WooCommerce ストアを詐欺から守る方法

公開: 2023-02-17

数週間前、WPTavern は、WooCommerce Web サイトでの Stripe 経由の支払い詐欺が最近急増していることを強調しました。 この問題自体は新しいものではありませんが、この投稿は Advanced WordPress Facebook Group でのディスカッションによって引き起こされました。この投稿は、クライアントの Web サイトが同様のインシデントの影響を受けていることに気付いた複数の開発者によるものです。

そして、彼らは一人ではありません。

Statista が分析したデータによると、オンライン決済詐欺による e コマースの損失は、2021 年の 20 億ドルから 2022 年には 41 億ドルへと世界的に倍増しました。これらの傾向に基づいて、現在の予測では、その額はなんと 480 億ドルと見積もられています。 2023年。

支払い詐欺を理解する

支払い詐欺を理解する

簡単に言えば、「詐欺」とは自分のものではないものを盗むことを意味しますが、オンライン決済詐欺は単純ではありません。

支払い詐欺とは?

カードまたは銀行口座の所有者の承認なしに、不正な取引によって支払いが行われる場合、それは支払い詐欺として知られています。

一般的な支払い詐欺の種類

支払い詐欺には、被害者がだまされたことに気付くのに時間がかかるほどスムーズに実行されるさまざまな種類があります。

カードテスト

デビット カードまたはクレジット カードの詳細を盗んだ詐欺師は、カードの詳細が有効であることを確認するために、少額の購入をいくつか行います。 これは通常、カード テストまたはカード クラッキングとして知られています。

詐欺師は、多くの場合、任意の金額を支払うことができる Web サイト (pay-what-you-want) や、少額の寄付を受け入れる非営利の Web サイトを探します。 それ以外の場合、無防備な加盟店の Web サイトをランダムに特定し、安価な商品を購入して、盗まれたカードがまだ有効であることを確認します。

さらに、詐欺師が自動化されたスクリプトやボットを使用できる技術的なスキルを持っている場合、非常に短期間で膨大な数のトランザクションが発生する可能性があります。 多くの場合、影響を受けた加盟店と実際のカード所有者がこれらの異常な取引に気づき、停止しようとするときには、すでに手遅れです。

三角測量詐欺

この種の詐欺は完全な悪夢となる可能性があります。なぜなら、この連鎖を追跡するのは非常に難しいからです。 通常は次のようになります。

  • 詐欺師は、製品を完備した市場 (e-Bay や Amazon など) に偽の店先を設定します。
  • 本物の顧客が詐欺師の店を訪れ、商品を購入します。
  • 次に詐欺師は、盗んだクレジット カードを使用して、顧客の配送先住所を使用して正規の販売業者にその製品を注文します。
  • 現在、顧客は本物のカード情報を使用して、注文したものを正確に受け取るため、異常に気付くことはありません。
  • 盗まれたカードの所有者が請求書の請求を見て、支払いに異議を申し立てた場合、チャージバックの違約金を支払わなければならないのは疑いを持たない加盟店です。 商品が実際に商品の代金を支払った人 (ただし、詐欺師) にすでに配達されているため、マーチャントは、配達された商品や、その商品に対して支払われるべき支払いを回収する方法がありません。 さらに、彼はチャージバックの違約金も支払うことになります。
  • 本物の商人がそのような不正な取引を防げないと、損失はすぐに大きくなる可能性があります。

意図しない詐欺

意図しない詐欺 (虚偽のチャージバックとも呼ばれます) は、顧客がオンライン小売業者から自分の有効なカードを使用して何かを購入した後、銀行にチャージバックを提起し、払い戻しを要求することです。 これは、購入者が後悔したか、販売者に連絡して友好的に解決することをためらったためである可能性があります。

別の払い戻し

これは、詐欺師が盗んだカードを使用して Web サイト (通常は非営利団体または Pay-what-you-want 寄付を受け入れる Web サイト) に多額の支払いを行う場合です。 その後、彼らはウェブサイトに連絡し、意図した以上の金額を送金したと主張し、別のカード (彼自身のもの) への部分的な払い戻しを要求し、元の支払いに使用したカードの有効期限が切れていると再び偽って主張します。

ハッキングと支払い詐欺を防止するための簡単なアクション

公平を期すために、支払いゲートウェイ プロセッサは悪意のあるアクターを締め出すために最善を尽くしていますが、それだけでは十分ではありません。

実際、Stripe は、この最近のカード テスト攻撃の急増に対する対応を詳述したメモを公開しました。 これは詐欺を減らすのに役立ったかもしれませんが、成功したそのような詐欺の試みの規模を考えると、それはまだ小さなへこみにすぎません.

そのため、WordPress Web サイトを安全に保つ責任を負い、できる限りのことを行うことが最善です。

簡単にできる5つの方法を紹介!

1. 強力なログイン プロセスを強制する

Web サイトの安全性は、その最も弱いパスワードによって決まります。 強力なパスワードを強制することは、ハッカーが Web サイトにアクセスするのを防ぐためにできる最低限のことです。 ただし、パスワードが複雑すぎて人間が覚えられない場合、怠惰になり、安全でない場所にパスワードを書き留める可能性があります。 または、簡単に覚えられるものであれば、ハッキングされる可能性も高くなります。

強力なパスワードのみに依存するのではなく、ログイン プロセスにもう 1 つの手順を追加して、セキュリティをさらに強化することを強くお勧めします。 それを行う方法のいくつか–

  • WordPress プラグインを使用して 2 要素認証を強制する
  • 生体認証パスキーを有効にしてパスワードを完全に回避する

2.支払いを定期的に監視する

異常な顧客パターン、奇妙なメール ID、請求先住所と IP アドレスの場所の不一致などに注意してください。これは手動で行うか、以下にリストされているような WooCommerce 支払いプラグインを使用できます。

不正防止のために特別に設計された WooCommerce WordPress プラグインをいくつか紹介します。

SyncTrack 自動追加 Paypal

SyncTrack 自動追加 Paypal

情報とダウンロード

これは比較的知られていない無料のプラグインで、2022 年 5 月にリリースされました。 それが目指していることは素晴らしいです.Paypalと統合し、支払い追跡情報を渡すため、不正な注文に関連する紛争やチャージバックから保護されます.

ただし、このプラグインはリリース以来更新されておらず、最近の WordPress バージョンでテストされているため、注意して使用する必要があります.

WooCommerce Eye4Fraud

Eye4Fraud オンライン詐欺防止ソフトウェア

情報とダウンロード

Eye4Fraudが承認したアカウントで顧客がチャージバックを正常に提起した場合、全額返金することを約束することにより、文字通りチャージバック保護を保証します. これ以上良くなることはないと思います。

Eye4Fraud

ただし、これが機能するにはEye4Fraudアカウントを取得する必要があり、注文金額のパーセンテージを手数料として請求します. 彼らのウェブサイトには価格情報がありません。パーソナライズされた見積もりについては、彼らに連絡することができます.

YITH WooCommerce 不正防止

YITH WooCommerce 不正防止

情報とダウンロードデモを見る

このプラグインは、支払いプロセス中に疑わしい動作を自動的に検出し、注文をブロックします。 たとえば、IP アドレス、地理的位置などのパラメータの不一致。

また、リスクしきい値、疑わしいドメインからの電子メール、異常に高い注文金額 (金額を指定できます) などの条件に基づいて、注文をブロックするルールを構成することもできます。

OPMC による Woocommerce Anti-Fraud

OPMC による Woocommerce Anti-Fraud

情報とダウンロード

この人気のある詐欺対策 WordPress プラグインを使用すると、予想される顧客の行動に基づいて、さまざまなルールとアラートを設定できます。 これに準拠していない注文は強調表示されるため、詳細に調べることができます。

このプラグインはまた:

  • 各支払いに関連するリスクを評価し、リスクの高い支払いについて警告します
  • reCAPTCHA を使用して速度攻撃に対する保護を提供します
  • QuickEmailVerification と統合して、電子メール アドレスを検証します

3. ゲスト注文を無効にする (顧客登録なし)

注文する前に、ユーザーに Web サイトへの登録を強制することを検討してください。 また、新規ユーザーにメールアドレスの検証を強制するか、登録フォームにキャプチャを追加する (またはその両方) ことで、追加のチェックを追加することもできます。

まだお持ちでない場合は、チェックアウト ページにもキャプチャを追加することを検討してください。 迅速でスムーズなチェックアウト体験を望んでいる実際の顧客を苛立たせるかもしれませんが、それでも価値があるかもしれません.

ただし、これにより、ボットによる、存在しないランダムなメール ID を使用して少額の複数の注文が行われるカード テスト攻撃の可能性を減らすことができます。

4.レート制限を有効にする

YITH の WooCommerce Anti-fraud プラグインを使用すると、指定した期間内のユーザーごとの注文数を制御できます。 これにより、詐欺師が同じ顧客 ID を使用して多数の注文を自動的に行うことを防ぎます。 もちろん、これで完全に防げるわけではありませんが、少しでも役に立ちます。

5. すでに持っているものを活用する

ホスティング、Cloudflare (または同様のセキュリティ プロバイダー) など、既に使用しているリソースを最大限に活用するようにしてください。

例えば:

  • Cloudflare のボット ファイト モードを有効にすると、典型的なボット トラフィック パターンが検出されるたびに、それらが Cloudflare によってブロックされます。
  • このような試みに対処するのに役立つツールやファイアウォールが提供されているかどうか、ホスティング プロバイダーにも確認してください。

また、すでに WooCommerce Payments プラグインを使用している場合は、トランザクションごとに評価されたリスク レベルが「通常」または「高」として強調表示されます。これは、Stripe の RADAR 詐欺防止ツールとの統合に基づいています。

詐欺を防止するために可能な限りの手段を使用する必要がありますが、依然として不正な注文が行われる可能性があります。

損害を最小限に抑える最善の方法は、警戒を怠らず、Web サイトの異常な購入パターンに迅速に対応することです。

少額の複数の取引が立て続けに見られる場合は、詳細を確認し、取引を調査するまですぐにブロックする必要があります。

警戒を怠らず、安全を確保してください!