دارندگان فروشگاه WooCommerce با هزینه های تقلبی Stripe مبارزه می کنند – WP Tavern


در چند هفته گذشته، اعضای گروه Advanced WordPress Facebook (AWP) بوده اند بحث کردن روش های مبارزه با تقلب تست کارت خطی Jon Brown، توسعه‌دهنده وردپرس، پس از مشاهده اتهامات جعلی در پنج وب‌سایت مختلف، از جمله چهار وب‌سایت از WooCommerce و یکی از پلتفرم Leaky Paywall، این موضوع را باز کرد.

براون گفت: «هر پنج مورد در Cloudflare با حالت مبارزه با ربات در اولین بار روی کار بودند. “من CAPTCHA را به هر 5 مورد اضافه کرده ام، حالت “تحت حمله” CloudFlare را در صفحه سبد خرید/تسویه حساب فعال کرده ام.”

سایت‌های WooCommerce تکرار نشدند اما سایت Leaky Paywall تکرار شد. براون گفت که مشتری متوجه این موضوع نشد، زیرا ایمیل های Stripe به پوشه هرزنامه اش می رفت.

او گفت: «دو هفته ادامه داشت تا اینکه افزایش بار سایت را آفلاین کرد و من متوجه آن شدم. “حدود 1200 تراکنش موفق به قیمت 2.99 دلار، با 100000 مسدود شده.”

براون گفت که نمی‌داند چرا استرایپ اتهامات تقلبی را تشخیص نمی‌دهد و آن‌ها را مسدود نمی‌کند، زیرا همه آنها از یک الگوی مشابه با استفاده از یک آدرس تصادفی Gmail پیروی می‌کنند. موکل او مجبور شد حدود 100 مورد از این تراکنش ها را به چالش بکشد.

براون گفت: «حل هر اختلاف 15 دلار هزینه دارد. «هر بازپرداخت بدون مناقشه 0.40 دلار هزینه دارد زیرا Stripe (مانند PayPal اکنون) هزینه را حفظ می کند.

بنابراین 100 * 15 + 1100 * 0.40 دلار = 1940 دلار درآمد از دست رفته به کارمزد و این بدیهی است که پس از بازپرداخت 2.99 دلار به ازای هر تراکنش متقلبانه است. این بدان معناست که تقلب 3600 دلاری (2.99 * 1200 دلار) منجر به ضرر خالص 1940 دلاری شده است – این دیوانه کننده است.

بسیاری از توسعه‌دهندگان دیگر در این گفتگو با حملات مشابهی مواجه شده‌اند، برخی با هانی‌پات‌هایی در جای خود قرار گرفته‌اند که از هیچ چیزی جلوگیری نمی‌کنند. یکی توصیه می شود با استفاده از پیشگیری از تقلب در ووکامرس افزونه این به صاحبان فروشگاه اجازه می دهد تا سفارشات را از آدرس های IP خاص، ایمیل ها، آدرس، ایالت و کدهای پستی مسدود کنند. این ممکن است پس از شروع حملات کمک کند، اما به طور کامل از آنها جلوگیری نمی کند. برخی از توسعه دهندگان در توقف حملات با استفاده از آن موفق شدند reCaptcha برای WooCommerce، یک افزونه تجاری است که ReCaptcha V2 (چک باکس) Google و reCaptcha V3 را برای جلوگیری از مواردی مانند تلاش‌های غیرمجاز برای ورود به سیستم، ثبت‌نام‌های جعلی، سفارش‌های مهمان جعلی و سایر حملات خودکار پیاده‌سازی می‌کند.

جان مونتگومری، توسعه‌دهنده وردپرس گفت: «حدود یک سال پیش با این مشکل مواجه شدیم. «این راهی است که هکرها/دزدها فهرستی از شماره کارت‌های معتبر را بررسی می‌کنند. هنگامی که آنها تأیید کردند که کارت در یک سایت کار می کند، می توانند برای خرید واقعی محصولات استفاده کنند. در پایان، یک آزاردهنده بزرگ است، اما صادقانه بگویم که در نهایت برای ما مشکل بزرگی نیست، زیرا ما محصولات دیجیتالی داریم و آنها واقعاً به آن علاقه‌ای نداشتند.»

مونتگومری افزونه ای به نام نصب کرد محدود کردن سفارشات برای ووکامرس، توسعه یافته توسط Nexcess، که سفارشات را پس از رسیدن به یک آستانه مشخص غیرمجاز می کند.

او گفت: «من آن را روی x سفارش در ساعت تنظیم کردم (بالاتر از هر اعداد تاریخی)…بنابراین اگر بگوییم 100 سفارش در یک ساعت دریافت کنیم، سفارشات را قطع می‌کند. “این کمی پتک است، اما قبلاً یک بار به ما کمک کرده است.”

اگرچه بسیاری از صاحبان فروشگاه‌ها در افزودن هرگونه اصطکاک به فرآیند تسویه‌حساب مردد هستند، مشاور فناوری جردن تراسک توصیه می‌کند قبل از ادامه و تأیید ایمیل‌ها، از مشتریان بخواهید حساب ایجاد کنند. او یک راهنما نوشت مقابله با حملات تست کارت.

تراسک گفت: «موضوع قوانین همه کشورها را مسدود می کند، به جز کشورهایی که شما به آنها خدمت می کنید. با این حال، برای WooCommerce، من یک چالش مدیریت شده JS را برای سبد خرید و پرداخت قرار می دهم.

“محدودیت نرخ تعبیه شده در Cloudflare وجود دارد که ممکن است کمک کند، اما بیشتر بر اساس درخواست در مقابل هر سفارش است که شما بر اساس IP به طور بالقوه به آن نیاز دارید. اگر درخواست‌ها از یک آدرس IP می‌آیند، می‌توانید به محدود کردن سفارش‌ها در هر IP نگاه کنید، زیرا ایمیل هر بار متفاوت است.

این محدود کننده نرخ پرداخت افزونه موجود در GitHub، نرخ پرداخت را در پرداخت WooCommerce بر اساس آدرس IP محدود می کند.

راهنمای Trask همچنین توصیه می‌کند هنگام بررسی هزینه‌های جعلی، گزارش‌های پردازشگر پرداخت را بررسی کنید:

همیشه گزارش های پردازشگر پرداخت خود را بررسی کنید تا بررسی کنید که هزینه ها در کجا ایجاد می شوند. ممکن است یک سایت مرحله‌بندی با کلیدهای API تولیدی وجود داشته باشد، یا سایت شما هک شده باشد و کلیدهای API به سرقت رفته باشد. اکثر پردازشگرهای پرداخت جزئیات بیشتری را در گزارش های خود به همراه اطلاعات اضافی خواهند داشت.

توسعه دهنده وردپرس Rahul Nagare توصیه می کند بررسی کنید حفاظت از تقلب رادار Stripe، که از یادگیری ماشینی برای ارائه حفاظت پیشرفته و شناسایی کلاهبرداران استفاده می کند.

Nagare گفت: “این به شما امکان می دهد قوانین سفارشی را در Stripe تنظیم کنید تا تراکنش های مشکوک را رد کنید.” این یک سرویس رایگان با Stripe بود، اما سال گذشته آن را تغییر دادند. من به دنبال مسدود کردن تمام تراکنش‌های دارای امتیاز ریسک بالاتر از میانگین و شاید منطقه آزمایش‌کنندگان کارت هستم.»

مستندات WooCommerce یک بخش دارد پاسخ به حملات تست کارت، که بسیاری از توصیه های مشابه در موضوع اخیر AWP مورد بحث قرار گرفته است. پلاگین CAPTCHA اولین خط دفاعی است. همچنین توصیه می‌کند از پرداختی به آنچه می‌خواهید یا محصولات اهدایی بدون حداقل هزینه خودداری کنید، زیرا این محصولات اغلب برای آزمایش کارت با تراکنش‌های کوچکی که دارندگان کارت ممکن است از دست بدهند، هدف قرار می‌گیرند. بازپرداخت سریع هر گونه سفارش جعلی موفق، احتمال اختلاف را کاهش می دهد.


منبع: https://wptavern.com/woocommerce-store-owners-combat-fraudulent-stripe-charges