Proteksi diri Anda dari percobaan kartu

Percobaan kartu merupakan tipe aktivitas penipuan di mana seseorang mencoba menentukan jika informasi kartu yang dicuri valid sehingga dapat menggunakannya untuk melakukan pembelian. Penipu mungkin melakukannya dengan membeli informasi kartu kredit curian, kemudian mencoba untuk memvalidasi atau melakukan pembelian dengan kartu itu untuk menentukan kartu yang masih berlaku. Istilah umum lain untuk percobaan kartu adalah “pembobolan kartu kredit”, “percobaan akun”, “enumerasi”, dan “pengecekan kartu.”

Aktivitas penipuan seperti percobaan kartu merupakan bagian tak terhindarkan dari perdagangan online. Walaupun demikian, percobaan kartu memiliki konsekuensi bagi keseluruhan ekosistem pembayaran, sehingga merchant, jaringan kartu, dan Stripe berbagi tanggung jawab untuk mencegahnya. Di Stripe, kami terus menyempurnakan alat dan sistem kami guna mendeteksi dan mengurangi penipuan, tetapi Anda harus tetap waspada terkait penipuan.

Cara kerja percobaan kartu

Pencoba kartu menggunakan penyiapan kartu maupun pembayaran guna menentukan jika informasi kartu yang dicuri atau disebutkan itu valid atau tidak. Untuk memvalidasi banyak nomor kartu dengan cepat, penipu menggunakan skrip untuk mencoba sejumlah besar informasi kartu sekaligus, dan mengumpulkan tanggapan 3DS atau penerbit untuk memvalidasi informasi kartu yang valid. Setelah mengidentifikasi kartu yang valid, penipu dapat menguangkannya dengan merchant atau menjual kembali kartu yang telah dikonfirmasi di web gelap.

• Penyiapan Kartu—Ini adalah metode yang disukai oleh penipu, karena validasi kartu dan otorisasi selama penyiapan kartu biasanya tidak muncul pada rekening koran pemegang kartu. Hal ini mengurangi kemungkinan pemegang kartu memperhatikan dan melaporkan aktivitas penipuan.
• Pembayaran—Pencoba kartu membuat pembayaran dalam jumlah kecil, yang cenderung tidak diperhatikan dan dilaporkan sebagai penipuan oleh pemegang kartu.

Konsekuensi percobaan kartu

Percobaan kartu memiliki banyak hasil negatif, beberapa di antaranya memburuk seiring dengan berlanjutnya percobaan kartu:

• Sengketa— Banyak tipe percobaan kartu melibatkan pembayaran, beberapa di antaranya berhasil. Pelanggan akan melihat pembayaran yang berhasil dan melaporkannya sebagai penipuan, yang mengakibatkan Peringatan Penipuan Dini atau bahkan sengketa penipuan yang menyita waktu dan uang Anda.
• Rasio penolakan yang lebih tinggi—Percobaan kartu mengaitkan penolakan dalam jumlah besar dengan bisnis Anda. Rasio penolakan yang tinggi dapat merusak reputasi bisnis Anda pada penerbit kartu dan jaringan kartu, yang membuat semua transaksi Anda terlihat lebih berisiko. Hal ini dapat mengakibatkan peningkatan rasio penolakan untuk pembayaran yang sah, bahkan setelah percobaan kartu berhenti.
• Biaya tambahan—Aktivitas percobaan kartu dapat mengakibatkan biaya tambahan, seperti biaya otorisasi untuk paket skema biaya custom, dan biaya sengketa.
• Ketegangan infrastruktur—Percobaan kartu biasanya mengakibatkan banyaknya operasi dan permintaan jaringan. Lalu lintas tambahan ini dapat membebani infrastruktur Anda secara berlebihan dan mendisrupsi aktivitas yang sah.
• Merusak kesehatan ekosistem—Percobaan kartu berdampak negatif pada sistem keuangan secara keseluruhan, jadi Stripe dan mitra keuangan kami ingin membantu Anda menghentikannya. Sejumlah besar percobaan kartu yang mengakibatkan Peringatan Penipuan Dini atau Sengketa mungkin, misalnya, mengharuskan Anda masuk ke Program Pemantauan Kartu.
• Kurangi kualitas data agar bisnis Anda dapat beroperasi-Pendapatan dari percobaan kartu mungkin terlihat seperti pelanggan baru yang baik dalam data Anda, sehingga menjadi sulit bagi Anda untuk memiliki garis pandang yang jelas tentang pertumbuhan bisnis Anda yang sebenarnya.

Daftar periksa percobaan kartu yang aktif

Jika integrasi Anda dimanfaatkan oleh pencoba kartu, kami merekomendasikan segera mengambil tindakan berikut:

• Identifikasikan aktivitas percobaan kartu.
• Kembalikan dana pembayaran penipuan untuk menghindari sengketa.
• Gunakan integrasi yang direkomendasikan Stripe atau tambahkan mitigasi untuk menekan percobaan kartu.
• Pantau integrasi Anda guna memastikan keefektifan mitigasi Anda.

Identifikasi percobaan kartu

Anda dapat mengidentifikasi sebagian besar aktivitas percobaan kartu dengan peningkatan signifikan dalam otorisasi dan pembayaran yang gagal. Sebagian besar serangan terlihat jelas di Dashboard Stripe Anda. Gejala umum yang harus diwaspadai adalah:

• Lonjakan pembayaran yang gagal atau diblokir. Anda dapat melihat tren di halaman beranda Dashboard, tampilan daftar transaksi, dan Anda dapat memeriksa alasan pemblokiran di halaman detail pembayaran.
• Permintaan melonjak dengan kesalahan 402. Anda dapat melihat lonjakan volume di halaman Pengembang, memeriksa kegagalan 402 di halaman log gagal, atau mendengarkan webhook dan tanggapan API, khususnya dengan hasil “generic_decline”.
• Lonjakan pembayaran mencurigakan dengan jumlah transaksi yang rendah, sering kali dengan nama dan email pelanggan yang tidak masuk akal. Untuk menghindari sengketa, kami merekomendasikan pengembalian dana transaksi mencurigakan ini jika berhasil melewati pertahanan yang ada.

Pembayaran diblokir karena dugaan percobaan kartu

Cegah percobaan kartu

Pencoba kartu menggunakan berbagai macam teknik untuk membuat aktivitas penipuan sulit diblokir. Akibatnya, aturan atau filter firewall sederhana yang didasarkan pada satu heuristik, seperti alamat IP, biasanya kurang memadai untuk mencegah percobaan kartu sendiri.

Pencoba kartu dapat menggunakan kunci Anda yang dapat dipublikasikan dan menggunakannya untuk mencoba ulang sejumlah besar pembayaran di situs web Anda. Anda memiliki dua strategi mitigasi utama untuk serangan semacam itu:

• Gunakan integrasi Stripe yang direkomendasikan– Pilih integrasi yang direkomendasikan Stripe untuk memanfaatkan perlindungan percobaan kartu yang kami tahu berfungsi.
• Implementasi kontrol– Berinvestasi dalam serangkaian kontrol yang menghentikan pencoba kartu menyerang endpoint yang rentan.

Selain menerapkan strategi mitigasi, Anda ingin memastikan bahwa Anda menyimpan kunci Anda dengan aman dan tidak memublikasikan kunci rahasia Anda secara publik. Bila kredensial Anda bocor atau dicuri, pencoba kartu dapat melakukan pembayaran dan menyiapkan kartu menggunakan kunci rahasia Anda.

Gunakan integrasi yang direkomendasikan Stripe

Jika Anda menggunakan Payment Element atau Checkout terbaru Stripe, kami memiliki banyak kontrol otomatis dan manual yang berfungsi untuk mengurangi percobaan kartu, termasuk pembatas kecepatan, model AI, pemicu CAPTCHA, tinjauan berkelanjutan, dan sebagainya. Bila kami mendeteksi bahwa Anda sedang diserang percobaan kartu, kami secara dinamis memilih intervensi untuk menekan serangan tersebut sebanyak mungkin, sekaligus tetap mengizinkan pengguna yang sah untuk bertransaksi di akun Anda dengan dampak minimal. Anda melihat pembayaran ini ditandai sebagai Blocked by Stripe.

Namun, keberhasilan kontrol Stripe bergantung pada integrasi Anda dan sinyal yang dikirim kepada kami. Kami menggunakan banyak sinyal untuk membedakan antara percobaan kartu dan pembayaran yang sah. Meski kami menghitung beberapa sinyal ini secara otomatis, banyak di antaranya yang bergantung pada informasi yang diberikan oleh integrasi Anda. Secara umum, semakin banyak data yang diberikan oleh integrasi Anda, semakin berhasil pencegahan percobaan kartu.

Kami merekomendasikan untuk menggunakan salah satu rekomendasi integrasi Stripe untuk memanfaatkan perlindungan otomatis berbasis CAPTCHA. Solusi CAPTCHA modern menerapkan beberapa sinyal untuk meningkatkan hambatan bagi perilaku berisiko tinggi, sementara tampak sebagian besar tidak terlihat oleh pengguna sah layanan Anda. Untuk berhenti mengikuti integrasi CAPTCHA, hubungi Dukungan Stripe.

Penggunaan salah satu integrasi pembayaran yang kami rekomendasikan akan memungkinkan Anda mengoptimalkan pencegahan percobaan kartu Stripe. Jika Anda tidak dapat menggunakan integrasi yang direkomendasikan, sertakan data sebanyak mungkin atau implementasikan kontrol Anda sendiri. Meski kontrol percobaan kartu terpisah dari perlindungan Radar terhadap sengketa penipuan, kontrol tersebut mendapat manfaat dari sinyal yang sama yang digunakan oleh Radar.

Menyertakan informasi berikut dengan pembayaran Anda dapat berdampak signifikan pada kinerja model percobaan kartu Stripe. Integrasi yang kami rekomendasikan memungkinkan Anda mengumpulkan informasi ini, sementara integrasi langsung mungkin perlu menyertakan data ini secara eksplisit.

• Deteksi penipuan lanjutan Dampak tertinggi
• Alamat IP
• Email pelanggan
• Nama pelanggan
• Alamat tagihan

Implementasi kontrol

Menambahkan pembatasan ke endpoint yang ditargetkan akan membantu Anda menekan dan mencegah percobaan kartu. Pembatasan yang Anda terapkan dapat membuat percobaan kartu menjadi tidak praktis sekaligus dampak yang sedikit atau tidak ada sama sekali pada lalu lintas Anda yang sah.

Endpoint yang ditargetkan oleh pencoba kartu biasanya memungkinkan mereka melakukan salah satu hal berikut:

• Simpan kartu.
• Lakukan pembayaran.

Langkah pengamanan tertentu yang Anda tambahkan ke integrasi bervariasi tergantung situasi dan kebutuhan bisnis. Kami menjelaskan beberapa pendekatan umum di bawah ini.

Terapkan CAPTCHA

Pencoba kartu sering kali menggunakan skrip otomatis yang dapat diblokir CAPTCHA. Skrip sangat efektif jika Anda tidak menggunakan salah satu integrasi yang direkomendasikan yang mendukung CAPTCHA. Solusi CAPTCHA modern menyediakan opsi untuk CAPTCHA yang terlihat dan tidak terlihat, tergantung kebutuhan Anda. Jika Anda telah menambahkan CAPTCHA ke integrasi tetapi percobaan kartu belum berhenti, periksa hal berikut:

• Pastikan CAPTCHA mengharuskan validasi pada semua permintaan yang mengaktifkan validasi kartu atau pembayaran dengan Stripe.
• Tinjau dokumentasi CAPTCHA untuk memastikan bahwa Anda telah menerapkannya di sisi server.
• Jika Anda menggunakan solusi CAPTCHA yang memberikan skor, sesuaikan ambang yang menjadi batas Anda mencegah permintaan berhasil.
• Coba solusi CAPTCHA yang berbeda, seperti beralih dari CAPTCHA yang tidak terlihat ke CAPTCHA yang terlihat, atau menggunakan solusi CAPTCHA yang berbeda seluruhnya.

Batasi akses ke formulir pembayaran Anda

Semakin mudah bagi pelaku penipuan untuk mencapai formulir pembayaran Anda (misalnya, menggunakan checkout tamu), semakin mudah untuk melakukan serangan percobaan kartu. Anda dapat mengurangi eksposur ke pencoba kartu dengan mengharuskan validasi masuk atau sesi sebelum dapat melakukan pembayaran. Beberapa pengamanan yang memproteksi dari serangan cross-site request forgery (CSRF) juga efektif terhadap beberapa tipe percobaan kartu, seperti token CSRF.

Tambahkan batas tingkat

Dalam beberapa kasus, Anda dapat mengurangi percobaan kartu dengan menambahkan batas tingkat jaringan (misalnya, di frontend toko web Anda). Sesuaikan batas kecepatan ini untuk menghentikan jenis percobaan kartu tertentu yang Anda alami. Misalnya, jika pencoba kartu menggunakan integrasi Anda untuk memvalidasi kartu dengan melampirkannya pada pelanggan baru, pencegahan yang efektif mungkin dengan membatasi jumlah pelanggan baru yang dapat dibuat dengan satu alamat IP dalam waktu 1 hari.

Selain batas tarif jaringan, Anda dapat menambahkan batas laju pada pembayaran dan alur checkout keranjang untuk mendeteksi serta mencegah perilaku yang tidak biasa bahkan setelah masuk atau mendaftar.

Deteksi dan cegah perilaku yang tidak wajar

Gunakan Dashboard, webhook, atau pemantauan berkesinambungan dengan Stripe Sigma atau Data Pipelines untuk melacak anomali dalam lalu lintas Anda. Anda dapat membandingkan aktivitas percobaan kartu dengan lalu lintas biasanya yang sah, kemudian membuat filter yang membatasi atau hanya mencegah aktivitas percobaan kartu. Misalnya, Anda mungkin melakukan perubahan pada sistem yang:

• Batasi jumlah kartu yang dapat ditambahkan ke akun
• Batasi jumlah pelanggan yang dapat dibuat dengan satu alamat IP
• Batasi jumlah pembelian yang dapat dilakukan dengan produk yang sama
• Batasi jumlah pelanggan dengan tipe yang sama yang dapat dibuat
• Filter permintaan dengan agen pengguna tertentu atau parameter lain

Untuk melakukannya, Anda dapat memanfaatkan aturan custom dalam Radar for Fraud Teams. Kami membahasnya di bagian berikutnya.

Gunakan kombinasi mitigasi

Mungkin dapat dipahami penggabungan beberapa pendekatan untuk mengurangi percobaan kartu guna memaksimalkan dampak pada aktivitas penipuan tanpa memiliki dampak buruk pada lalu lintas yang sah. Misalnya, Anda dapat menggabungkan CAPTCHA dan batas tingkat sehingga upaya pembayaran pertama dari alamat IP berhasil tanpa pembatasan, tetapi permintaan berikutnya yang dibuat oleh alamat IP yang sama selama beberapa jam selanjutnya memerlukan verifikasi captcha agar berhasil.

Coba ulang dengan hati-hati

Coba ulang berlebihan (penagihan) pembayaran dapat terlihat seperti percobaan kartu jika terjadi lonjakan ekstrem dengan rasio keberhasilan rendah. Serangan penagihan dan percobaan kartu sungguhan mungkin memiliki efek serupa pada bisnis Anda, termasuk penerbit yang memperkuat sikap risikonya. Pastikan Anda tidak terus mencoba ulang kartu yang disiapkan pada pelanggan penipu setelah serangan percobaan kartu, karena hal ini mengulangi serangan semula. Smart Retries Stripe sudah mempertimbangkan hal ini.

Sesuaikan proteksi berdasarkan risiko Anda

Di luar mitigasi implementasi, Anda mungkin ingin lebih menyempurnakan perlindungan Anda menggunakan Radar. Muncul dengan aturan bawaan untuk memblokir berdasarkan pemeriksaan bank, seperti pemeriksaan CVC.

Jika Anda memahami perilaku pelanggan dan ingin menyesuaikan kecepatan pembayaran secara detail, Anda dapat membangun aturan custom dalam Radar for Fraud Teams.

Anda dapat menemukan contohnya dalam panduan dasar-dasar Radar.