Jak chronić swój sklep WooCommerce przed oszustwami

Opublikowany: 2023-02-17

Kilka tygodni temu WPTavern zwrócił uwagę na niedawny wzrost liczby oszustw płatniczych za pośrednictwem Stripe na stronach internetowych WooCommerce. Chociaż ten problem sam w sobie nie jest nowy, ten post został wywołany dyskusją w grupie Advanced WordPress na Facebooku, prowadzonej przez kilku programistów, którzy zauważyli, że podobne incydenty miały wpływ na strony internetowe ich klientów.

I nie są sami.

Według danych przeanalizowanych przez Statista, straty w handlu elektronicznym spowodowane oszustwami płatniczymi online na całym świecie podwoiły się z 20 miliardów dolarów w 2021 r. do 41 miliardów dolarów w 2022 r. Opierając się na tych trendach, obecne prognozy szacują tę liczbę na aż 48 miliardów dolarów. w 2023 r.

Zrozumienie oszustwa płatniczego

Zrozumienie oszustwa płatniczego

Mówiąc najprościej, „oszustwo” oznacza kradzież tego, co nie należy do Ciebie, jednak oszustwa związane z płatnościami online wcale nie są proste.

Co to jest oszustwo płatnicze?

Gdy płatność dokonywana jest poprzez nieautoryzowaną transakcję, tj. bez zgody właściciela karty lub konta bankowego, nazywa się to oszustwem płatniczym.

Typowe rodzaje oszustw płatniczych

Istnieją różne rodzaje oszustw płatniczych, które są tak płynnie przeprowadzane, że ofiary potrzebują trochę czasu, aby zdać sobie sprawę, że zostały oszukane.

Testowanie kart

Oszust ze skradzionymi danymi karty debetowej lub kredytowej dokonuje kilku drobnych zakupów, aby potwierdzić, że dane karty są ważne. Jest to zwykle znane jako testowanie kart lub łamanie kart.

Oszuści często szukają stron internetowych, które umożliwiają wpłacenie dowolnej kwoty (zapłać, ile chcesz) lub stron non-profit, które akceptują niewielkie kwoty jako darowiznę. W przeciwnym razie identyfikują witrynę dowolnego przypadkowego niczego niepodejrzewającego sprzedawcy i kupują tanie przedmioty, aby potwierdzić, że skradziona karta jest nadal aktywna.

Aby dodać do tego bałaganu, jeśli oszust jest wystarczająco wykwalifikowany technicznie, aby używać do tego zautomatyzowanych skryptów lub botów, może to doprowadzić do ogromnej liczby takich transakcji w bardzo krótkim czasie. Najczęściej jest już za późno, zanim sprzedawca, którego dotyczy problem, i faktyczny właściciel karty zauważą te nienormalne transakcje i spróbują je powstrzymać.

Oszustwo triangulacyjne

Ten rodzaj oszustwa może być kompletnym koszmarem, ponieważ naprawdę trudno jest prześledzić ten łańcuch. Tak to zwykle wygląda:

  • Oszust ustawia fałszywą witrynę sklepową na rynku (np. e-Bay lub Amazon) wraz z produktami.
  • Prawdziwy klient odwiedza sklep oszusta i kupuje produkt.
  • Następnie oszust wykorzystuje skradzioną kartę kredytową i składa zamówienie na ten produkt u legalnego sprzedawcy, podając adres wysyłki klienta.
  • Teraz klient nie zauważa niczego nienormalnego, ponieważ otrzymuje dokładnie to, co zamówił, korzystając z prawdziwych danych swojej karty.
  • Kiedy właściciel skradzionej karty widzi obciążenie na swoim rachunku i zgłasza spór dotyczący płatności, to niczego nie podejrzewający sprzedawca musi zapłacić karę za obciążenie zwrotne. Gdy towary zostały już dostarczone do osoby, która faktycznie zapłaciła za produkt (choć oszustowi), sprzedawca nie ma możliwości odzyskania dostarczonego przedmiotu ani należnej mu zapłaty. Poza tym ostatecznie płaci karę za obciążenie zwrotne.
  • Jeśli prawdziwy kupiec nie poprawi swojej gry i nie zapobiegnie takim oszukańczym transakcjom, straty mogą wzrosnąć dość szybko.

Przyjazne oszustwo

Przyjazne oszustwo (znane również jako fałszywe obciążenie zwrotne) ma miejsce, gdy klient kupuje coś przy użyciu własnej ważnej karty od sprzedawcy internetowego, ale później zgłasza obciążenie zwrotne w swoim banku, żądając zwrotu pieniędzy. Może to być spowodowane wyrzutami sumienia kupującego lub wahaniem się przed skontaktowaniem się ze sprzedawcą i rozwiązaniem problemu polubownie.

Alternatywne zwroty

Dzieje się tak, gdy oszust płaci stronie internetowej (zwykle organizacji non-profit lub stronie internetowej, która przyjmuje darowizny typu „płać, ile chcesz”) dużą kwotę, używając skradzionej karty. Następnie kontaktują się ze stroną internetową i twierdzą, że przelali więcej, niż zamierzali, żądając częściowego zwrotu pieniędzy na alternatywną kartę (jego własną), ponownie fałszywie twierdząc, że ważność karty użytej do pierwotnej płatności wygasła.

Proste działania zapobiegające włamaniom i oszustwom płatniczym

Aby być uczciwym, procesory bramek płatniczych dokładają wszelkich starań, aby powstrzymać złośliwych aktorów, ale to po prostu nie wystarczy.

W rzeczywistości Stripe opublikował notatkę, w której szczegółowo opisał swoją reakcję na niedawny wzrost liczby ataków polegających na testowaniu kart. Chociaż mogło to pomóc w ograniczeniu oszustw, to nadal jest to tylko niewielka wada, jeśli weźmie się pod uwagę skalę takich oszukańczych prób, które zakończyły się sukcesem.

Dlatego najlepiej jest wziąć odpowiedzialność za bezpieczeństwo witryny WordPress i zrobić wszystko, co możliwe.

Oto 5 prostych sposobów, aby to zrobić!

1. Wymuś proces silnego logowania

Strona internetowa może być tak bezpieczna, jak jej najsłabsze hasło. Egzekwowanie silnych haseł to minimum, które możesz zrobić, aby uniemożliwić hakerom uzyskanie dostępu do Twojej witryny. Jeśli jednak hasło jest zbyt skomplikowane, aby ludzie mogli je zapamiętać, mogą się rozleniwić i zapisać je w niezabezpieczonym miejscu. Lub jeśli jest to dla nich wystarczająco łatwe do zapamiętania, są szanse, że łatwo też zostać zhakowanym.

Zamiast polegać tylko na silnym haśle, zdecydowanie zaleca się wybranie dodatkowej warstwy bezpieczeństwa, dodając jeszcze jeden krok do procesu logowania. Niektóre sposoby, aby to zrobić -

  • Wymuś uwierzytelnianie dwuskładnikowe za pomocą wtyczki WordPress
  • Włącz klucze biometryczne, aby całkowicie unikać haseł

2. Regularnie monitoruj płatności

Uważaj na wszelkie nietypowe wzorce klientów, dziwne identyfikatory e-mail, niezgodności adresu rozliczeniowego i lokalizacji adresu IP itp. Możesz to zrobić ręcznie lub użyć wtyczki płatniczej WooCommerce, takiej jak te wymienione poniżej.

Oto kilka wtyczek WordPress WooCommerce zaprojektowanych specjalnie do zapobiegania oszustwom

SyncTrack Automatyczne dodawanie Paypal

SyncTrack Automatyczne dodawanie Paypal

Informacje i pobieranie

Jest to stosunkowo mniej znana darmowa wtyczka, która została wydana w maju 2022 roku. To, co ma na celu, jest genialne – integruje się z Paypal i przekazuje informacje o śledzeniu płatności, dzięki czemu jesteś chroniony przed sporami i obciążeniami zwrotnymi związanymi z fałszywymi zamówieniami.

Jednak ta wtyczka nie była aktualizowana od czasu jej wydania i testowana z najnowszymi wersjami WordPress, więc należy jej używać ostrożnie.

WooCommerce Eye4Fraud

Oprogramowanie do ochrony przed oszustwami internetowymi Eye4Fraud

Informacje i pobieranie

Dosłownie gwarantuje ochronę przed obciążeniem zwrotnym, obiecując pełny zwrot pieniędzy, jeśli klient pomyślnie zgłosi obciążenie zwrotne na koncie zatwierdzonym przez Eye4Fraud. Chyba nie ma nic lepszego niż to.

Eye4Fraud

Aby to zadziałało, musisz założyć konto Eye4Fraud, a oni pobierają procent kwoty zamówienia jako prowizję. Na ich stronie internetowej nie ma informacji o cenach, możesz skontaktować się z nimi w celu uzyskania spersonalizowanej oferty.

YITH WooCommerce zwalczanie oszustw

YITH WooCommerce zwalczanie oszustw

Informacje i pobieranie Zobacz demo

Ta wtyczka automatycznie wykrywa podejrzane zachowanie podczas procesu płatności i blokuje zamówienia. Na przykład wszelkie niezgodności parametrów, takich jak adres IP, lokalizacja geograficzna itp.

Pozwala także skonfigurować reguły blokowania zamówień na podstawie warunków takich jak próg ryzyka, e-maile z podejrzanych domen, kwoty zamówień, które są niezwykle wysokie (możesz określić kwotę) i inne.

Woocommerce Anti-Fraud firmy OPMC

Woocommerce Anti-Fraud firmy OPMC

Informacje i pobieranie

Ta popularna wtyczka WordPress do zwalczania oszustw umożliwia konfigurowanie różnych reguł i alertów w oparciu o oczekiwane zachowanie klientów. Wszystkie zamówienia, które nie są zgodne z tym są podświetlone, dzięki czemu można je później dokładniej przeanalizować.

Ta wtyczka również:

  • Ocenia ryzyko związane z każdą płatnością i ostrzega o płatnościach wysokiego ryzyka
  • Zapewnia ochronę przed atakami prędkości za pomocą reCAPTCHA
  • Integruje się z QuickEmailVerification w celu sprawdzania poprawności adresów e-mail

3. Wyłącz zamówienia gości (bez rejestracji klientów)

Rozważ zmuszenie użytkowników do zarejestrowania się w Twojej witrynie przed złożeniem zamówienia. Możesz także dodać dodatkową kontrolę, zmuszając nowych użytkowników do potwierdzenia adresu e-mail lub dodając captcha do formularza rejestracyjnego (lub jedno i drugie).

A jeśli nie, rozważ dodanie captcha również do strony kasy. Chociaż może to denerwować Twoich prawdziwych klientów, którzy chcą szybkiej i płynnej realizacji transakcji, może to być opłacalne.

Może to jednak pomóc zmniejszyć ryzyko ataków polegających na testowaniu kart, w których boty składają wiele zamówień na niewielkie kwoty przy użyciu losowych, nieistniejących identyfikatorów pocztowych.

4. Włącz ograniczenie szybkości

Wtyczka WooCommerce Anti-fraud firmy YITH pozwala kontrolować liczbę zamówień na użytkownika w określonym czasie. Zapobiega to automatycznemu składaniu przez oszustów dużej liczby zamówień przy użyciu tego samego identyfikatora klienta. Nie żeby to całkowicie temu zapobiegało, oczywiście, ale każda odrobina pomaga.

5. Wykorzystaj to, co już masz

Powinieneś dołożyć wszelkich starań, aby wykorzystać zasoby, z których już korzystasz, np. Twój hosting, Cloudflare (lub podobnych dostawców zabezpieczeń).

Na przykład:

  • Możesz włączyć tryb walki botów Cloudflare, aby za każdym razem, gdy zauważone zostaną typowe wzorce ruchu botów, zostały one zablokowane przez Cloudflare.
  • Sprawdź również u swojego dostawcy usług hostingowych, czy udostępnia on narzędzia lub zapory ogniowe, które mogą pomóc w radzeniu sobie z takimi próbami.

Ponadto, jeśli korzystasz już z wtyczki WooCommerce Payments, wyróżnia ona poziom ryzyka oceniany dla każdej transakcji jako „Normalny” lub „Podwyższony” – jest to oparte na integracji z narzędziem zapobiegania oszustwom RADAR firmy Stripe.

Chociaż zdecydowanie powinieneś użyć wszelkich możliwych środków, aby zapobiec oszustwom, możliwe jest, że nadal możesz zobaczyć niektóre fałszywe zamówienia.

Najlepszym sposobem na ograniczenie szkód do minimum jest zachowanie czujności i szybkie reagowanie na wszelkie nietypowe wzorce zakupów w Twojej witrynie.

Jeśli widzisz wiele transakcji na małe kwoty w krótkich odstępach czasu, powinieneś sprawdzić szczegóły i natychmiast je zablokować, dopóki nie zbadasz transakcji.

Bądź czujny, bądź bezpieczny!