如何保護您的 WooCommerce 商店免受欺詐

幾週前，WPTavern 強調了最近在 WooCommerce 網站上通過 Stripe 進行的支付欺詐激增。 雖然這個問題本身並不新鮮，但這篇文章是由 Advanced WordPress Facebook Group 上的討論引發的，幾位開發人員注意到他們客戶的網站受到類似事件的影響。

他們並不孤單。

根據 Statista 分析的數據，全球因在線支付欺詐造成的電子商務損失翻了一番，從 2021 年的 200 億美元增加到 2022 年的 410 億美元。根據這些趨勢，目前的預測估計這一數字高達 480 億美元2023年。

了解付款欺詐

簡而言之，“欺詐”意味著竊取不屬於您的東西，但是，在線支付欺詐絕非簡單。

什麼是付款欺詐？

當通過未經授權的交易（即未經卡所有者或銀行賬戶的批准）進行支付時，這被稱為支付欺詐。

常見的付款欺詐類型

有各種類型的支付欺詐，執行得如此順利，以至於受害者需要一段時間才能意識到自己被騙了。

卡片測試

盜用借記卡或信用卡詳細信息的欺詐者會進行一些小額購買以確認卡詳細信息有效。 這通常稱為卡片測試或卡片破解。

欺詐者經常尋找允許您支付任意金額（按需支付）的網站或接受小額捐贈的非營利網站。 否則，他們會隨機識別任何毫無戒心的商家網站併購買廉價商品以確認被盜卡仍然有效。

雪上加霜的是，如果欺詐者在技術上足夠熟練，可以為此使用自動化腳本或機器人，則可能會在很短的時間內導致大量此類交易。 通常，當受影響的商戶和實際持卡人注意到這些異常交易並試圖阻止它們時，已經為時已晚。

三角欺詐

這種類型的欺詐可能是一場徹頭徹尾的噩夢，因為很難追踪這條鏈。 通常是這樣的：

• 欺詐者在市場（例如 e-Bay 或亞馬遜）上設置了一個包含產品的虛假店面。
• 真正的客戶訪問了欺詐者的商店併購買了產品。
• 然後，欺詐者使用偷來的信用卡向合法商家下訂單購買該產品，並提供客戶的送貨地址。
• 現在，客戶沒有註意到任何異常，因為她收到的正是她所訂購的，使用的是她真實的銀行卡詳細信息。
• 當被盜卡的所有者看到她賬單上的費用並提出付款糾紛時，毫無戒心的商家必須支付退款的罰款。 由於貨物已經交付給實際為產品付款的人（儘管是欺詐者），商家無法收回交付的物品或欠他的貨款。 此外，他最終還要為拒付支付罰款。
• 如果真正的商家不採取措施阻止此類欺詐交易，損失會很快增加。

友好欺詐

友好欺詐（也稱為虛假拒付）是指客戶使用自己的有效卡從在線零售商處購買商品，但後來向銀行提出拒付，要求退款。 這可能是由於買家的悔恨或猶豫是否要聯繫商家並友好解決。

替代退款

這是騙子使用偷來的卡向網站（通常是非營利組織或接受按需捐贈的網站）支付大筆款項。 然後，他們聯繫該網站並聲稱轉移的金額超出了他們的預期，要求將部分退款退還到另一張卡（他自己的），並再次謊稱用於原始付款的卡已過期。

防止黑客攻擊和支付欺詐的簡單措施

公平地說，支付網關處理器確實盡力阻止惡意行為者，但這還不夠。

事實上，Stripe 發布了一份說明，詳細說明了它對最近卡片測試攻擊激增的反應。 雖然這可能有助於減少欺詐，但考慮到此類成功的欺詐企圖的規模，這仍然只是一個小問題。

因此，您最好承擔起保護您的 WordPress 網站安全的責任，並儘您所能。

這裡有 5 個簡單的方法來做到這一點！

1. 實施強大的登錄流程

網站的安全性取決於其最弱的密碼。 強制使用強密碼是防止黑客訪問您網站的最起碼措施。 但是，如果密碼太複雜以至於人類無法記住，那麼他們可能會偷懶並將其寫在不安全的地方。 或者，如果他們很容易記住，那麼很可能也很容易被黑客攻擊。

強烈建議您通過在登錄過程中增加一個步驟來選擇增加一層安全性，而不是僅依賴強密碼。 一些方法可以做到這一點——

• 使用 WordPress 插件強制執行雙因素身份驗證
• 啟用生物識別密碼以完全避免密碼

2.定期監控付款

注意任何不尋常的客戶模式、奇怪的電子郵件 ID、賬單地址和 IP 地址位置不匹配等。您可以手動執行此操作或使用 WooCommerce 支付插件，例如下面列出的插件。

這裡有一些專門為防止欺詐而設計的 WooCommerce WordPress 插件

SyncTrack 自動添加支付寶

這是一個相對鮮為人知的免費插件，於 2022 年 5 月發布。 它的目標是出色的——它與 Paypal 集成並傳遞付款跟踪信息，這樣您就可以免受與欺詐訂單相關的爭議和退款。

然而，這個插件自發布以來並沒有更新過最新的 WordPress 版本，所以應該謹慎使用。

WooCommerce Eye4Fraud

如果客戶在 Eye4Fraud 批准的帳戶上成功提出拒付，它通過承諾全額賠償來保證拒付保護。 我想沒有比這更好的了。

不過，您需要獲得一個 Eye4Fraud 帳戶才能正常工作，他們會收取您訂單金額的一定百分比作為佣金。 他們的網站上沒有定價信息，您可以聯繫他們獲取個性化報價。

YITH WooCommerce 反欺詐

該插件會自動檢測付款過程中的可疑行為並阻止訂單。 例如，IP 地址、地理位置等參數不匹配。

它還允許您根據風險閾值、來自可疑域的電子郵件、異常高的訂單金額（您可以指定金額）等條件配置阻止訂單的規則。

OPMC 的 Woocommerce 反欺詐

這個流行的反欺詐 WordPress 插件允許您根據預期的客戶行為設置各種規則和警報。 任何不符合此要求的訂單都會突出顯示，以便您可以更仔細地查看它們。

該插件還：

• 評估與每筆付款相關的風險並提醒您注意高風險付款
• 使用 reCAPTCHA 提供針對速度攻擊的保護
• 與 QuickEmailVerification 集成以驗證電子郵件地址

3. 禁用訪客訂單（無需客戶註冊）

考慮強制用戶在下訂單之前在您的網站上註冊。 您還可以通過強制新用戶驗證他們的電子郵件地址或在註冊表單上添加驗證碼（或兩者）來添加額外的檢查。

如果還沒有，請考慮在您的結帳頁面上也添加一個驗證碼。 儘管這可能會惹惱想要快速流暢結賬​​體驗的真實客戶，但它可能仍然值得。

但是，這有助於減少機器人使用隨機不存在的郵件 ID 下達多個小額訂單的卡測試攻擊的機會。

4.啟用速率限制

YITH 的 WooCommerce 反欺詐插件允許您控制指定時間段內每個用戶的訂單數量。 這可以防止欺詐者使用相同的客戶 ID 自動下大量訂單。 當然，這並不是說完全可以阻止它，而是一點點幫助。

5.利用你已有的東西

您應該盡力利用您可能已經在使用的任何資源，例如您的主機、Cloudflare（或類似的安全提供商）。

例如：

• 您可以啟用 Cloudflare 的 Bot Fight 模式，這樣只要發現典型的機器人流量模式，Cloudflare 就會阻止這些模式。
• 如果他們提供任何可以幫助您處理此類嘗試的工具或防火牆，請諮詢您的託管服務提供商。

此外，如果您已經在使用 WooCommerce 支付插件，它會突出顯示為每筆交易評估的風險級別，如“正常”或“高”——這是基於它與 Stripe 的 RADAR 欺詐預防工具的集成。

雖然您絕對應該使用任何可能的方法來防止欺詐，但您仍有可能看到一些欺詐性訂單通過。

將損失降到最低的最佳方法是保持警惕並對您網站上的任何異常購買模式做出快速反應。

如果您看到多個快速連續的小額交易，您應該檢查詳細信息並立即阻止它們，直到您調查這些交易。

保持警惕，保持安全！