Pular para o conteúdo
Criar conta
 ou
Entrar
O logotipo da documentação da Stripe
/
Criar conta
Login

Proteja-se contra teste de cartões

Conheça esta fraude e saiba como se proteger contra ela.

Copiar página

O teste de cartões é uma fraude em que alguém tenta determinar se os dados de um cartão roubado são válidos para que possam ser usados para fazer compras. Um fraudador pode fazer isso comprando dados de cartões roubados e depois tentando validar ou fazer compras com esses cartões para determinar quais cartões ainda são válidos. Outros termos comuns para esse tipo de atividade são “teste de contas”, “enumeração” e “verificação de cartão”.

Atividades fraudulentas como teste de cartões são uma parte inevitável do comércio online. No entanto, o teste de cartões tem consequências para todo o ecossistema de pagamentos, de modo que comerciantes, bandeiras de cartões e a Stripe compartilham responsabilidade para evitá-las. Na Stripe, estamos constantemente melhorando nossas ferramentas e sistemas para detectar e reduzir fraudes, mas você precisa manter a atenção com relação a fraudes.

Como funciona o teste de cartões

Os testadores de cartões usam a configuração de cartões e pagamentos para determinar se os dados de cartão roubados ou enumerados são válidos ou não. Para validar rapidamente vários números de cartão, os fraudadores usam scripts para testar uma grande quantidade de dados de cartão de uma só vez e coletam respostas do 3DS ou do emissor para validar quais dados de cartão são válidos. Depois de identificar os cartões válidos, eles podem usá-los em comerciantes ou revender cartões confirmados na dark web.

  • Configuração do cartão: esse é o método preferido pelos fraudadores, pois a validação e as autorizações do cartão durante a configuração do cartão normalmente não aparecem nos extratos. Isso reduz a probabilidade de os titulares de cartão perceberem e denunciarem a atividade fraudulenta.
  • Pagamentos: os testadores de cartões criam pagamentos de pequeno valor, que têm menos probabilidade de serem notados e denunciados como fraude.

Consequências dos testes de cartões

Os testes de cartões têm vários resultados negativos e alguns deles ficam mais sérios à medida que os testes de cartões continuam:

  • Contestações– Muitos tipos de teste de cartões envolvem pagamentos, alguns dos quais são bem-sucedidos. Os clientes percebem os pagamentos bem-sucedidos e os denunciam como fraude, o que resulta em alertas antecipados de fraude ou até mesmo em contestações fraudulentas que custam tempo e dinheiro.
  • Maiores taxas de recusa: o teste de cartões associa um grande número de recusas à sua empresa. Uma alta taxa de recusa pode prejudicar a reputação da sua empresa junto a emissores e bandeiras de cartão, o que faz com que todas as suas transações aparentem ser mais arriscadas. Isso pode resultar em uma taxa de recusa maior para pagamentos legítimos, mesmo depois que os testes de cartões cessarem.
  • Tarifas adicionais: a atividade de teste de cartões pode incorrer em tarifas adicionais, como tarifas de autorização para planos de preço personalizados e tarifas de contestação.
  • Sobrecarga da infraestrutura: os testes de cartões normalmente resultam em várias solicitações e operações de rede. Esse tráfego adicional pode sobrecarregar a infraestrutura e interromper as atividades legítimas.
  • Prejuízo à integridade do ecossistema: os testes de cartões afetam negativamente o sistema financeiro como um todo, por isso, a Stripe e nossos parceiros financeiros querem ajudar você a interromper essa ameaça. Uma grande quantidade de testes de cartões que resultam em avisos antecipados de fraude ou contestações pode, por exemplo, incluir você em programas de monitoramento de cartões.
  • Reduza a qualidade dos dados para sua empresa operar: a receita dos testes de cartões pode passar a impressão de clientes novos nos dados. Portanto, fica difícil ter uma visão clara do crescimento real da sua empresa.

Lista de verificação para atividades de teste de cartões

Se sua integração estiver sendo explorada por testadores de cartões, recomendamos que você tome imediatamente as seguintes medidas:

Identificar testes de cartões

Você pode identificar a maioria das atividades de testes de cartões pelo aumento significativo de erros em autorizações e pagamentos. A maioria dos ataques é óbvia no Stripe Dashboard. Os sintomas comuns a serem observados são:

  • Um pico em pagamentos malsucedidos ou bloqueados. Você pode ver as tendências na página inicial do Dashboard, na exibição em lista de transações e na página de detalhes do pagamento.
  • Um pico de solicitações com erros 402. Você pode ver o pico de volume na página Desenvolvedores, examinar falhas 402 na página de logs com falha ou ouvir webhooks e respostas da API, especialmente com um resultado de “generic_decline”.
  • Um pico de pagamentos suspeitos com valores de transação baixos, muitas vezes com nomes e e-mails de clientes sem sentido. Para evitar contestações, recomendamos reembolsar essas transações suspeitas se elas passarem pelas defesas existentes.
Identificar testes de cartões

Pagamento bloqueado devido a suspeita de testes de cartões

Prevenir testes de cartões

Os testadores de cartões usam inúmeras técnicas para dificultar o bloqueio de suas atividades fraudulentas. Como resultado, regras de firewall simples ou filtros baseados em uma única heurística, como endereços IP, geralmente não são suficientes para evitar o teste de cartões por conta própria.

Os testadores de cartões podem usar sua chave publicável e usá-la para tentar novamente um grande número de pagamentos em seu site. Você tem duas estratégias principais de mitigação para esses ataques:

  • Use uma integração recomendada– Escolha uma integração recomendada pela Stripe para aproveitar a proteção contra testes de cartões que sabemos que funciona.
  • Implementação de controle– Invista em um conjunto de controles que impeça que testadores de cartões ataquem endpoints vulneráveis.

Além de implementar estratégias de mitigação, você deve manter suas chaves seguras e não pode publicar sua chave secreta publicamente. Quando suas credenciais são vazadas ou roubadas, os testadores de cartões podem criar pagamentos e configurar cartões usando sua chave secreta.

Cuidado

Você não é um desenvolvedor? Está usando um plugin ou uma plataforma? Geralmente, a prevenção e mitigação de teste de cartões exige alterações de código. Portanto, você precisa mostrar esta documentação ao desenvolvedor ou fornecedor que criou o código para trabalhar em conjunto e prevenir o teste de cartões.

Use uma integração Stripe recomendada

Se você usa o Payment Element ou o Checkout mais recente da Stripe, temos vários controles automatizados e manuais em vigor para reduzir o teste de cartões, incluindo limitadores de taxa, modelos de IA, gatilhos de CAPTCHA, revisões contínuas e assim por diante. Quando detectamos um ataque de teste de cartões, selecionamos dinamicamente intervenções para reprimi-lo ao máximo e, ao mesmo tempo, permitimos que usuários legítimos façam transações em sua conta com o mínimo de impacto. Você verá esses pagamentos marcados como Blocked by Stripe.

Entretanto, o sucesso dos controles da Stripe depende da sua integração e de quais sinais você nos envia. Usamos vários sinais para diferenciar os teste de cartões dos pagamentos legítimos. Computamos alguns desses sinais automaticamente, mas vários deles dependem das informações fornecidas por sua integração. Em geral, quanto mais dados sua integração fornecer, mais bem-sucedida será a prevenção contra teste de cartões.

Recomendamos usar uma das integrações recomendadas pela Stripe para aproveitar a proteção automatizada baseada em CAPTCHA. As soluções CAPTCHA modernas aplicam vários sinais para aumentar o atrito em um comportamento de alto risco, ao mesmo tempo em que parecem praticamente invisíveis para os usuários legítimos do seu serviço. Para cancelar a integração do CAPTCHA, entre em contato com o suporte da Stripe.

O uso de uma das nossas integrações de pagamento recomendadas permite aproveitar ao máximo a prevenção de teste de cartões da Stripe. Se você não conseguir usar uma integração recomendada, inclua o máximo possível de dados ou implemente seus próprios controles. Embora os controles de teste de cartões sejam separados da proteção do Radar contra contestações fraudulentas, eles se beneficiam dos mesmos sinais usados pelo Radar.

A inclusão das informações a seguir com seus pagamentos pode ter um impacto significativo no desempenho dos modelos de teste de cartões da Stripe. Nossas integrações recomendadas permitem que você colete essas informações, enquanto integrações diretas talvez precisem incluir explicitamente esses dados.

Implementação de controle

Adicionar restrições a endpoints direcionados ajuda a suprimir e evitar testes de cartões. As restrições implementadas podem tornar os testes de cartões impraticáveis, com pouco ou nenhum impacto sobre o tráfego legítimo.

Os endpoints procurados pelos testadores de cartões normalmente permitem uma das seguintes atividades:

  • Salvar cartão.
  • Faça um pagamento.

As medidas de segurança específicas adicionadas à integração dependem da sua situação e das necessidades da sua empresa. Descrevemos abaixo várias abordagens comuns.

Implementar CAPTCHA

Os testadores de cartões geralmente usam scripts automatizados que o CAPTCHA pode bloquear. Os scripts são especialmente eficazes se você não estiver usando uma das integrações recomendadas que aceite CAPTCHA. As soluções CAPTCHA modernas fornecem opções para CAPTCHAS visíveis e invisíveis, dependendo de suas necessidades. Se você adicionou um CAPTCHA à sua integração, mas os testes de cartões não cessaram, verifique o seguinte:

  • Verifique se o CAPTCHA exige validação em todas as solicitações que ativam validações de cartão ou pagamentos com a Stripe.
  • Revise a documentação do CAPTCHA para garantir que ele tenha sido implementado no lado do servidor.
  • Se você estiver usando uma solução de CAPTCHA que fornece uma pontuação, ajuste o limite que impede que as solicitações sejam bem-sucedidas.
  • Experimente outra solução de CAPTCHA, como mudar de um CAPTCHA invisível para outro visível ou usar outra solução de CAPTCHA.

Limitar o acesso ao seu formulário de pagamento

Quanto mais fácil for o acesso de fraudadores ao seu formulário de pagamento (por exemplo, usando checkout de convidados), mais fácil será para eles executarem ataques de teste de cartões. Você pode reduzir sua exposição a testadores de cartões exigindo login ou validação de sessão antes que eles possam fazer um pagamento. Algumas proteções contra ataques de cross-site request forgery (CSRF) também são eficazes contra alguns tipos de teste de cartões, como tokens de CSRF.

Adicionar limitações de fluxo

Em alguns casos, você pode reduzir o teste de cartões adicionando limites de taxa de rede (por exemplo, no front-end da sua loja virtual). Ajuste essas limitações de fluxo para interromper o tipo de teste de cartões específico que você está enfrentando. Por exemplo, se os testadores de cartões usarem sua integração para validar cartões associando-os a novos clientes, a limitação do número de novos clientes que podem ser criados de um IP específico durante um dia pode ser uma contramedida eficaz.

Além das limitações de fluxo da rede, você pode adicionar limitações de fluxo de pagamentos e carrinho de checkout para detectar e evitar comportamentos incomuns mesmo após o login ou a inscrição.

Detectar e evitar comportamentos incomuns

Use o Dashboard, webhooks ou monitoramento contínuo com o Stripe Sigma ou Data Pipelines para rastrear anomalias no seu tráfego. Você pode comparar a atividade de teste de cartões com o tráfego legítimo convencional e criar filtros que limitam ou evitam apenas a atividade de teste de cartões. Por exemplo, você pode alterar o sistema para:

  • Limitar o número de cartões que podem ser adicionados a uma conta
  • Limitar o número de clientes que podem ser criados com um único endereço IP
  • Limitar o número de compras que podem ser feitas com o mesmo produto
  • Limitar o número de clientes do mesmo tipo que podem ser criados
  • Filtrar solicitações com agentes de usuário ou outros parâmetros específicos

Para fazer isso, você pode usar regras personalizadas no Radar for Fraud Teams. Abordaremos isso na próxima seção.

Usar uma combinação de mitigações

Pode fazer sentido combinar várias abordagens para reduzir os testes de cartões para maximizar o impacto sobre as atividades fraudulentas sem causar efeito adverso sobre o tráfego legítimo. Por exemplo, você pode combinar CAPTCHAS e limitações de fluxo para que a primeira tentativa de pagamento de um endereço IP seja bem-sucedida sem restrições, mas solicitações subsequentes do mesmo endereço IP nas próximas horas exijam uma verificação de captcha.

Tente novamente com cuidado

O excesso de tentativas de cobrança (dunning) de pagamentos pode parecer um teste de cartões se vier em picos extremos com baixa taxa de sucesso. Ataques de cobrança e de teste de cartões reais podem ter efeitos semelhantes na sua empresa, incluindo o endurecimento da postura de risco dos emissores. Não fique tentando repetir cartões configurados em clientes fraudadores após um ataque de teste de cartões, pois isso repete o ataque original. O Smart Retries da Stripe já leva isso em consideração.

Personalize a proteção com base na sua tolerância por risco

Além de implementar mitigações, talvez você queira ajustar ainda mais sua proteção usando o Radar. Ele vem com regras integradas para bloqueio com base em verificações bancárias, como verificação de CVC.

Se você entende o comportamento do cliente e quer personalizar a velocidade dos pagamentos em detalhes, pode criar regras personalizadas no Radar for Fraud Teams.

Veja exemplos no guia Introdução ao Radar.

Veja também

Esta página foi útil?
SimNão
Precisa de ajuda? Fale com o suporte.
Participe do nosso programa de acesso antecipado.
Confira nosso changelog.
Dúvidas? Fale com a equipe de vendas.
LLM? Read llms.txt.
Powered by Markdoc