Как защитить свой магазин WooCommerce от мошенничества

Опубликовано: 2023-02-17

Несколько недель назад WPTavern обратил внимание на недавний всплеск мошенничества с платежами через Stripe на веб-сайтах WooCommerce. Хотя сама эта проблема не нова, этот пост был вызван обсуждением в группе Advanced WordPress в Facebook несколькими разработчиками, которые заметили, что веб-сайты их клиентов пострадали от подобных инцидентов.

И они не одиноки.

Согласно данным, проанализированным Statista, убытки электронной коммерции из-за мошенничества с онлайн-платежами во всем мире удвоились с 20 миллиардов долларов США в 2021 году до 41 миллиарда долларов США в 2022 году. Основываясь на этих тенденциях, текущие прогнозы оценивают цифру в колоссальные 48 миллиардов долларов США. в 2023 году.

Понимание мошенничества с платежами

Понимание мошенничества с платежами

Проще говоря, «мошенничество» подразумевает кражу того, что вам не принадлежит, однако мошенничество с онлайн-платежами совсем не простое.

Что такое платежное мошенничество?

Когда платеж осуществляется с помощью несанкционированной транзакции, то есть без одобрения владельца карты или банковского счета, это называется мошенничеством с платежами.

Распространенные виды мошенничества с платежами

Существуют различные виды мошенничества с платежами, которые выполняются настолько гладко, что жертвам требуется некоторое время, чтобы даже понять, что их обманули.

Тестирование карты

Мошенник с украденными данными дебетовой или кредитной карты совершает несколько небольших покупок, чтобы подтвердить, что данные карты действительны. Обычно это называется тестированием карты или взломом карты.

Мошенники часто ищут веб-сайты, которые позволяют вам платить любую сумму (платите сколько хотите), или некоммерческие веб-сайты, которые принимают небольшие суммы в качестве пожертвований. В противном случае они идентифицируют веб-сайт любого ничего не подозревающего продавца и покупают дешевые товары, чтобы убедиться, что украденная карта все еще активна.

Вдобавок ко всему, если мошенник достаточно технически подкован, чтобы использовать для этого автоматизированные скрипты или ботов, это может привести к огромному количеству таких транзакций за очень короткий период. Чаще всего уже слишком поздно, когда пострадавший продавец и фактический владелец карты замечают эти ненормальные транзакции и пытаются их остановить.

Мошенничество с триангуляцией

Этот вид мошенничества может быть полным кошмаром, потому что эту цепочку очень сложно отследить. Вот как это обычно происходит:

  • Мошенник размещает на торговой площадке (например, e-Bay или Amazon) поддельную витрину с товарами.
  • Настоящий покупатель приходит в магазин мошенника и покупает товар.
  • Затем мошенник использует украденную кредитную карту и размещает заказ на этот продукт у законного продавца с адресом доставки клиента.
  • Теперь клиент не замечает ничего ненормального, потому что получает именно то, что заказал, используя свои настоящие реквизиты карты.
  • Когда владелец украденной карты видит списание средств со своего счета и поднимает спор об оплате, ничего не подозревающий продавец должен заплатить штраф за возврат платежа. Поскольку товар уже доставлен тому, кто фактически заплатил за товар (хотя и мошеннику), у продавца нет возможности вернуть доставленный товар или платеж, который он должен за него. Кроме того, он в конечном итоге платит штраф за возврат платежа.
  • Если настоящий продавец не проявит свою игру и не предотвратит такие мошеннические транзакции, потери могут возрасти довольно быстро.

Дружеское мошенничество

Дружественное мошенничество (также известное как ложный возврат платежа) — это когда покупатель покупает что-либо с помощью своей действующей карты в интернет-магазине, но позже вызывает возврат платежа в своем банке, требуя возмещения. Это может быть связано либо с раскаянием покупателя, либо с нежеланием связаться с продавцом и решить проблему мирным путем.

Альтернативные возвраты

Это когда мошенник платит веб-сайту (обычно некоммерческому или веб-сайту, который принимает пожертвования по принципу «плати сколько хочешь») крупную сумму, используя украденную карту. Затем они связываются с веб-сайтом и утверждают, что перевели больше, чем намеревались, запрашивая частичное возмещение на альтернативную карту (его собственную), снова ложно заявляя, что срок действия карты, использованной для первоначального платежа, истек.

Простые действия для предотвращения взлома и мошенничества с платежами

Честно говоря, процессоры платежных шлюзов изо всех сил стараются не допустить злоумышленников, но этого просто недостаточно.

На самом деле, Stripe опубликовала заметку, в которой подробно описала свою реакцию на этот недавний всплеск атак, связанных с тестированием карт. Хотя это, возможно, помогло уменьшить мошенничество, это все еще лишь небольшая вмятина, если учесть масштаб таких успешных мошеннических попыток.

Так что лучше всего взять на себя ответственность за безопасность вашего сайта WordPress и сделать все возможное.

Вот 5 простых способов сделать это!

1. Обеспечьте надежный процесс входа в систему

Веб-сайт может быть настолько безопасным, насколько его самый слабый пароль. Использование надежных паролей — это самое малое, что вы можете сделать, чтобы хакеры не получили доступ к вашему сайту. Однако, если пароль слишком сложен для запоминания людьми, они могут полениться и записать его в небезопасном месте. Или, если им достаточно легко запомнить, скорее всего, его также легко взломать.

Вместо того, чтобы полагаться только на надежный пароль, настоятельно рекомендуется выбрать дополнительный уровень безопасности, добавив еще один шаг в процесс входа в систему. Некоторые из способов сделать это —

  • Включите двухфакторную аутентификацию с помощью плагина WordPress.
  • Включите биометрические пароли, чтобы полностью избежать паролей

2. Регулярно отслеживайте платежи

Следите за любыми необычными шаблонами клиентов, нечетными идентификаторами электронной почты, несоответствием местоположения платежного адреса и IP-адреса и т. д. Вы можете сделать это вручную или использовать платежный плагин WooCommerce, например, перечисленные ниже.

Вот несколько плагинов WooCommerce для WordPress, специально разработанных для предотвращения мошенничества.

SyncTrack Auto Add Paypal

SyncTrack Auto Add Paypal

Информация и загрузка

Это относительно малоизвестный бесплатный плагин, выпущенный в мае 2022 года. То, что он стремится сделать, блестяще — он интегрируется с Paypal и передает информацию об отслеживании платежей, чтобы вы были защищены от споров и возвратных платежей, связанных с мошенническими заказами.

Однако этот плагин не обновлялся с момента его выпуска и не тестировался с последними версиями WordPress, поэтому его следует использовать с осторожностью.

WooCommerce Eye4Fraud

Программное обеспечение для защиты от мошенничества в Интернете Eye4Fraud

Информация и загрузка

Это буквально гарантирует защиту от возвратных платежей, обещая полностью возместить вам расходы, если клиент успешно инициирует возврат платежа в одобренной Eye4Fraud учетной записи. Думаю, лучше этого не будет.

Eye4Fraud

Вам нужно будет получить учетную запись Eye4Fraud, чтобы это работало, и они взимают процент от суммы вашего заказа в качестве комиссии. На их веб-сайте нет информации о ценах, вы можете обратиться к ним за персональным предложением.

YITH WooCommerce Защита от мошенничества

YITH WooCommerce Защита от мошенничества

Информация и загрузкаПосмотреть демоверсию

Этот плагин автоматически обнаруживает подозрительное поведение в процессе оплаты и блокирует заказы. Например, любые несоответствия в таких параметрах, как IP-адрес, географическое положение и т. д.

Он также позволяет настраивать правила блокировки заказов на основе таких условий, как порог риска, электронные письма с подозрительных доменов, необычно высокие суммы заказов (вы можете указать сумму) и многое другое.

Защита от мошенничества Woocommerce от OPMC

Защита от мошенничества Woocommerce от OPMC

Информация и загрузка

Этот популярный плагин WordPress для борьбы с мошенничеством позволяет вам настраивать различные правила и оповещения в зависимости от ожидаемого поведения клиентов. Любые заказы, которые не соответствуют этому, выделяются, чтобы вы могли более внимательно изучить их.

Этот плагин также:

  • Оценивает риск, связанный с каждым платежом, и предупреждает вас о платежах с высоким риском
  • Обеспечивает защиту от скоростных атак с помощью reCAPTCHA
  • Интегрируется с QuickEmailVerification для проверки адресов электронной почты.

3. Отключить гостевые заказы (без регистрации клиентов)

Подумайте о том, чтобы заставить пользователей зарегистрироваться на вашем веб-сайте перед размещением заказа. Вы также можете добавить дополнительную проверку, заставив новых пользователей подтвердить свой адрес электронной почты или добавив капчу в регистрационную форму (или и то, и другое).

А если вы еще этого не сделали, рассмотрите возможность добавления капчи на страницу оформления заказа. Хотя это может раздражать ваших реальных клиентов, которые хотят быстрой и удобной проверки, это все же может быть полезно.

Тем не менее, это может помочь снизить вероятность атак при тестировании карт, когда ботами размещаются несколько заказов на небольшие суммы с использованием случайных несуществующих почтовых идентификаторов.

4. Включить ограничение скорости

Плагин WooCommerce Anti-fraud от YITH позволяет вам контролировать количество заказов на пользователя в течение определенного периода времени. Это не позволяет мошенникам автоматически размещать большое количество заказов, используя один и тот же идентификатор клиента. Не то, чтобы это полностью мешает, конечно, но всякая мелочь помогает.

5. Используйте то, что у вас уже есть

Вы должны сделать все возможное, чтобы воспользоваться любыми ресурсами, которые вы уже используете, например, вашим хостингом, Cloudflare (или аналогичными поставщиками безопасности).

Например:

  • Вы можете включить режим Bot Fight Cloudflare, чтобы при обнаружении типичных шаблонов трафика ботов они блокировались Cloudflare.
  • Также уточните у своего хостинг-провайдера, предоставляют ли они какие-либо инструменты или брандмауэры, которые могут помочь вам справиться с такими попытками.

Кроме того, если вы уже используете плагин WooCommerce Payments, он выделяет уровень риска, оцениваемый для каждой транзакции, как «Нормальный» или «Повышенный» — это основано на его интеграции с инструментом предотвращения мошенничества Stripe RADAR.

Хотя вам определенно следует использовать все возможные средства для предотвращения мошенничества, возможно, вы все еще можете увидеть, как некоторые мошеннические заказы выполняются.

Лучший способ свести ущерб к минимуму — оставаться начеку и быстро реагировать на любые ненормальные модели покупок на вашем веб-сайте.

Если вы видите несколько транзакций на небольшие суммы в быстрой последовательности, вам следует проверить детали и немедленно заблокировать их, пока вы не расследуете транзакции.

Будьте начеку, будьте в безопасности!