Schützen Sie sich vor Kartentests
Kartentests sind eine Art betrügerischer Aktivität, bei der jemand versucht, die Gültigkeit gestohlener Kartendaten zu ermitteln, um diese für Einkäufe zu verwenden. Ein Betrüger kann dies tun, indem er gestohlene Kreditkartendaten kauft und dann versucht, mit diesen Karten Einkäufe zu tätigen, um festzustellen, welche Karten noch gültig sind. Andere gebräuchliche Begriffe für Kartentests sind “Carding”, “Kontotests” und “Kartenprüfungen”.
Betrügerische Aktivitäten wie Kartentests sind ein unvermeidlicher Teil des Online-Handels. Kartentests haben jedoch Konsequenzen für das gesamte Zahlungsökosystem, sodass Händler, Kartennetzwerke und Stripe gemeinsam dafür verantwortlich sind, diese zu verhindern. Bei Stripe verbessern wir ständig unsere Tools und Systeme, um Betrug zu erkennen und zu reduzieren, aber Sie müssen in Bezug auf Betrug wachsam bleiben.
So funktionieren Kartentests
Kartentester verwenden sowohl Autorisierungen als auch Zahlungen, um festzustellen, ob die gestohlenen oder generierten Kartendaten gültig sind oder nicht.
- Autorisierungen – Dies ist die empfohlene Methode zum Testen von Karten, da Autorisierungen in der Regel nicht auf den Kontoauszügen der Karteninhaber/innen angezeigt werden. Dadurch wird es auch unwahrscheinlicher, dass der/die Karteninhaber/in die betrügerische Aktivität bemerkt oder meldet.
- ** Payments** – Kartentester bevorzugen kleinere Zahlungen, die von den Karteninhaber/innen weniger wahrscheinlich bemerkt und als betrügerisch gemeldet werden. Das macht Spendenseiten und Unternehmen, die kleine Beträge ermöglichen, zu idealen Zielen für Kartentester.
Konsequenzen
Kartentests haben viele negative Ergebnisse, von denen sich einige mit der Zeit verschlechtern, wenn die Kartentests fortgesetzt werden:
- Anfechtungen – Bei vielen Arten von Kartentests handelt es sich um Zahlungen, von denen einige erfolgreich sind. Kund/innen bemerken erfolgreiche Zahlungen und melden sie als Betrug. Dies führt zu Anfechtungen, die Sie Zeit und Geld kosten.
- Höhere Ablehnungsquoten – Kartentests führen in der Regel dazu, dass eine große Anzahl von Ablehnungen mit Ihrem Unternehmen in Verbindung gebracht wird. Eine hohe Ablehnungsquote schadet dem Ruf Ihres Unternehmens bei Kartenausstellern und Kartennetzwerken, wodurch alle Ihre Transaktionen riskanter erscheinen. Dies kann zu einer erhöhten Ablehnungsquote legitimer Zahlungen führen, selbst wenn die Kartentests beendet wurden.
- Zusätzliche Gebühren – Für Kartentests können zusätzliche Gebühren anfallen, z. B. Autorisierungsgebühren für benutzerdefinierte Preispläne und Anfechtungsgebühren.
- Belastung der Infrastruktur – Kartentests führen in der Regel zu zahlreichen Netzwerkanfragen und Vorgängen. Dieser zusätzliche Datenverkehr kann Ihre Infrastruktur überlasten und legitime Aktivitäten unterbrechen.
- Schädigung des Ökosystems – Kartentests haben negative Auswirkungen auf das Finanzsystem als Ganzes. Stripe und unsere Finanzpartner möchten Sie dabei unterstützen, diese zu verhindern.
Checkliste für aktive Kartentests
Wenn Ihre Integration von Kartentestern missbraucht wird, empfehlen wir Ihnen, sofort folgende Maßnahmen zu ergreifen:
- Identifizieren Sie Sie die Kartentestaktivität.
- Rückerstattung betrügerischer Zahlungen, um Anfechtungen zu vermeiden.
- Fügen Sie Ihrer Integration eine oder mehrere Mitigationen hinzu, um die Kartentests zu stoppen.
- Überwachen Sie Ihre Integration, um sicherzustellen, dass Ihre Gegenmaßnahmen wirksam sind.
Tests zur Identifizierung von Karten
Die meisten Kartentests erkennen Sie an einer deutlichen Zunahme der Ablehnungen. Bei der Überprüfung von Kartentests können Sie die Ablehnung an drei Stellen im Dashboard anzeigen. In den folgenden Abschnitten des Dashboard erhalten Sie einen allgemeinen Überblick über die Kartentestaktivitäten:
- Zahlungen, die aufgrund von Kartentests gesperrt wurden, werden in den Zahlungsdetails für gesperrte Transaktionen als solche gekennzeichnet.
- Die Diagramme unter Entwickler/innen im Dashboard zeigen die neuesten Aktivitäten in Ihrem Stripe-Konto. Erhöhte Ablehnungsraten aufgrund von Kartentests werden in der Regel in diesen Diagrammen angezeigt.
- Bestimmte abgelehnte Kartentests werden in Ihren Protokollen für fehlgeschlagene Anfragen als 402-Fehler angezeigt.
Zahlung wegen Verdachts auf Kartentests gesperrt
Kartentests verhindern
Kartentester verwenden eine Vielzahl von Techniken, um die Blockierung ihrer betrügerischen Aktivitäten zu erschweren. Daher reichen einfache Firewall-Regeln oder Filter, die auf Dingen wie Benutzeragenten-Zeichenfolgen basieren, in der Regel nicht aus, um Kartentests allein zu verhindern.
Eine der beliebtesten Angriffsmethoden für Kartentester ist die Verwendung Ihres Stripe -Geheimschlüssels zum Erstellen von Zahlungen und Validierungen. Achten Sie darauf, Ihre Schlüssel sicher aufzubewahren und veröffentlichen Sie Ihren Geheimschlüssel nicht öffentlich.
Vorsicht
Sie sind kein Entwickler? Verwenden Sie ein Plugin oder eine Plattform? Um Kartentests zu verhindern und zu mildern, sind in der Regel Änderungen auf Code-Ebene erforderlich. Sie müssen diese Dokumentation daher den Entwickler/innen oder Anbieter/innen vorlegen, die den Code geschrieben haben, und mit ihnen zusammenarbeiten, um Kartentests zu verhindern.
Optimieren Sie Ihre Stripe Integration
Stripe verfügt über viele automatisierte und manuelle Kontrollen, um Kartentests zu minimieren, einschließlich Ratenbegrenzer, Warnungen, Modelle für maschinelles Lernen, laufende Überprüfungen usw. Wenn wir zum ersten Mal feststellen, dass Sie einem Kartentestangriff ausgesetzt sind, führen wir so viele Kontrollen wie möglich durch, um den Angriff abzuwehren.
Der Erfolg der Stripe-Steuerungen hängt jedoch von Ihrer Integration und den Signalen ab, die Sie an uns senden. Wir verwenden viele Signale, um zwischen Kartentests und legitimen Zahlungen zu unterscheiden. Während wir einige dieser Signale automatisch berechnen, hängen viele von ihnen von den Informationen ab, die Ihre Integration bereitstellt. Generell gilt: Je mehr Daten Ihre Integration bereitstellt, desto erfolgreicher ist die Prävention von Kartentests.
Darüber hinaus ermöglicht uns die Integration mit der von Stripe empfohlenen Integration die automatische Ausführung von CAPTCHA für verdächtige Kartentestzahlungen. CAPTCHA ist ein wirksames Tool, das Betrüger/innen abhält, aber dennoch unkompliziert genug ist, um Ihren vertrauenswürdigen Nutzerinnen/Nutzern die Nutzung Ihres Dienstes zu ermöglichen. Um unsere CAPTCHA-Integration zu deaktivieren, wenden Sie sich an den Stripe-Support.
Wenn Sie eine unserer empfohlenen Zahlungsintegrationen verwenden, können Sie die Kartentestprävention von Stripe optimal nutzen. Wenn Sie keine empfohlene Integration verwenden können, fügen Sie so viele Daten wie möglich ein oder implementieren Sie Ihre eigenen Steuerelemente.
Integration | Integrationsqualität von Kartentests |
---|---|
Stripe Payment Links Recommended | |
Stripe Checkout Recommended | |
Stripe Elements mit Kundensignalen Recommended | |
Direkte API-Integration mit Client- und Kundensignalen | |
Direkte API-Integration mit Client-Signalen | |
Direkte API-Integration mit Kundensignalen | |
Direkte API-Integration ohne zusätzliche Signale |
Das Einschließen der folgenden Informationen in Ihre Zahlungen kann sich erheblich auf die Leistung von Kartentestmodellen auswirken. Unsere empfohlenen Integrationen ermöglichen es Ihnen, diese Informationen zu erfassen, während direkte Integrationen diese Daten möglicherweise explizit einschließen müssen.
- Erweiterte Betrugserkennung Highest impact
- IP-Adresse
- Kunden-E-Mail
- Kundenname
- Rechnungsadresse
Und schließlich erhalten Sie mit Ihren API-Schlüsseln Zugriff auf die Systeme von Stripe und ein globales Finanznetzwerk. Diesen Zugriff möchten Kartentester ausnutzen, daher ist es wichtig, Ihre Schlüssel sicher aufzubewahren und die Funktionalität dieser Schlüssel abzusichern, um Betrug und andere böswillige Aktivitäten zu verhindern.
Kontrollimplementierung
Endpoints, auf die Kartentester abzielen, ermöglichen in der Regel Folgendes:
- Einem Kunden/einer Kundin eine Karte zuzuordnen.
- Eine Zahlung zu tätigen.
Durch Hinzufügen von Sicherheitseinschränkungen zu Endpoints, die diese Funktionalität zur Verfügung stellen, können Sie Kartentests verhindern oder mindern. Die Einschränkungen, die Sie implementieren, sollten Kartentests unpraktisch machen und sich kaum auf Ihren legitimen Datenverkehr auswirken.
Die spezifischen Sicherheitsmaßnahmen, die Sie zu Ihrer Integration hinzufügen, variieren je nach Ihrer Situation und den Anforderungen Ihres Unternehmens. Im Folgenden werden einige gängige Ansätze beschrieben.
Fügen Sie ein CAPTCHA hinzu
Kartentester verwenden häufig automatisierte Skripte, die mit einem CAPTCHA blockiert werden können. Googles reCAPTCHA ist oft effektiv, um Kartentests zu blockieren. Je nach Bedarf bieten sie Optionen für sichtbare und unsichtbare CAPTCHAS. Wenn Sie ein CAPTCHA zu Ihrer Integration hinzugefügt haben, aber die Kartentests nicht gestoppt wurden, überprüfen Sie Folgendes:
- Stellen Sie sicher, dass das CAPTCHA bei allen Anfragen, die Kartenvalidierungen oder Zahlungen mit Stripe ermöglichen, eine Validierung erfordert.
- Überprüfen Sie die CAPTCHA-Dokumentation, um sicherzustellen, dass sie ordnungsgemäß implementiert wurde.
- Wenn Sie ein CAPTCHA mit einer Punktzahl verwenden, passen Sie den Schwellenwert für die erfolgreiche Ausführung von Anfragen an.
- Probieren Sie eine andere CAPTCHA-Lösung aus, wechseln Sie z. B. von einer unsichtbaren CAPTCHA-Lösung zu einer sichtbaren oder verwenden Sie eine komplett andere CAPTCHA-Lösung.
Ratenbegrenzungen hinzufügen
In einigen Fällen können Sie Kartentests stoppen, indem Sie Ratenbegrenzungen hinzufügen. Passen Sie diese Ratenbegrenzungen an, um die spezifische Art von Kartentests zu stoppen, die Sie erleben. Wenn Kartentester beispielsweise Ihre Integration verwenden, um Karten zu validieren, indem sie diese neuen Kund/innen zuordnen, kann es abschreckend wirken, die Anzahl neuer Kund/innen zu begrenzen, die an einem Tag über eine einzige IP-Adresse erstellt werden können.
Anmeldung oder Sitzungsvalidierung erforderlich
Kartentests können häufig verhindert werden, indem bei der Durchführung bestimmter Aktionen wie der Erstellung eines Kontos oder der Durchführung einer Zahlung eine Anmelde- oder Sitzungsvalidierung verlangt wird. Einige der Sicherheitsvorkehrungen zum Schutz vor CSRF-Angriffen (Cross-Site Request Forgery) sind auch gegen einige Arten von Kartentests, wie CSRF-Token effektiv.
Ungewöhnliches Verhalten erkennen und verhindern
Verwenden Sie das Dashboard, Webhooks oder die kontinuierliche Überwachung mit Stripe Sigma oder Data Pipelines, um Abweichungen Ihres Datenverkehrs zu verfolgen. Sie können die Kartentestaktivität mit dem typischen legitimen Datenverkehr vergleichen und dann Filter erstellen, die nur die Kartentestaktivität einschränken oder verhindern. An Ihrem System können Sie beispielsweise folgende Änderungen vornehmen:
- Begrenzen Sie die Anzahl der Karten, die einem einzelnen Kunden zugeordnet werden können
- Begrenzen Sie die Anzahl der Kund/innen, die mit einer einzigen IP-Adresse erstellt werden können
- Anfragen mit bestimmten User Agents oder anderen Parametern herausfiltern
Dazu können Sie benutzerdefinierte Regeln in Radar for Fraud Teams nutzen. Darauf gehen wir im nächsten Abschnitt ein.
Benutzerdefinierte Regeln gemäß Ihrer Risikobereitschaft erstellen
Radar enthält integrierte Regeln zum Blockieren auf der Grundlage von Banküberprüfungen, wie zum Beispiel CVC-Prüfungen.
Wenn Sie das Kundenverhalten kennen und die Geschwindigkeit von Zahlungen detailliert anpassen möchten, können Sie benutzerdefinierte Regeln unter Radar for Fraud Teams aufstellen.
Beispiele finden Sie im Radar 101-Leitfaden.
Verwenden Sie eine Kombination aus Risikominderungen
Es kann sinnvoll sein, mehrere Ansätze zu kombinieren, um Kartentests zu stoppen, um die Auswirkungen auf betrügerische Aktivitäten zu maximieren, ohne den legitimen Datenverkehr zu beeinträchtigen. Sie können beispielsweise CAPTCHAS und Ratenbegrenzungen kombinieren, sodass der erste Zahlungsversuch von einer IP-Adresse ohne Einschränkungen erfolgt. Nachfolgende Anfragen, die in den nächsten Stunden von derselben IP-Adresse gestellt werden, erfordern jedoch eine Captcha-Verifizierung, um erfolgreich zu sein.