilevati i tipici schemi di traffico dei bot, questi vengano bloccati da Cloudflare.
  • Verifica anche con il tuo provider di hosting se fornisce strumenti o firewall che potrebbero aiutarti a gestire tali tentativi.

Inoltre, se stai già utilizzando il plug-in WooCommerce Payments, evidenzia il livello di rischio valutato per ogni transazione, come "Normale" o "Elevato", in base alla sua integrazione con lo strumento di prevenzione delle frodi RADAR di Stripe.

Anche se dovresti assolutamente usare qualsiasi mezzo possibile per prevenire le frodi, è possibile che tu possa ancora vedere alcuni ordini fraudolenti passare.

Il modo migliore per ridurre al minimo i danni è stare all'erta e reagire rapidamente a eventuali schemi di acquisto anomali sul tuo sito web.

Se vedi più transazioni per piccoli importi in rapida successione, dovresti controllare i dettagli e bloccarli immediatamente fino a quando non esamini le transazioni.

Stai attento, stai al sicuro!