Tutelarsi dal testing delle carte

Il testing delle carte è un tipo di attività fraudolenta che consiste nel tentare di determinare se i dati rubati di una carta siano validi in modo da poterli utilizzare per effettuare acquisti. Un truffatore potrebbe agire acquistando dati di carte di credito rubate, e poi tentando di convalidare tali carte e usarle per fare acquisti, in modo da stabilire quali carte sono ancora valide. Questa tecnica è nota anche come “carding”, “test del conto”, “enumerazione” e “verifica della carta”.

Un’attività fraudolenta come il testing delle carte è una componente inevitabile del commercio online. Tale attività, tuttavia, ha ripercussioni sull’intero ecosistema dei pagamenti, per cui gli esercenti, i circuiti delle carte di credito e Stripe sono tutti tenuti a fare il possibile per contrastare questo fenomeno. In Stripe, miglioriamo costantemente gli strumenti e i sistemi per rilevare e ridurre le frodi, ma è necessario essere sempre vigili.

Come funziona il testing delle carte

I tester di carte utilizzano sia la configurazione delle carte che i pagamenti per determinare se i dati delle carte rubati o enumerati in loro possesso sono validi o meno. Per convalidare rapidamente molti numeri di carta, i truffatori utilizzano script per testare una grande quantità di dati di carte contemporaneamente e raccogliere le risposte di 3DS o della società emittente per convalidare quali dati di carta sono validi. Dopo aver identificato le carte valide, possono incassarle presso gli esercenti o rivendere le carte confermate sul Dark Web.

• Configurazione della carta: è il metodo preferito dai truffatori, poiché durante la configurazione della carta le convalide e le autorizzazioni durante la configurazione della carta in genere non compaiono negli estratti conto dei titolari. In questo modo si riduce la probabilità che i titolari delle carte notino e segnalino l’attività fraudolenta.
• Pagamenti: i tester di carte creano pagamenti di piccoli importi che, secondo i titolari delle carte, sono meno propensi a essere notati e segnalati come fraudolenti.

Conseguenze del testing delle carte

Il testing delle carte ha molti risvolti negativi, alcuni dei quali peggiorano con il tempo se tale attività continua.

• Contestazioni: molti tipi di testing delle carte riguardano i pagamenti, alcuni dei quali vanno a buon fine. I clienti si accorgono dei pagamenti andati a buon fine e li segnalano come fraudolenti, il che si traduce in preavvisi di frode o addirittura in contestazioni per frode che costano tempo e denaro.
• Tassi di rifiuto dei pagamenti elevati: l’attività di testing delle carte associa un elevato numero di rifiuti alla tua attività. Un tasso di rifiuto elevato potrebbe danneggiare la reputazione della tua attività presso le società emittenti e i circuiti delle carte di credito, facendo apparire più rischiose tutte le tue transazioni. Questo può provocare un aumento del numero di pagamenti legittimi rifiutati, anche dopo che l’attività di testing delle carte è cessata.
• Commissioni supplementari: l’attività di testing delle carte può comportare commissioni supplementari, ad esempio per le autorizzazioni di piani tariffari personalizzati e per le contestazioni.
• Sovraccarico dell’infrastruttura: l’attività di testing delle carte genera solitamente numerose richieste e operazioni sulla rete. Questo traffico supplementare può sovraccaricare la tua infrastruttura a danno dell’attività legittima.
• Danni all’integrità dell’ecosistema: l’attività di testing delle carte ha un impatto negativo sul sistema finanziario nel complesso, pertanto Stripe e i nostri partner finanziari ti aiuteranno ad arrestarla. Un’elevata attività di testing delle carte che genera preavvisi di frode o contestazioni potrebbe, ad esempio, farti inserire nei programmi di monitoraggio delle carte.
• Riduzione della qualità dei dati per il funzionamento della tua attività: i ricavi derivanti dal testing delle carte potrebbero apparire come nuovi clienti positivi nei tuoi dati, quindi diventa difficile per te avere una visione chiara della tua reale crescita aziendale.

Lista di controllo per l’attività di testing delle carte

Se la tua integrazione è obiettivo dei tester di carte, ti consigliamo di adottare immediatamente le seguenti misure:

• Identifica l’attività di testing delle carte.
• Rimborsa i pagamenti fraudolenti per evitare contestazioni.
• Utilizza un’integrazione consigliata da Stripe o aggiungi misure di mitigazione per eliminare l’attività di testing delle carte.
• Monitora la tua integrazione per assicurarti che le misure di mitigazione siano efficaci.

Identificare l’attività di testing delle carte

Puoi identificare la maggior parte dell’attività di testing delle carte da un aumento significativo delle autorizzazioni e dei pagamenti non riusciti. La maggior parte degli attacchi è visibile nella Dashboard Stripe. I sintomi più comuni a cui prestare attenzione sono:

• Un picco di pagamenti non riusciti o bloccati. Puoi vedere le tendenze nella pagina iniziale della Dashboard, nella vista elenco transazioni ed esaminare i motivi del blocco nella pagina dei dettagli di pagamento.
• Un picco di richieste con errori 402. Puoi vedere il picco di volume nella pagina Sviluppatori, esaminare gli errori 402 nella pagina Log non riusciti o ascoltare i webhook e le risposte API, in particolare con un esito di “generic_decline”.
• Picco di pagamenti sospetti con transazioni di importo ridotto, spesso con nomi di clienti e email privi di senso. Per evitare contestazioni, ti consigliamo di rimborsare le transazioni sospette se riescono a superare le difese esistenti.

Pagamento bloccato per sospetta attività di testing delle carte

Prevenire il testing delle carte

Per ostacolare i sistemi di blocco, i truffatori che operano con le carte di credito ricorrono a diverse strategie. Di conseguenza, regole o filtri firewall semplici basati su un’unica euristica come gli indirizzi IP non sono in genere sufficienti da soli per prevenire l’attività di testing delle carte.

I tester di carte possono utilizzare la tua chiave pubblicabile e utilizzarla per ritentare un numero elevato di pagamenti sul tuo sito web. Esistono due principali strategie di mitigazione per questi attacchi:

• Utilizzare un’integrazione Stripe consigliata: scegli un’integrazione consigliata da Stripe per utilizzare la nostra protezione affidabile contro il testing delle carte.
• Controllare l’implementazione: investi in una suite di controlli che impedisca ai tester delle carte di attaccare gli endpoint vulnerabili.

Oltre a implementare strategie di mitigazione, è necessario assicurarsi di tenere le chiavi al sicuro e di non pubblicarle. Quando le tue credenziali vengono divulgate o rubate, i tester di carte possono creare pagamenti e configurare carte utilizzando la tua chiave privata.

Usare un’integrazione consigliata da Stripe

Se utilizzi Payment Element o Checkout di Stripe di ultima generazione, disponiamo di numerosi controlli automatici e manuali per mitigare l’attività di testing delle carte, inclusi strumenti di limitazione della frequenza, modelli di intelligenza artificiale, attivazioni CAPTCHA, revisioni continue e così via. Quando ci accorgiamo che sei vittima di testing delle carte, scegliamo dinamicamente gli interventi per reprimere il più possibile l’attacco, consentendo comunque agli utenti legittimi di effettuare transazioni sul tuo account con un impatto minimo. Questi pagamenti sono contrassegnati come Blocked by Stripe.

Tuttavia, il successo dei controlli di Stripe dipende dalla tua integrazione e dai segnali che ci invii. Utilizziamo molti segnali per distinguere l’attività di testing delle carte dai pagamenti legittimi. Mentre alcuni di questi segnali vengono elaborati in automatico, molti dipendono dalle informazioni fornite dalla tua integrazione. In linea generale, più dati vengono forniti dalla tua integrazione, più efficace sarà l’attività di prevenzione del testing delle carte.

Ti consigliamo di utilizzare una delle integrazioni consigliate di Stripe per sfruttare la protezione automatica basata su CAPTCHA. Le moderne soluzioni CAPTCHA utilizzano diversi indicatori per aumentare la difficoltà di interazione per attività sospette, rimanendo spesso impercettibili agli utenti regolari del tuo servizio. Per disattivare la nostra integrazione CAPTCHA, contatta l’assistenza Stripe.

Se utilizzi una delle integrazioni di pagamento consigliate potrai sfruttare al massimo la prevenzione dell’attività di testing delle carte di Stripe. Se non puoi utilizzare un’integrazione consigliata, includi il maggior numero di dati possibile o implementa controlli personalizzati. Sebbene i controlli sul testing delle carte siano separati dalla protezione di Radar contro le contestazioni per frode, beneficiano degli stessi segnali utilizzati da Radar.

L’inclusione delle informazioni indicate di seguito nei pagamenti può avere un impatto significativo sulle prestazioni dei modelli di testing delle carte di Stripe. Le integrazioni consigliate consentono di raccogliere tali informazioni, mentre le integrazioni dirette potrebbero necessitare di un’inclusione esplicita dei dati.

• Rilevamento avanzato delle frodi Impatto massimo
• Indirizzo IP
• Indirizzo email del cliente
• Nome del cliente
• Indirizzo di fatturazione

Implementazione dei controlli

Aggiungendo restrizioni agli endpoint mirati, puoi eliminare e prevenire l’attività di testing delle carte. Le restrizioni implementate possono rendere impraticabile l’attività di testing delle carte, producendo al tempo stesso poco o nessun impatto sul tuo traffico legittimo.

Gli endpoint obiettivo dei tester di carte di norma consentono loro di eseguire una delle seguenti operazioni:

• Salvare la carta.
• Effettuare un pagamento.

Le misure di sicurezza specifiche che aggiungi alla tua integrazione variano a seconda della tua situazione e delle esigenze della tua attività. Di seguito descriviamo diversi approcci comuni.

Implementare CAPTCHA

I tester di carte utilizzano spesso script automatici che i CAPTCHA possono bloccare. Gli script sono particolarmente efficaci se non utilizzi una delle integrazioni consigliate che supportano CAPTCHA. Le moderne soluzioni CAPTCHA offrono opzioni per CAPTCHA visibili e invisibili, a seconda delle tue esigenze. Se hai aggiunto un CAPTCHA alla tua integrazione, ma il testing delle carte non cessa, verifica i seguenti punti:

• Accertati che il CAPTCHA imponga una convalida per tutte le richieste che permettono la convalida delle carte o i pagamenti con Stripe.
• Consulta la documentazione sul CAPTCHA per verificare di averlo implementato sul lato server.
• Se utilizzi un captcha che fornisce un punteggio, regola la soglia al di sotto della quale le richieste vengono bloccate.
• Prova un’altra soluzione CAPTCHA. Ad esempio, passa da un CAPTCHA invisibile a uno visibile oppure utilizza una soluzione CAPTCHA completamente diversa.

Limitare l’accesso al modulo di pagamento

Quanto più facilmente è facile per i truffatori accedere al modulo di pagamento (ad esempio utilizzando il pagamento come ospite), tanto più facile sarà per loro eseguire attacchi di testing delle carte. Puoi ridurre l’esposizione ai tester di carte richiedendo una convalida dell’accesso o della sessione prima che possano effettuare un pagamento. Alcune delle misure di protezione contro gli attacchi CSRF (Cross-Site Request Forgery) sono efficaci anche contro certi tipi di testing delle carte, ad esempio i token CSRF.

Aggiungere limiti di velocità

In alcuni casi, puoi ridurre il testing delle carte aggiungendo limiti di frequenza di networking (ad esempio, nel front-end del tuo negozio online). Adatta questi limiti di frequenza per bloccare l’attività specifica di verifica delle carte che stai subendo. Ad esempio, per evitare un utilizzo eccessivo della tua integrazione da parte dei tester di carte durante la convalida (associando nuove carte a nuovi clienti), potresti implementare un blocco. Questo limiterebbe il numero di nuovi clienti che possono essere creati dallo stesso indirizzo IP nell’arco di una giornata.

Oltre ai limiti di frequenza del circuito, puoi aggiungere limiti di frequenza ai tuoi pagamenti e al flusso di pagamento del carrello per rilevare e prevenire comportamenti insoliti anche dopo l’accesso o la registrazione.

Rilevare e prevenire comportamenti insoliti

Utilizza la Dashboard, i webhook o il monitoraggio continuo con Stripe Sigma o Data Pipelines per monitorare le anomalie nel traffico. Puoi confrontare l’attività di testing delle carte con il tipico traffico legittimo e poi creare filtri che limitano o prevengono solo tale attività fraudolenta. Ad esempio, puoi configurare il tuo sistema in modo da:

• Limitare il numero di carte che possono essere aggiunte a un account
• Limitare il numero di clienti che possono essere creati con un singolo indirizzo IP
• Limitare il numero di acquisti che possono essere effettuati con lo stesso prodotto
• Limitare il numero di clienti dello stesso tipo che possono essere creati
• Filtrare le richieste con determinati agenti utente o altri parametri

A tal fine, puoi utilizzare le regole personalizzate in Radar for Fraud Teams. Ne parleremo nella prossima sezione.

Utilizzare più misure di mitigazione del testing delle carte

A volte è consigliabile combinare più approcci per ridurre il testing delle carte e massimizzare l’impatto sull’attività fraudolenta senza produrre effetti negativi sul traffico legittimo. Ad esempio, puoi combinare CAPTCHA e limiti di velocità in modo che il primo tentativo di pagamento da un indirizzo IP riesca senza restrizioni, ma che le richieste effettuate dallo stesso indirizzo IP nelle ore successive richiedano una verifica captcha per andare a buon fine.

Effettuare nuovi tentativi con prudenza

Picchi estremi nel numero di tentativi di pagamento, con una bassa incidenza di transazioni riuscite, possono far sospettare un tentativo di verifica di carte. I solleciti di pagamento e gli attacchi di testing delle carte reali potrebbero avere effetti simili sulla tua attività, con un inasprimento della posizione di rischio da parte delle società emittenti. Dopo un attacco di card testing, evita di riprovare le carte associate a clienti fraudolenti, in quanto ciò perpetuerebbe l’attacco iniziale. Smart Retries tiene conto di questi aspetti.

Personalizzare la protezione in base alla tua propensione al rischio

Oltre alle misure di mitigazione dell’implementazione, potrebbe essere utile ottimizzare ulteriormente la protezione utilizzando Radar, che offre regole di blocco integrate basate sulle verifiche bancarie, come la verifica del CVC.

Se comprendi il comportamento dei clienti e vuoi personalizzare nel dettaglio la velocità dei pagamenti, puoi creare regole personalizzate in Radar for Fraud Teams.

Puoi trovare alcuni esempi nella Guida sui concetti di base di Radar.