# Proteksi diri Anda dari percobaan kartu

Pelajari tentang aktivitas penipuan ini dan cara memproteksi diri Anda dari aktivitas tersebut.

Percobaan kartu merupakan tipe aktivitas penipuan di mana seseorang mencoba menentukan jika informasi kartu yang dicuri valid sehingga dapat menggunakannya untuk melakukan pembelian. Penipu mungkin melakukannya dengan membeli informasi kartu kredit curian, kemudian mencoba untuk memvalidasi atau melakukan pembelian dengan kartu itu untuk menentukan kartu yang masih berlaku. Istilah umum lain untuk percobaan kartu adalah “pembobolan kartu kredit”, “percobaan akun”, “enumerasi”, dan “pengecekan kartu.”

Aktivitas penipuan seperti percobaan kartu merupakan bagian tak terhindarkan dari perdagangan online. Walaupun demikian, percobaan kartu memiliki konsekuensi bagi keseluruhan ekosistem pembayaran, sehingga merchant, jaringan kartu, dan Stripe berbagi tanggung jawab untuk mencegahnya. Di Stripe, kami terus menyempurnakan alat dan sistem kami guna mendeteksi dan mengurangi penipuan, tetapi Anda harus tetap waspada terkait penipuan.

## Cara kerja percobaan kartu

Pencoba kartu menggunakan penyiapan kartu maupun pembayaran guna menentukan jika informasi kartu yang dicuri atau disebutkan itu valid atau tidak. Untuk memvalidasi banyak nomor kartu dengan cepat, penipu menggunakan skrip untuk mencoba sejumlah besar informasi kartu sekaligus, dan mengumpulkan tanggapan 3DS atau penerbit untuk memvalidasi informasi kartu yang valid. Setelah mengidentifikasi kartu yang valid, penipu dapat menguangkannya dengan merchant atau menjual kembali kartu yang telah dikonfirmasi di web gelap.

- **Penyiapan Kartu**—Ini adalah metode yang disukai oleh penipu, karena validasi kartu dan otorisasi selama penyiapan kartu biasanya tidak muncul pada rekening koran pemegang kartu. Hal ini mengurangi kemungkinan pemegang kartu memperhatikan dan melaporkan aktivitas penipuan.
- **Pembayaran**—Penguji kartu membuat pembayaran dalam jumlah kecil, yang cenderung tidak disadari dan dilaporkan oleh pemegang kartu sebagai penipuan.

## Konsekuensi percobaan kartu

Percobaan kartu memiliki banyak hasil negatif, beberapa di antaranya memburuk seiring dengan berlanjutnya percobaan kartu:

- **Sengketa**— Banyak tipe percobaan kartu melibatkan pembayaran, beberapa di antaranya berhasil. Pelanggan akan melihat pembayaran yang berhasil dan melaporkannya sebagai penipuan, yang mengakibatkan [Peringatan Penipuan Dini](https://docs.stripe.com/disputes/measuring.md#early-fraud-warnings) atau bahkan [sengketa penipuan](https://docs.stripe.com/disputes.md) yang menyita waktu dan uang Anda.
- **Rasio penolakan yang lebih tinggi**—Percobaan kartu mengaitkan penolakan dalam jumlah besar dengan bisnis Anda. Rasio penolakan yang tinggi dapat merusak reputasi bisnis Anda pada penerbit kartu dan jaringan kartu, yang membuat semua transaksi Anda terlihat lebih berisiko. Hal ini dapat mengakibatkan peningkatan rasio penolakan untuk pembayaran yang sah, bahkan setelah percobaan kartu berhenti.
- **Biaya tambahan**—Aktivitas percobaan kartu dapat mengakibatkan biaya tambahan, seperti biaya otorisasi untuk paket skema biaya custom, dan biaya sengketa.
- **Ketegangan infrastruktur**—Percobaan kartu biasanya mengakibatkan banyaknya operasi dan permintaan jaringan. Lalu lintas tambahan ini dapat membebani infrastruktur Anda secara berlebihan dan mendisrupsi aktivitas yang sah.
- **Merusak kesehatan ekosistem**—Percobaan kartu berdampak negatif pada sistem keuangan secara keseluruhan, jadi Stripe dan mitra keuangan kami ingin membantu Anda menghentikannya. Sejumlah besar percobaan kartu yang mengakibatkan Peringatan Penipuan Dini atau Sengketa mungkin, misalnya, mengharuskan Anda masuk ke [Program Pemantauan Kartu](https://docs.stripe.com/disputes/monitoring-programs.md).
- **Kurangi kualitas data agar bisnis Anda dapat beroperasi**-Pendapatan dari percobaan kartu mungkin terlihat seperti pelanggan baru yang baik dalam data Anda, sehingga menjadi sulit bagi Anda untuk memiliki garis pandang yang jelas tentang pertumbuhan bisnis Anda yang sebenarnya.

## Daftar periksa percobaan kartu yang aktif

Jika integrasi Anda dimanfaatkan oleh pencoba kartu, kami merekomendasikan segera mengambil tindakan berikut:

- [Identifikasikan](https://docs.stripe.com/disputes/prevention/card-testing.md#identify-card-testing) aktivitas percobaan kartu.
- [Kembalikan dana](https://docs.stripe.com/refunds.md) pembayaran penipuan untuk menghindari sengketa.
- [Gunakan integrasi yang direkomendasikan Stripe](https://docs.stripe.com/disputes/prevention/card-testing.md#optimize-integration) atau tambahkan [mitigasi](https://docs.stripe.com/disputes/prevention/card-testing.md#control-implementation) untuk menekan percobaan kartu.
- Pantau integrasi Anda guna memastikan keefektifan mitigasi Anda.

## Identifikasi percobaan kartu

Anda dapat mengidentifikasi sebagian besar aktivitas percobaan kartu dengan peningkatan signifikan dalam otorisasi dan pembayaran yang gagal. Sebagian besar serangan terlihat jelas di Dashboard Stripe Anda. Gejala umum yang harus diwaspadai adalah:

- **Lonjakan pembayaran yang gagal atau diblokir.** Anda dapat melihat tren di [halaman beranda Dashboard](https://dashboard.stripe.com/dashboard), tampilan daftar [transaksi](https://dashboard.stripe.com/payments), dan Anda dapat memeriksa alasan pemblokiran di halaman detail pembayaran.
- **Permintaan melonjak dengan kesalahan 402**. Anda dapat melihat lonjakan volume di halaman [Pengembang](https://dashboard.stripe.com/developers), memeriksa kegagalan 402 di halaman [log gagal](https://dashboard.stripe.com/logs?error_type=card_error), atau mendengarkan webhook dan tanggapan API, khususnya dengan [hasil “generic_decline”](https://docs.stripe.com/declines/codes.md).
- **Lonjakan pembayaran mencurigakan** dengan jumlah transaksi yang rendah, sering kali dengan nama dan email pelanggan yang tidak masuk akal. Untuk menghindari sengketa, kami merekomendasikan pengembalian dana transaksi mencurigakan ini jika berhasil melewati pertahanan yang ada.

## Cegah percobaan kartu

Pencoba kartu menggunakan berbagai macam teknik untuk membuat aktivitas penipuan sulit diblokir. Akibatnya, aturan atau filter firewall sederhana yang didasarkan pada satu heuristik, seperti alamat IP, biasanya kurang memadai untuk mencegah percobaan kartu sendiri.

Pencoba kartu dapat menggunakan kunci Anda yang dapat dipublikasikan dan menggunakannya untuk mencoba ulang sejumlah besar pembayaran di situs web Anda. Anda memiliki dua strategi mitigasi utama untuk serangan semacam itu:

- **Gunakan integrasi Stripe yang direkomendasikan–** Pilih integrasi yang direkomendasikan Stripe untuk memanfaatkan perlindungan percobaan kartu yang kami tahu berfungsi.
- **Implementasi kontrol–** Berinvestasi dalam serangkaian kontrol yang menghentikan pencoba kartu menyerang endpoint yang rentan.

Selain menerapkan strategi mitigasi, Anda ingin memastikan bahwa Anda menyimpan kunci Anda dengan aman dan tidak memublikasikan kunci rahasia Anda secara publik. Bila kredensial Anda bocor atau dicuri, pencoba kartu dapat melakukan pembayaran dan menyiapkan kartu menggunakan kunci rahasia Anda.

> Bukan pengembang? Menggunakan plugin atau platform? Mencegah dan mengurangi percobaan kartu biasanya memerlukan perubahan di level kode, jadi Anda perlu menunjukkan dokumentasi ini kepada pengembang atau vendor yang menulis kode dan bekerja dengan mereka untuk mencegah percobaan kartu.

### Gunakan integrasi yang direkomendasikan Stripe

Jika Anda menggunakan Payment Element atau Checkout terbaru Stripe, kami memiliki banyak kontrol otomatis dan manual yang berfungsi untuk mengurangi percobaan kartu, termasuk pembatas kecepatan, model AI, pemicu CAPTCHA, tinjauan berkelanjutan, dan sebagainya. Bila kami mendeteksi bahwa Anda sedang diserang percobaan kartu, kami secara dinamis memilih intervensi untuk menekan serangan tersebut sebanyak mungkin, sekaligus tetap mengizinkan pengguna yang sah untuk bertransaksi di akun Anda dengan dampak minimal. Anda melihat pembayaran ini ditandai sebagai `Blocked by Stripe`.

*Namun, keberhasilan kontrol Stripe bergantung pada integrasi Anda dan faktor risiko apa yang Anda kirimkan kepada kami*. Kami menggunakan banyak faktor risiko untuk membedakan antara percobaan kartu dan pembayaran yang sah. Meskipun kami menghitung beberapa faktor risiko ini secara otomatis, banyak di antaranya bergantung pada informasi yang diberikan oleh integrasi Anda. Secara umum, semakin banyak data yang diberikan oleh integrasi Anda, semakin berhasil pencegahan percobaan kartu.

Kami merekomendasikan untuk menggunakan salah satu Stripe [integrasi yang direkomendasikan](https://docs.stripe.com/payments/online-payments.md#compare-features-and-availability) untuk memanfaatkan otomatisasi [CAPTCHA](https://www.hcaptcha.com/) perlindungan berdasarkan. Solusi CAPTCHA modern menerapkan beberapa faktor risiko untuk meningkatkan gesekan perilaku berisiko tinggi, sementara tampaknya sebagian besar tidak terlihat oleh pengguna layanan Anda yang sah. Untuk memilih keluar dari integrasi CAPTCHA kami, hubungi [dukungan Stripe](https://support.stripe.com/contact/login).

Menggunakan salah satu integrasi pembayaran yang kami rekomendasikan memungkinkan Anda untuk mendapatkan hasil maksimal dari pencegahan pengujian kartu Stripe. Jika Anda tidak dapat menggunakan integrasi yang direkomendasikan, sertakan data sebanyak mungkin atau terapkan kontrol Anda sendiri. Meskipun kontrol pengujian kartu terpisah dari perlindungan Radar terhadap sengketa penipuan, kontrol tersebut mendapatkan manfaat [dari faktor risiko yang sama yang digunakan oleh Radar](https://docs.stripe.com/radar/optimize-risk-factors.md).

Menyertakan informasi berikut dengan pembayaran Anda dapat berdampak signifikan pada kinerja model percobaan kartu Stripe. Integrasi yang kami rekomendasikan memungkinkan Anda mengumpulkan informasi ini, sementara integrasi langsung mungkin perlu menyertakan data ini secara eksplisit.

- [Deteksi penipuan lanjutan](https://docs.stripe.com/disputes/prevention/advanced-fraud-detection.md) (Dampak tertinggi)
- Alamat IP
- Email pelanggan
- Nama pelanggan
- Alamat tagihan

### Implementasi kontrol

Menambahkan pembatasan ke endpoint yang ditargetkan akan membantu Anda menekan dan mencegah percobaan kartu. Pembatasan yang Anda terapkan dapat membuat percobaan kartu menjadi tidak praktis sekaligus dampak yang sedikit atau tidak ada sama sekali pada lalu lintas Anda yang sah.

Endpoint yang ditargetkan oleh pencoba kartu biasanya memungkinkan mereka melakukan salah satu hal berikut:

- Simpan kartu.
- Lakukan pembayaran.

Langkah pengamanan tertentu yang Anda tambahkan ke integrasi bervariasi tergantung situasi dan kebutuhan bisnis. Kami menjelaskan beberapa pendekatan umum di bawah ini.

### Terapkan CAPTCHA

Pencoba kartu sering kali menggunakan skrip otomatis yang dapat diblokir CAPTCHA. Skrip sangat efektif jika Anda tidak menggunakan salah satu integrasi yang direkomendasikan yang mendukung CAPTCHA. Solusi CAPTCHA modern menyediakan opsi untuk CAPTCHA yang terlihat dan tidak terlihat, tergantung kebutuhan Anda. Jika Anda telah menambahkan CAPTCHA ke integrasi tetapi percobaan kartu belum berhenti, periksa hal berikut:

- Pastikan CAPTCHA mengharuskan validasi pada semua permintaan yang mengaktifkan validasi kartu atau pembayaran dengan Stripe.
- Tinjau dokumentasi CAPTCHA untuk memastikan bahwa Anda telah menerapkannya di sisi server.
- Jika Anda menggunakan solusi CAPTCHA yang memberikan skor, sesuaikan ambang yang menjadi batas Anda mencegah permintaan berhasil.
- Coba solusi CAPTCHA yang berbeda, seperti beralih dari CAPTCHA yang tidak terlihat ke CAPTCHA yang terlihat, atau menggunakan solusi CAPTCHA yang berbeda seluruhnya.

### Batasi akses ke formulir pembayaran Anda

Semakin mudah bagi pelaku penipuan untuk mengakses formulir pembayaran Anda (misalnya, menggunakan checkout tamu), semakin mudah bagi mereka untuk melancarkan serangan percobaan kartu (card testing). Anda dapat mengurangi risiko terhadap penguji kartu dengan mewajibkan login atau validasi sesi sebelum mereka dapat melakukan pembayaran. Beberapa [perlindungan terhadap serangan cross-site request forgery (CSRF)](https://owasp.org/www-project-cheat-sheets/cheatsheets/Cross-Site_Request_Forgery_Prevention_Cheat_Sheet.html) juga efektif melawan beberapa jenis pengujian kartu, seperti penggunaan token CSRF.

### Tambahkan batas tingkat

Dalam beberapa kasus, Anda dapat mengurangi percobaan kartu dengan menambahkan batas tingkat jaringan (misalnya, di frontend toko web Anda). Sesuaikan batas kecepatan ini untuk menghentikan jenis percobaan kartu tertentu yang Anda alami. Misalnya, jika pencoba kartu menggunakan integrasi Anda untuk memvalidasi kartu dengan melampirkannya pada pelanggan baru, pencegahan yang efektif mungkin dengan membatasi jumlah pelanggan baru yang dapat dibuat dengan satu alamat IP dalam waktu 1 hari.

Selain batas tarif jaringan, Anda dapat menambahkan batas laju pada pembayaran dan alur checkout keranjang untuk [mendeteksi serta mencegah perilaku yang tidak biasa](https://docs.stripe.com/disputes/prevention/card-testing.md#prevent-unusual-behavior) bahkan setelah masuk atau mendaftar.

### Deteksi dan cegah perilaku yang tidak wajar

Gunakan Dashboard, [webhook](https://docs.stripe.com/webhooks.md), atau pemantauan berkesinambungan dengan [Stripe Sigma atau Data Pipelines](https://stripe.com/guides/improve-fraud-management-with-radar-for-fraud-teams-and-stripe-data) untuk melacak anomali dalam lalu lintas Anda. Anda dapat membandingkan aktivitas percobaan kartu dengan lalu lintas biasanya yang sah, kemudian membuat filter yang membatasi atau hanya mencegah aktivitas percobaan kartu. Misalnya, Anda mungkin melakukan perubahan pada sistem yang:

- Batasi jumlah kartu yang dapat ditambahkan ke akun
- Batasi jumlah pelanggan yang dapat dibuat dengan satu alamat IP
- Batasi jumlah pembelian yang dapat dilakukan dengan produk yang sama
- Batasi jumlah pelanggan dengan tipe yang sama yang dapat dibuat
- Filter permintaan dengan agen pengguna tertentu atau parameter lain

Untuk melakukannya, Anda dapat menggunakan [aturan custom](https://docs.stripe.com/radar/rules/reference.md#velocity-rules) di Radar for Fraud Teams. Kami membahasnya di bagian berikutnya.

### Gunakan kombinasi mitigasi

Mungkin dapat dipahami penggabungan beberapa pendekatan untuk mengurangi percobaan kartu guna memaksimalkan dampak pada aktivitas penipuan tanpa memiliki dampak buruk pada lalu lintas yang sah. Misalnya, Anda dapat menggabungkan CAPTCHA dan batas tingkat sehingga upaya pembayaran pertama dari alamat IP berhasil tanpa pembatasan, tetapi permintaan berikutnya yang dibuat oleh alamat IP yang sama selama beberapa jam selanjutnya memerlukan verifikasi captcha agar berhasil.

### Coba ulang dengan hati-hati

Coba ulang berlebihan (penagihan) pembayaran dapat terlihat seperti percobaan kartu jika terjadi lonjakan ekstrem dengan rasio keberhasilan rendah. Serangan penagihan dan percobaan kartu sungguhan mungkin memiliki efek serupa pada bisnis Anda, termasuk penerbit yang memperkuat sikap risikonya. Pastikan Anda tidak terus mencoba ulang kartu yang disiapkan pada pelanggan penipu setelah serangan percobaan kartu, karena hal ini mengulangi serangan semula. [Smart Retries](https://docs.stripe.com/billing/revenue-recovery/smart-retries.md#non-retryable-decline-codes) Stripe sudah mempertimbangkan hal ini.

### Sesuaikan proteksi berdasarkan risiko Anda

Di luar mitigasi implementasi, Anda mungkin ingin lebih menyempurnakan perlindungan Anda menggunakan Radar. Muncul dengan aturan bawaan untuk memblokir berdasarkan [pemeriksaan bank](https://docs.stripe.com/radar/rules.md#traditional-bank-checks), seperti pemeriksaan *CVC* (The card verification code (CVC) or card verification value (CVV) is a three- or four-digit number printed directly on a card used to verify the entered card number).

Jika Anda memahami perilaku pelanggan Anda dan ingin menyesuaikan kecepatan pembayaran secara detail, Anda dapat membangun [aturan custom](https://docs.stripe.com/radar/rules/reference.md#velocity-rules) di Radar for Fraud Teams.

Anda dapat menemukan contohnya dalam [panduan dasar-dasar Radar](https://stripe.com/guides/radar-rules-101#rules-that-help-prevent-card-testing-or-card-cashing).

## See also

- [Deteksi penipuan lanjutan](https://docs.stripe.com/disputes/prevention/advanced-fraud-detection.md)
- [Optimalkan integrasi Radar Anda](https://docs.stripe.com/radar/optimize-risk-factors.md)
- [Mengamankan kunci Anda](https://docs.stripe.com/keys-best-practices.md)
- [Panduan dasar-dasar Radar](https://stripe.com/guides/radar-rules-101)