Uwaga: Poniższy artykuł pomoże Ci w: Co to jest Carding i jak mu zapobiegać w Twoim sklepie internetowym
Oszustwa to koszmar zarówno dla klientów, jak i handlowców. W związku z ciągłymi doniesieniami o naruszeniach bezpieczeństwa danych, kupujący są słusznie zaniepokojeni bezpieczeństwem swoich danych płatniczych. Myśl o nieznajomym, który zadłuża się na tysiące dolarów, sprawia, że wielu klientów nie śpi w nocy — i powoduje, że mają wątpliwości co do zakupu od Ciebie.
Sprzedawcy detaliczni są równie dotkliwie poszkodowani przez oszukańcze transakcje kartami kredytowymi. Oszustwo powoduje obciążenia zwrotne, możliwą utratę produktów i utratę reputacji sprzedawcy, a wszystko to może poważnie zaszkodzić firmie. I nie tylko małe firmy mogą ucierpieć — nawet najwięksi detaliści mogą zostać mocno dotknięci. Cel, na przykład, zgłosił a 46% spadek zysków po naruszeniu danych na początku 2014 r.
Skradzione numery kart są często sprzedawane hurtowo oszustom, którzy następnie testują je w procesie znanym jako kardan. Używanie kart może być równie szkodliwe, jak każdy inny rodzaj oszustwa, dlatego ważne jest, aby je wykrywać i zapobiegać im.
Co to jest oszustwo kartowe?
Carding opisuje proces stosowany przez oszustów w celu ustalenia, czy skradzione numery kart są aktywne i czy nie zostały jeszcze zgłoszone jako zgubione lub skradzione. Aby sprawdzić, czy można użyć skradzionego numeru karty, oszuści często odwiedzają darowiznę lub witryny eCommerce i szybko inicjować wiele transakcji. Ta metoda służy do testowania dowolnej liczby skradzionych kart. Istnieje kilka rodzajów kartowania:
- Pojedyncza karta jest wielokrotnie używana w krótkich odstępach czasu na niskie lub identyczne kwoty w dolarach
- Wiele kart jest wielokrotnie używanych w krótkich odstępach czasu na niskie lub identyczne kwoty w dolarach
- Wiele kart z tymi samymi informacjami (nazwa i/lub adres rozliczeniowy) z tego samego adresu IP
- Wiele kart z różnymi informacjami (nazwa i/lub adres rozliczeniowy) z tego samego adresu IP
- Wiele kart z różnymi adresami rozliczeniowymi, ale z identycznym BIN (numer identyfikacyjny banku)
To wszystkie możliwe oznaki, że Twój sklep internetowy stał się celem działań cardingowych.
Sposoby wykrywania i zapobiegania aktywności cardingu
Najlepszym podejściem do wykrywania kartowania i zapobiegania mu jest wdrożenie wieloetapowego procesu przeglądu płatności. Każda warstwa stawia kolejną przeszkodę przed potencjalnymi działaniami kartowymi i pomaga chronić Twój sklep internetowy przed celem. Warstwy tego systemu współpracują ze sobą, aby wykrywać karty i zapobiegać im, porównując dane i spowalniając działania oszustów.
1. Użyj CAPTCHA
Głównym celem CAPTCHA jest zapobieganie wysyłaniu prób płatności przez zautomatyzowany skrypt, ponieważ do rozwiązania CAPTCHA wymagany jest wkład człowieka. Zmuszając potencjalnych oszustów do ręcznego płacenia kartą, sprawiasz, że Twój sklep internetowy staje się mniej atrakcyjnym celem dla działań związanych z kartowaniem.
Ważne jest, aby o tym pamiętać dodanie sprawdzania poprawności Captcha do procesu realizacji transakcji będzie miało negatywny wpływ na współczynnik konwersji ponieważ zwiększa tarcie w procesie realizacji transakcji i nie jest częstym elementem realizacji transakcji w sklepie internetowym.
2. Skorzystaj z systemu weryfikacji adresu (AVS)
The System weryfikacji adresu porównuje adresy rozliczeniowe podane przy kasie z adresem, który wystawca karty kredytowej ma w rejestrze klienta. Wyniki tego porównania są natychmiast wysyłane do Ciebie. Typowe odpowiedzi AVS to:
- Y (pełne dopasowanie)
- A (tylko adres się zgadza)
- Z (tylko dopasowanie kodu pocztowego)
- N (w ogóle nie pasuje)
Źródło: www.vantiv.com
Prawidłowo skonfigurowana bramka płatnicza może zatrzymać transakcje z odpowiedzią N, jeśli karta została zgłoszona jako zagubiona lub skradziona. W przypadku innych odmian konieczne będzie użycie filtrów oszustw w celu zweryfikowania tych danych i podjęcia decyzji o zaakceptowaniu lub odrzuceniu transakcji według własnego uznania.
AVS działa w Stanach Zjednoczonych, Kanadzie i Wielkiej Brytanii. Karty wydane z krajów bez wsparcia AVS mogą zwracać następujące odpowiedzi:
- U (nieobsługiwany AVS)
- S (AVS niedostępne)
- G (karta globalna)
Ponieważ AVS nie jest obecny we wszystkich krajach, powinieneś poprzeć go innymi formami wykrywania oszustw.
3. Wykonaj kontrolę geolokalizacji IP
Adres IP oznacza lokalizację komputera internauty. Kontrola geolokalizacji adresu IP porównuje adres IP użytkownika z adresem rozliczeniowym wprowadzonym na stronie płatności. Jeśli lokalizacje się nie zgadzają, użytkownik prawdopodobnie nie robi zakupów pod tym samym adresem, co właściciel karty kredytowej, co może wskazywać na oszustwo.
Nieudane sprawdzenie geolokalizacji adresu IP nie zawsze oznacza, że transakcja jest oszukańcza. Powinieneś również sprawdzić, czy użytkownik odwiedza Twoją witrynę za pośrednictwem adresu IP proxy, który służy do sprawiania, że internauci pojawiają się z fałszywej lokalizacji. To prawda, że niektórzy oszuści używają serwerów proxy, aby ukryć swoje ślady, ale ich użycie jest również powszechne wśród zwykłych ludzi, którzy po prostu chcą dodatkowej prywatności.
Możliwe jest również, że użytkownik złożył zamówienie podczas podróży, przez co jego adres IP różni się od informacji rozliczeniowych, ale nigdy nie należy zakładać, że tak jest. Niedopasowanie geolokalizacji IP zawsze wymaga bliższego przyjrzenia się i możesz natychmiast odkryć inne czerwone flagi.
4. Porównaj numery identyfikacyjne banku kart
BIN zawiera informacje dotyczące typu karty kredytowej oraz nazwy i lokalizacji banku wydającego. Pojawia się jako pierwsze sześć cyfr każdego numeru karty kredytowej i debetowej. Ponieważ BIN identyfikuje typ karty (Visa, MasterCard, American Express lub Discover) oraz bank, który ją wydał, możesz zidentyfikować karty, które wszystkie pochodzą z tego samego źródła.
Informacje te mogą być istotne przy wykrywaniu prób kartowania. Zwykle rzadko powinieneś widzieć numery kart z tym samym BIN – może dwa razy w miesiącu. Jeśli nagle otrzymasz kilka transakcji w ciągu jednego lub dwóch dni, wszystkie dotyczące tego samego kodu BIN, jest to znak, że Twój sklep internetowy jest celem próby użycia karty przy użyciu dużej liczby numerów kart zakupionych online i/lub pochodzących z naruszenia ochrony danych. Śledzenie BINów może pomóc w wykryciu tego typu aktywności.
5. Kontrole prędkości
Szybkość odnosi się do liczby lub szybkości transakcji próbowanych w określonym przedziale czasu, np. kilku płatności dokonanych przez tego samego odwiedzającego w odstępie kilku sekund lub minut. Dokonywanie przez użytkownika wielu płatności w krótkich odstępach czasu jest bardzo rzadkie, zwłaszcza jeśli transakcje są tak blisko siebie, że wykonanie ich przez człowieka byłoby trudne.
Źródło: ustawienia Authorize.net
Monitorowanie prędkości jest bardzo ważne i można to zrobić na podstawie kwoty w dolarach, adresu IP użytkownika, adresu rozliczeniowego, kodu BIN lub urządzenia. W każdym przypadku sprawdzana jest liczba i szybkość transakcji identycznych w określony sposób. Na przykład kontrole prędkości według kwoty w dolarach identyfikują szybką serię transakcji na dokładnie tę samą kwotę, co jest częstą oznaką karty.
6. Autoryzacja/przechwytywanie
Autoryzacja/przechwycenie to metoda przyjmowania płatności kartą kredytową, w której karta jest najpierw autoryzowana do zakupu, a środki mają zostać przechwycone później. Jest często używany w sytuacjach, takich jak autoryzacja karty klienta do zapłaty do określonej kwoty, podczas gdy dokładna kwota obciążenia nie została jeszcze ustalona. Gdy sprzedawca osiągnie dokładną kwotę płatności, środki są pobierane z karty klienta do kwoty autoryzacji, ale nie przekraczającej.
Jeśli korzystasz z metody autoryzacji/przechwytywania w swoim sklepie internetowym, możesz poświęcić czas na przejrzenie transakcji w okresie autoryzacji. Jeśli uważasz, że jesteś celem kartowania, nie odbieraj środków. Jeśli już je przechwyciłeś, zdecydowanie zalecamy szybkie dokonanie zwrotu pieniędzy zamiast czekania na obciążenie zwrotne od klienta.
7. Bezpieczeństwo 3D
3D-Secure (3 Domain Secure) wdraża technologię, aby przenieść ciężar zapobiegania oszustwom ze sprzedawcy na dostawcę płatności. Transakcje i tożsamość klienta są weryfikowane za pomocą systemu, który wykorzystuje dużą ilość informacji w celu ustalenia, czy płatność jest fałszywa lub prawidłowa, przy jednoczesnym zapewnieniu jak najpłynniejszej obsługi klienta.
3D-Secure działa w tle, przesyłając dane między sprzedawcą internetowym a dostawcą karty kredytowej klienta. Przesłane dane obejmują wiele aspektów historii zakupów klienta, które mogą pomóc zweryfikować jego tożsamość, takich jak używane urządzenie, wzorce wydatków i inne. Im więcej przesłanych danych, tym bezpieczniejsza identyfikacja, co skutkuje mniejszą liczbą oszustw i fałszywych trafień. Rozwiązanie jest prezentowane specjalnie dla używanej karty i można je przedstawić jako Odkryj ProtectBuy, Zweryfikowano przez wizę, Bezpieczny kod Mastercard Lub Bezpieczny klucz American Express.
Jak rozpocząć filtrowanie nieuczciwych transakcji
Najszybszym i najprostszym rozwiązaniem do identyfikowania kart płatniczych i innych nieuczciwych transakcji w Twoim sklepie internetowym i zapobiegania im jest użycie A rozwiązanie filtrujące oszustwa. Na rynku istnieje wiele rozwiązań, które automatycznie przeglądają transakcje na kilka z powyższych sposobów. Zebrane informacje są analizowane i zwracane do Ciebie, dzięki czemu możesz zdecydować, czy przyjąć potencjalnie ryzykowne zlecenia.
Źródło: ustawienia filtra PayPal
Jak działają filtry oszustw
Korzystając z wielu źródeł informacji, aby pomóc w określeniu potencjalnego ryzyka oszustwa związanego z każdą transakcją. Twój koszyk już gromadzi dane, w tym między innymi:
- Adres IP użytkownika
- Informacje rozliczeniowe i wysyłkowe użytkownika
- Informacje dotyczące płatności użytkownika
- Odpowiedź AVS zwrócona dla transakcji
Informacje te można wykorzystać do porównania z parametrami zdefiniowanymi przez użytkownika, takimi jak kwoty zamówienia, ilość pozycji itp., aby skonfigurować reguły sprawdzania, które automatycznie wykonają wybrane działania po otrzymaniu nowego zamówienia.
Na przykład możesz przeprowadzić własną weryfikację geolokalizacji, porównując adres IP kupującego i adres rozliczeniowy, odnotowując niespójności wymienione w odpowiedzi AVS i nie tylko. Następnie możesz wyznaczyć działania, które mają zostać podjęte automatycznie, gdy pojawi się zamówienie spełniające podane kryteria.
W przypadku większości rozwiązań do zwalczania oszustw możesz użyć ustawionych kryteriów, aby automatycznie akceptować, odrzucać lub oznaczać zamówienia do ręcznego przeglądu, jeśli ujawnią one jakiekolwiek niespójności w danych zamówienia. Możesz też utworzyć reguły oznaczające każde zamówienie złożone przez dowolnego klienta, którego adres rozliczeniowy nie zgadza się z adresem IP jego komputera lub urządzenia. Podobnie możesz automatycznie oflagować wszystkie zamówienia o dużej wartości złożone przez zupełnie nowego klienta. Wszystkie te zamówienia byłyby następnie wyświetlane do ręcznego sprawdzenia, umożliwiając ich akceptację lub odrzucenie w zależności od przypadku.
W przypadku kontroli prędkości powinieneś mieć możliwość skonfigurowania maksymalnej liczby prób realizacji transakcji na użytkownika, co zapobiega wszelkim dalszym próbom po osiągnięciu wyznaczonego limitu. Jest to potężna broń przeciwko cardingowi, ponieważ zapobiega dużej liczbie kolejnych transakcji, co jest główną taktyką cardingu.
Wniosek
Walka z oszustwami nigdy się nie kończy, ale narzędzia takie jak Oszustwa, Bez oszustw, liczyć i Siftscience zapewniają szybki i niezawodny sposób gromadzenia wszystkich istotnych informacji, które mogą pomóc w ocenie, czy transakcja stanowi zagrożenie. Dzięki wysoce konfigurowalnym regułom i licznym punktom gromadzenia danych rozwiązanie oszustw jest koniecznością dla każdego właściciela sklepu internetowego, który chce chronić siebie i swoich klientów przed próbami pobrania karty i wszelkimi oszukańczymi działaniami.
