Como proteger sua loja WooCommerce contra fraudes
Publicados: 2023-02-17Algumas semanas atrás, o WPTavern destacou o recente aumento na fraude de pagamento via Stripe em sites WooCommerce. Embora esse problema em si não seja novo, esta postagem foi desencadeada por uma discussão no grupo Advanced WordPress do Facebook, por vários desenvolvedores que notaram que os sites de seus clientes foram afetados por incidentes semelhantes.
E eles não estão sozinhos.
De acordo com dados analisados pela Statista, as perdas de comércio eletrônico devido a fraudes de pagamento online globalmente dobraram de 20 bilhões de dólares americanos em 2021 para 41 bilhões de dólares americanos em 2022. Com base nessas tendências, as projeções atuais estimam o número em impressionantes 48 bilhões de dólares americanos. em 2023.
Entendendo a fraude de pagamento
Simplificando, 'fraude' implica roubar o que não lhe pertence, no entanto, a fraude de pagamento online é tudo menos simples.
O que é Fraude de Pagamento?
Quando um pagamento é feito por meio de uma transação não autorizada, ou seja, sem a aprovação do proprietário do cartão ou da conta bancária, isso é conhecido como fraude de pagamento.
Tipos comuns de fraude de pagamento
Existem vários tipos de fraudes de pagamento que são executadas com tanta facilidade que leva um tempo até que as vítimas percebam que foram enganadas.
Teste de cartão
Um fraudador com detalhes de cartão de crédito ou débito roubados faz algumas pequenas compras para confirmar que os detalhes do cartão são válidos. Isso geralmente é conhecido como teste de cartão ou quebra de cartão.
Os fraudadores geralmente procuram sites que permitem que você pague qualquer quantia (pague quanto quiser) ou sites sem fins lucrativos que aceitam pequenas quantias como doação. Caso contrário, eles identificam qualquer site de comerciante desavisado aleatório e compram itens baratos para confirmar que o cartão roubado ainda está ativo.
Para aumentar essa confusão, se o fraudador for tecnicamente qualificado o suficiente para usar scripts ou bots automatizados para isso, pode levar a um grande número dessas transações em um período muito curto. Na maioria das vezes, já é tarde demais quando o comerciante afetado e o proprietário do cartão percebem essas transações anormais e tentam interrompê-las.
Fraude de Triangulação
Esse tipo de fraude pode ser um pesadelo completo, porque é muito difícil rastrear essa cadeia. Geralmente é assim:
- Um fraudador estabelece uma vitrine falsa em um mercado (por exemplo, e-Bay ou Amazon) completo com produtos.
- Um cliente genuíno visita a loja do fraudador e compra um produto.
- O fraudador então usa um cartão de crédito roubado e faz um pedido desse produto a um comerciante legítimo, com o endereço de entrega do cliente.
- Agora, o cliente não percebe nada de anormal, pois recebe exatamente o que pediu, com os dados do seu cartão genuíno.
- Quando o dono do cartão roubado vê a cobrança em sua fatura e questiona o pagamento, é o lojista desavisado que deve pagar a multa pelo estorno. Com a mercadoria já entregue a quem efetivamente pagou pelo produto (ainda que, ao fraudador), o lojista não tem como reaver o bem entregue ou o valor que lhe é devido. Além disso, ele acaba pagando a multa pelo estorno também.
- Se o comerciante genuíno não melhorar seu jogo e evitar tais transações fraudulentas, as perdas podem aumentar rapidamente.
Fraude Amigável
A fraude amigável (também conhecida como estorno falso) ocorre quando um cliente compra algo usando seu próprio cartão válido de um varejista on-line, mas depois faz um estorno com o banco, exigindo um reembolso. Isso pode ser devido ao remorso do comprador ou à hesitação em entrar em contato com o comerciante e resolvê-lo amigavelmente.
Reembolsos alternativos
É quando um trapaceiro paga a um site (geralmente uma organização sem fins lucrativos ou um site que aceita doações do tipo "pague quanto quiser") uma grande quantia, usando um cartão roubado. Eles então entram em contato com o site e afirmam ter transferido mais do que pretendiam, solicitando um reembolso parcial para um cartão alternativo (o próprio), novamente alegando falsamente que o cartão usado para o pagamento original expirou.
Ações simples para evitar hackers e fraudes de pagamento
Para ser justo, os processadores de gateway de pagamento fazem o possível para impedir a entrada de agentes mal-intencionados, mas isso simplesmente não é suficiente.
Na verdade, a Stripe publicou uma nota detalhando sua resposta a esse recente aumento nos ataques de teste de cartão. Embora isso possa ter ajudado a reduzir a fraude, ainda é apenas uma pequena diferença, quando você considera a escala dessas tentativas fraudulentas bem-sucedidas.
Portanto, é melhor você assumir a responsabilidade de manter seu site WordPress seguro e fazer tudo o que puder.
Aqui estão 5 maneiras simples de fazer isso!
1. Aplique um processo de login forte
Um site só pode ser tão seguro quanto sua senha mais fraca. Aplicar senhas fortes é o mínimo que você pode fazer para impedir que hackers tenham acesso ao seu site. No entanto, se a senha for muito complexa para os humanos lembrarem, eles podem ficar com preguiça e anotá-la em um local inseguro. Ou se for fácil o suficiente para eles lembrarem, é provável que também seja fácil ser hackeado.
Em vez de confiar apenas em uma senha forte, é altamente recomendável que você opte por uma camada adicional de segurança, adicionando mais uma etapa ao processo de login. Algumas das maneiras de fazer isso -
- Aplique a autenticação de dois fatores usando um plug-in do WordPress
- Habilite senhas biométricas para evitar senhas completamente
2. Monitore os pagamentos regularmente
Fique atento a padrões incomuns de clientes, IDs de e-mail estranhos, endereço de cobrança e incompatibilidades de localização de endereço IP, etc. Você pode fazer isso manualmente ou usar um plug-in de pagamento WooCommerce, como os listados abaixo.
Aqui estão alguns plugins WooCommerce WordPress projetados especificamente para prevenção de fraudes
SyncTrack Auto Add Paypal
Este é um plug-in gratuito relativamente menos conhecido, lançado em maio de 2022. O que ele pretende fazer é brilhante – integra-se ao Paypal e passa informações de rastreamento de pagamento, para que você fique protegido de disputas e estornos relacionados a pedidos fraudulentos.
No entanto, este plug-in não foi atualizado desde o seu lançamento e testado com versões recentes do WordPress, portanto, deve ser usado com cautela.
WooCommerce Eye4Fraud
Ele literalmente garante proteção contra estorno, prometendo reembolsá-lo totalmente, se um cliente fizer um estorno com sucesso em uma conta aprovada pela Eye4Fraud. Não existe nada melhor do que isso, eu acho.
Você precisará obter uma conta Eye4Fraud para que isso funcione e eles cobram uma porcentagem do valor do seu pedido como comissão. Não há informações de preços em seu site, você pode contatá-los para uma cotação personalizada.
YITH WooCommerce Antifraude
Este plug-in detecta automaticamente comportamentos suspeitos durante o processo de pagamento e bloqueia pedidos. Por exemplo, quaisquer incompatibilidades em parâmetros como endereço IP, localização geográfica, etc.
Ele também permite que você configure regras para bloquear pedidos com base em condições como limite de risco, e-mails de domínios suspeitos, valores de pedidos excepcionalmente altos (você pode especificar o valor) e muito mais.
Woocommerce Antifraude por OPMC
Este popular plug-in WordPress antifraude permite que você configure várias regras e alertas com base no comportamento esperado do cliente. Quaisquer pedidos que não estejam em conformidade com isso são destacados, para que você possa analisá-los mais de perto.
Este plugin também:
- Avalia o risco associado a cada pagamento e alerta sobre pagamentos de alto risco
- Fornece proteção contra ataques de velocidade usando reCAPTCHA
- Integra-se com QuickEmailVerification para validar endereços de e-mail
3. Desativar Pedidos de Convidados (sem Cadastros de Clientes)
Considere forçar os usuários a se registrarem em seu site antes de fazer um pedido. Você também pode adicionar uma verificação extra forçando novos usuários a validar seu endereço de e-mail ou adicionando um captcha no formulário de registro (ou ambos).
E se ainda não o fez, considere adicionar um captcha à sua página de checkout também. Embora isso possa incomodar seus clientes reais que desejam uma experiência de check-out rápida e tranquila, ainda pode valer a pena.
No entanto, isso pode ajudar a reduzir as chances de ataques de teste de cartão em que vários pedidos de pequenas quantias são feitos usando IDs de e-mail aleatórios inexistentes, por bots.
4. Habilitar Limitação de Taxa
O plug-in antifraude WooCommerce da YITH permite que você controle o número de pedidos por usuário dentro de um período de tempo especificado. Isso evita que fraudadores façam um grande número de pedidos automaticamente usando o mesmo ID de cliente. Não que isso impeça completamente, é claro, mas cada pequena ajuda.
5. Aproveite o que você já tem
Você deve tentar o seu melhor para aproveitar quaisquer recursos que já esteja usando, por exemplo, sua hospedagem, Cloudflare (ou provedores de segurança semelhantes).
Por exemplo:
- Você pode habilitar o modo Bot Fight da Cloudflare para que, sempre que padrões típicos de tráfego de bots forem notados, eles sejam bloqueados pela Cloudflare.
- Verifique também com seu provedor de hospedagem se eles fornecem ferramentas ou firewalls que possam ajudá-lo a lidar com essas tentativas.
Além disso, se você já estiver usando o plug-in WooCommerce Payments, ele destaca o nível de risco avaliado para cada transação, como 'Normal' ou 'Elevado' - isso é baseado em sua integração com a ferramenta de prevenção de fraude RADAR da Stripe.
Embora você definitivamente deva usar todos os meios possíveis para evitar fraudes, é possível que você ainda veja alguns pedidos fraudulentos.
A melhor maneira de minimizar os danos é ficar alerta e reagir rapidamente a qualquer padrão de compra anormal em seu site.
Se você vir várias transações de pequenos valores em rápida sucessão, verifique os detalhes e bloqueie-os imediatamente até investigar as transações.
Fique alerta, fique seguro!