3 points par GN⁺ 2023-08-03 | 1 commentaires | Partager sur WhatsApp
  • Un service SaaS, en enquêtant sur une forte hausse du taux de refus des cartes, a découvert une attaque de test de cartes utilisant des noms générés automatiquement et des domaines d’e-mail étranges
  • L’attaque ressemblait davantage à une opération manuelle ou légèrement automatisée, jusqu’à 4 cartes par minute au maximum, qu’à un trafic de bots à grande échelle ; les cartes avaient en commun la même banque, la même source de fonds et une émission aux États-Unis
  • Des canaux Telegram publics et des outils en ligne partageaient des BIN, CVC, dates d’expiration, méthodes de génération de numéros de carte ayant de bonnes chances de passer sur certains sites web, ainsi que des outils d’exécution automatique de Stripe Checkout
  • Parmi les paiements frauduleux réussis, 15 % ont donné lieu à un chargeback ; des scripts Python créés avec ChatGPT ont été utilisés pour accepter les litiges, rembourser, annuler des abonnements et vérifier l’état des paiements
  • Les scores de risque par défaut de Stripe Radar étaient pour la plupart faibles, entre 0 et 5 ; en pratique, la défense la plus utile a été de mettre en place des règles Radar personnalisées limitant le nombre d’échecs par unité de temps

Découverte de l’attaque de test de cartes et première réponse

  • Il y a quelques semaines, une alerte a signalé que le taux de refus des cartes était plus élevé que d’habitude
  • Dans le tableau de bord Stripe, de nombreux paiements échoués ont été constatés pour des utilisateurs dont les noms semblaient générés automatiquement et dont les domaines d’e-mail étaient étranges
  • Le service a considéré qu’il s’agissait d’une attaque de test de cartes classique, a activé Stripe Radar et a ajouté au backlog l’intégration d’un CAPTCHA au checkout
  • À peu près au même moment, Pieter Levels et Danny Postma ont eux aussi partagé des attaques similaires sur Twitter
    • Pieter Levels a écrit avoir remboursé et annulé 240 clients nommés Jake Smith venant des Philippines, et que les paiements de test de cartes représentaient 7 000 $
    • Danny Postma a écrit que des paiements frauduleux étaient effectués sous le nom jack smith et qu’une solution rapide de Stripe était nécessaire

Un schéma d’attaque proche du manuel

  • Quelques semaines plus tard, l’alerte sur le taux de refus s’est à nouveau déclenchée, et la réponse a commencé par l’ajout de règles Stripe Radar temporaires
  • En examinant le trafic en détail, l’attaquant testait au maximum 4 cartes par minute, avec une intensité et une régularité encore plus faibles la plupart du temps
  • Au regard de la documentation de Stripe sur la prévention du test de cartes, l’implémentation du service était relativement bien protégée
    • Les utilisateurs devaient se connecter avant d’ouvrir le checkout
    • Payment Element était utilisé, ainsi que certains signaux
    • Selon la documentation Stripe, le niveau de protection contre le test de cartes aurait dû être proche de excellent
  • Après une enquête plus poussée et une revue par des collègues, ce trafic a été jugé proche d’une attaque manuelle ou d’une automatisation très légère

Paramètres de cartes et outils diffusés sur des canaux publics

  • La plupart des cartes utilisées dans l’attaque présentaient les mêmes caractéristiques
    • Elles étaient toutes émises par la même banque
    • Elles avaient la même source de fonds
    • Elles étaient toutes émises aux États-Unis
  • Les paramètres des cartes étaient si similaires qu’il était permis de se demander s’il s’agissait réellement de cartes divulguées depuis une banque
  • Sur des canaux accessibles publiquement, on a trouvé des BIN de cartes bancaires, des CVC, des dates d’expiration et des liens vers des outils générant des numéros de carte valides à partir de ces entrées
    • BIN signifie Bank Identification Number, les 6 à 8 premiers chiffres du numéro de carte
    • La source de fonds indique si la carte est une carte de débit, de crédit ou prépayée
  • Des canaux Telegram publics contenaient aussi des messages expliquant comment obtenir illégalement Spotify Premium ou YouTube Premium
  • Il existait un écosystème souterrain public partageant des paramètres de cartes ayant de bonnes chances d’être acceptés sur certains sites web, généralement des SaaS
  • L’attaque visant ce service avait probablement elle aussi commencé sur un serveur Discord privé ou un canal Telegram spécifique, mais aucune source précise n’a été trouvée
  • Sur les canaux publics, on voyait souvent des messages indiquant qu’ils deviendraient privés quelques jours plus tard, et une grande partie de l’activité semblait se dérouler dans des lieux inaccessibles
  • Il existait aussi de nombreux outils en ligne recevant une liste de cartes générées automatiquement et les exécutant automatiquement sur une session Stripe Checkout arbitraire
    • Le fait que Stripe Checkout, entièrement contrôlé de bout en bout par Stripe, puisse lui aussi être vulnérable à l’automatisation était inattendu
    • Une partie du code de ces outils générait des adresses e-mail Gmail aléatoires invalides

Nettoyage après coup : litiges, remboursements et annulations d’abonnements

  • Certains attaquants ont réussi à payer et ont effectivement acheté le produit, ce qui a accru le coût du nettoyage après coup
  • Pour évaluer l’ampleur du problème, les clients ayant eu plus de 5 paiements échoués depuis le 1er mai ont été recherchés dans le datastore
  • Un script Python a été créé avec ChatGPT pour extraire les domaines d’e-mail de ces clients
  • À partir de la liste des domaines, la base de données a été interrogée afin d’obtenir la liste des paiements réussis effectués par des clients ayant des e-mails sur les mêmes domaines
  • Un autre script généré par ChatGPT a permis de vérifier quels paiements étaient déjà en litige
  • Parmi les paiements frauduleux réussis, 15 % ont donné lieu à un chargeback
    • Taux de chargeback : {p:15}
  • La décision a été prise d’accepter tous les litiges et d’assumer les frais Stripe de 20 £ par dossier
  • Une restricted key à privilèges minimaux a été créée dans Stripe, et ChatGPT a généré un script d’acceptation des chargebacks
  • Ensuite, un script a récupéré les paiements de la liste, remboursé ceux qui n’étaient pas en litige et annulé les abonnements actifs des clients qui avaient créé ces paiements
  • Même pour les paiements remboursés, des pertes liées aux frais Stripe et réseau pouvaient survenir pendant le paiement réussi et le remboursement
  • Un dernier script de vérification a confirmé que tous les paiements étaient soit en litige accepté, soit remboursés, et qu’aucun abonnement actif ne restait pour ces clients
  • ChatGPT a recommandé la prudence et un test sur un petit échantillon avant d’exécuter les scripts ; les scripts ont été relus manuellement, et aucune donnée client, aucun ID ni aucune clé API n’a été partagé

Le poids des pratiques d’autorisation des banques américaines

  • Le monde du paiement en ligne est considéré comme largement injuste pour les commerçants
    • Les chances de gagner un litige sont faibles
    • Selon Stripe, l’activité de litiges doit être maintenue sous 0,75 %
    • Que le commerçant gagne ou perde, il doit payer 20 £ par litige
  • Dans le même temps, les banques, en particulier américaines, peuvent autoriser un paiement même dans les conditions suivantes
    • Le nom complet est incorrect
    • Le CVV/CVC n’est pas valide
    • La date d’expiration est incorrecte
    • L’adresse de facturation n’est fournie qu’en partie et le ZIP code est également incorrect
  • Même dans ces conditions, l’authentification 3D Secure ne s’est pas nécessairement déclenchée
  • La question demeure : pourquoi le commerçant devrait-il être responsable de paiements où seul le numéro de carte est correct ?
  • Pour les cartes prépayées, les possibilités de ces contrôles peuvent être limitées, mais une marge d’amélioration existe

Les règles Stripe Radar qui ont réellement fonctionné

  • La première réponse a été l’activation de Stripe Radar
  • Stripe Radar est une solution fondée sur le machine learning, conçue pour attribuer un score à chaque paiement et bloquer automatiquement certains paiements lorsque certains indicateurs ne correspondent pas
  • Dans ce cas, le jugement par défaut de Radar n’a pas beaucoup aidé
    • La plupart des paiements frauduleux affichaient un score de risque faible, entre 0 et 5
    • À l’inverse, certains clients légitimes ont été bloqués après deux échecs de challenge 3D Secure
    • Cette expérience a suscité des inquiétudes à l’idée de confier le sort des clients au machine learning
  • La fonctionnalité la plus utile a été les règles Stripe Radar personnalisées
    • Demander un challenge 3D Secure
    • Envoyer en revue manuelle
    • Bloquer complètement
  • Les règles Radar ressemblent à du pseudocode, mais elles permettent d’exprimer une logique assez complexe pour réduire le périmètre des tentatives de paiement malveillantes
  • La mesure la plus utile a consisté à imposer, par client, des limites raisonnables au nombre d’échecs de paiement autorisés sur 1 heure, 1 jour et 1 semaine
  • L’ajout d’un CAPTCHA, la surveillance du taux d’échec et le partage de règles Radar personnalisées restent des réponses réalistes tant que les banques n’assument pas une plus grande responsabilité dans les autorisations

Les coûts finissent par être répercutés sur les commerçants et les clients

  • Frais des processeurs de paiement, pénalités de chargeback, coûts d’ingénierie et risque d’exclusion de plateformes : le coût de la fraude est supporté par les commerçants du monde entier
  • Le fait que Stripe facture aux commerçants 20 £ de frais de chargeback est également vu comme un exemple de traitement injuste
  • Ces coûts sont finalement répercutés sur les clients sous forme de prix plus élevés
  • Les réseaux de paiement dont on dépend chaque jour sont très exploitables, et la décision finale d’autoriser ou non un débit par carte relève de la discrétion de la banque émettrice
  • Tant que les banques n’assumeront pas davantage de responsabilité dans les autorisations, ce que les commerçants peuvent faire se résume essentiellement à surveiller de près le taux d’échec des autorisations, ajouter un CAPTCHA et améliorer les règles Stripe Radar

1 commentaires

 
GN⁺ 2023-08-03
Avis sur Hacker News
  • Le plus surprenant n’est pas tant qu’il existe un groupe qui abuse des paiements Stripe, mais que l’auteur ait fait créer à ChatGPT un script d’automatisation du traitement des paiements
    Le problème, c’est surtout que c’était pour gérer les chargebacks, et dans le contexte du billet, l’auteur semblait ne pas avoir les compétences techniques nécessaires pour écrire ou vérifier lui-même ce script
    Il s’est indigné d’avoir été trahi après avoir cru que Stripe s’occuperait de la prévention de la fraude, tout en faisant à nouveau une confiance aveugle à une autre technologie qu’il ne comprend pas
    Le problème n’est pas seulement Stripe, mais cette attitude qui consiste à confier sa confiance à n’importe quoi en espérant que tout se passe bien

    • Ça me semble être une mauvaise description de la situation
      L’auteur n’a pas délégué le traitement des paiements ; c’est plus proche d’un script qui parcourait les chargebacks de ces comptes et appuyait en pratique sur le bouton « accepter »
      Je ne vois pas très bien d’où vient l’idée qu’il manquerait de compétences techniques, d’autant qu’il a écrit dans le billet qu’il avait « soigneusement relu tous les scripts et n’avait partagé ni données client, ni identifiants, ni clés API »
    • Cette personne gère une activité rentable, crée de la valeur pour ses clients, livre des fonctionnalités, et publie les menaces qu’elle a atténuées ainsi que ce qu’elle en a appris
      Dans ce processus, elle a simplement utilisé ChatGPT pour produire un script et gagner du temps
      Je ne sais pas si elle est non technique ou si elle cherche simplement à gagner du temps, mais honnêtement, ce sens de l’exécution mérite plutôt des éloges
      Ces scripts n’ont pas décidé du sort de l’entreprise ni pris des décisions métier critiques ; c’étaient des outils pour filtrer de gros volumes de données et produire rapidement des résultats vérifiables manuellement
      Ça me semble au contraire être l’un des cas d’usage les plus utiles de ChatGPT : un outil d’amplification des capacités qui permet à un fondateur pressé d’obtenir brièvement une expertise ciblée pour créer un script répondant à un objectif précis
      Autrefois, il aurait fallu des semaines pour trouver un prestataire, l’embaucher et lui expliquer le besoin afin d’obtenir le même résultat ; aujourd’hui, on peut presque l’obtenir gratuitement et immédiatement
      Je comprends la réaction instinctive qui consiste à trouver cela « surprenant » ou irresponsable, mais ça ressemble quand même beaucoup à une réaction du type « les jeunes de nos jours »
      Si c’est ça, l’avenir, les développeurs auraient intérêt à soutenir l’autonomie croissante des non-techniciens et à réfléchir à la façon d’aider les fondateurs à mieux formuler leurs demandes de scripts à ChatGPT
    • C’est l’auteur du billet. J’ai examiné et testé avec soin les scripts ChatGPT avant de les exécuter
      On ne peut pas vraiment dire que je manque d’expertise technique dans ce domaine ; je cherche simplement à utiliser mon temps de la façon la plus efficace possible
    • Je ne sais pas pourquoi on voit si souvent ce genre de spéculations sans fondement
      L’auteur a déjà répondu qu’il avait relu les scripts et n’avait pas envoyé de données sensibles, donc il n’y a rien à ajouter sur ce point
      Beaucoup de gens utilisent ChatGPT efficacement sans pour autant croire aveuglément à ses résultats. Pour moi, ChatGPT est un point de départ, pas le livrable final
      Tout le monde n’est pas aussi idiot que cet avocat qui a copié-collé dans un mémoire juridique des références jurisprudentielles hallucinées sans les vérifier
    • J’ai trouvé étrange que ChatGPT soit mentionné. Ça ressemblait presque à une publicité
      J’ai lu beaucoup de billets similaires, mais je ne me souviens pas d’en avoir vu où l’auteur disait soudain qu’il s’était appuyé sur Stack Overflow pour coder, alors que le sujet n’était pas un billet méta sur le code ou le débogage eux-mêmes
  • Pour une entreprise étrangère qui encaisse des paiements aux États-Unis, il faut simplement prévoir cela comme un coût commercial
    La fraude à la carte bancaire y est socialisée. Le consommateur final n’en assume pas la responsabilité, donc il n’y a pas vraiment d’incitation à utiliser une puce et un code PIN, une authentification à deux facteurs ou 3D Secure
    Dès qu’une transaction suspecte est repérée, il suffit d’appuyer sur un bouton dans l’app bancaire et le paiement est annulé en quelques minutes
    Les banques et les processeurs de paiement sont eux aussi incités à faire passer les transactions le plus vite et le plus facilement possible pour encourager les gens à utiliser davantage ces moyens de paiement
    Comme l’a dit l’auteur, même si la date d’expiration, l’adresse de facturation et le code postal ne correspondent pas, le paiement passe généralement quand même
    L’inconvénient, c’est que toute la responsabilité est reportée sur les commerçants, qui n’ont alors d’autre choix que d’augmenter les prix pour tout le monde afin de compenser

    • Je trouve ce lien de causalité peu convaincant
      Le Danemark a lui aussi la même protection des consommateurs, la possibilité de chargeback et une garantie publique qui fait que le consommateur ne perd pas son argent même si son compte bancaire est vidé
      Et pourtant, au moment de l’achat, il y a des protections fortes comme la puce et le code PIN obligatoires ainsi que 3D Secure
      Je ne pense pas qu’il existe une raison rationnelle à l’absence d’une meilleure sécurité des cartes aux États-Unis. On dirait simplement qu’ils n’en veulent pas
    • Il faut aussi ajouter à cela les frais absurdes imposés aux commerçants par les réseaux de cartes
      Aux États-Unis, c’est généralement autour de 2 % du montant de la transaction, alors que l’UE plafonne cela à 0,3 %
      Même ainsi, cela reste élevé au vu des montants déplacés
      Ce coût est lui aussi socialisé puis répercuté sur les consommateurs, et même ceux qui paient en espèces supportent des prix plus élevés
      À noter qu’avec 3D Secure, selon les conditions de certaines banques, le titulaire de la carte peut être tenu responsable d’un paiement frauduleux
      S’il s’agit d’une authentification à deux facteurs par téléphone mobile, il suffit que le téléphone et le portefeuille soient volés ensemble, et j’ai vu dans les actualités des cas où cela a entraîné des pertes de plusieurs milliers de dollars
    • Les Américains et les Canadiens sont coupés du chaos qui se joue en arrière-plan pour traiter une seule transaction
      Ils ne voient qu’une récompense de 1 à 2 centimes par dollar, parfois jusqu’à 5 centimes, sous forme de « points », et comme 1 centime est affiché comme 100 points, cela paraît séduisant
      Ce qu’on ne voit pas, c’est la majoration générale de 3 à 5 % ou plus sur les prix des produits, les chargebacks et frais de traitement, les paiements frauduleux, la sécurité défaillante, les magasins qui acceptent encore la bande magnétique, et la multitude d’intermédiaires
      Les frais bancaires, les frais des émetteurs de cartes, les frais du réseau, les frais des cartes premium s’ajoutent sans cesse
      C’est un chaos complet et je déteste vraiment ça
      J’espère qu’on passera à FedNow. Il faut supprimer les intermédiaires qui siphonnent l’argent des gens, ainsi que tout ce parasitisme et ce gaspillage
    • C’était amusant de voir l’accent mis sur les banques américaines, parce qu’une photo sur Telegram indiquait qu’il fallait utiliser une adresse à Paris, en France
      J’ai géré deux organisations ces deux dernières années, et toutes deux ont été ciblées par des bots de vérification automatique de cartes de crédit utilisant des cartes bancaires françaises, et beaucoup de cartes sont passées
      Bien sûr, dans les deux cas, mes avertissements précédents sur la nécessité de renforcer le site de paiement avaient été ignorés, et l’une des deux utilisait encore Magento 1
      Ce n’est qu’une anecdote, mais le vrai problème, c’est que les cartes de crédit, comme ACH, sont des reliques rafistolées par couches successives, et que personne ne semble vouloir les corriger sérieusement
    • Surtout, c’est probablement dû à des pratiques anciennes dépendantes du chemin historique
      Les cartes de crédit ont été inventées aux États-Unis, donc la technologie est ancienne et les mises à niveau prennent beaucoup de temps
      Du côté des paiements manuels, UPI en Inde a l’air assez bon. Si j’ai bien compris, le client approuve chaque paiement sur son téléphone avant que la transaction ne soit traitée
  • À propos des frais de chargeback, Visa a racheté il y a quelques années une entreprise appelée Verifi
    Il existe deux nouveaux produits, Rapid Dispute Resolution et Order Insight
    RDR permet d’effectuer un remboursement automatique avant qu’une transaction ne se transforme en chargeback, et Visa prélève 4 dollars de frais. À condition que le code MCC ne soit pas considéré à haut risque
    Order Insight permet de fournir immédiatement certaines données sur un paiement contesté, et si le client a déjà effectué 3 paiements par le passé, il ne peut plus émettre de chargeback
    Dans notre activité, la décision a été très simple au vu du taux de succès, du montant moyen des commandes et des frais de chargeback
    Maintenant, nous n’avons plus non plus à nous inquiéter en permanence de la règle des 1 % de chargebacks de Visa ou de la banque acquéreuse
    Cela ne s’appliquait qu’aux paiements Visa, mais cela représentait environ 50 % du volume total des transactions
    Enfin, Visa est en train de retirer de fait une énorme source de revenus aux processeurs de paiement. Si votre processeur est TSYS, il essaiera de vous facturer 10 dollars de frais RDR

    • Auteur de l’article ici. Comment gérez-vous cela côté Mastercard ?
      J’ai entendu parler d’Ethoca, et ils sont vraiment très forts en SEO. Ça a l’air assez similaire à Verifi
  • Je ne comprends pas pourquoi les États-Unis ont l’air d’avoir autant de retard côté bancaire
    Le Royaume-Uni a introduit la puce et le code PIN en 2004 et l’a rendu obligatoire à partir de 2006, alors que les États-Unis ont suivi avec environ 10 ans de retard
    Faster Payments permet des virements instantanés gratuits entre la plupart des comptes bancaires. Recevoir de l’argent de clients américains a toujours été un cauchemar, même avec un compte Wise américain
    Depuis que l’UE a introduit l’authentification forte du client, la plupart des nouveaux paiements doivent être approuvés via une application bancaire mobile ou un autre moyen d’authentification à deux facteurs
    Même avant cela, au minimum, le code postal et le CVV devaient correspondre
    Ces mesures donnent l’impression que les banques transfèrent la responsabilité de la fraude aux clients, mais dans tous les cas, c’est le client qui finit par payer
    Dans une culture où la fraude à la carte est largement acceptée, les prix augmentent pour compenser ce coût

    • En tant que Canadien, payer dans un restaurant aux États-Unis donnait l’impression de faire un voyage dans le temps
      Au lieu de payer directement à table avec un terminal, il fallait donner sa carte au serveur et attendre qu’il la traite manuellement quelque part
      Cela s’est peut-être amélioré ces dernières années, mais au Canada, on n’utilise plus cette méthode depuis le début des années 2000
    • Si la fraude à la carte représente X % du volume total des paiements, une entreprise peut soit faire beaucoup d’efforts pour la traiter, soit simplement la laisser passer et absorber le coût
      Si cela lui permet de servir Y % de clients en plus, et que Y est supérieur à X, elle peut gagner davantage à long terme
      Aux États-Unis, cette approche fonctionne dans beaucoup d’activités grâce à l’énorme échelle du marché
      Par exemple, pour McDonald’s, il est probablement plus rentable, en termes de marge, de faire passer rapidement le paiement à l’heure du déjeuner que de perdre une seconde à vérifier l’absence de fraude
      Cela ne fonctionnerait peut-être pas en Europe, mais j’ai l’impression qu’on passe à côté de la dimension vitesse de transaction et échelle quand on analyse le coût réel
      Le jour où l’équilibre entre fraude et profit basculera défavorablement pour les entreprises, les principaux garde-fous antifraude seront activés presque immédiatement aux États-Unis aussi
    • Les États-Unis ont un secteur bancaire extrêmement diversifié et faiblement régulé
      Il y a des milliers de petites banques régionales réparties dans 50 États, et chaque État est lui-même assez indépendant
      Dans un tel environnement, il est bien plus difficile de déployer de grandes nouvelles technologies
    • La plupart des commentaires ici semblent avoir assez peu de rapport avec l’article d’origine. Il parle précisément de fraude par carte non présente
      La puce et le code PIN ne fonctionnent pas pour les paiements sur Internet
      Les virements bancaires s’adaptent mal à l’international
      La vérification d’adresse et le CVV sont faciles à activer, mais ils peuvent aussi rejeter davantage de transactions légitimes. Parfois, ce coût est supérieur au risque de fraude qu’ils permettent d’éviter
      La responsabilité de la fraude est transférée non pas au client, mais au commerçant
      Bien sûr, le coût de la fraude pour le commerçant finit par se répercuter dans les prix et le client paie plus, mais seulement au sens où tout coût de la fraude est au final répercuté sur le consommateur
    • Les notions d’« en avance » et de « en retard » empêchent de penser et transforment tout le sujet en simple position sur une ligne numérique
      En réalité, ce n’est pas le cas : c’est un problème complexe, et les acteurs des deux côtés de l’Atlantique jouent un jeu de mauvaise foi pour exploiter le changement
      Cela ignore aussi les rôles en jeu
      Une personne d’une vingtaine d’années, avec un emploi stable, représente pour plusieurs raisons une part de plus en plus réduite du système réel
      Certaines personnes considèrent aussi que, dans l’UE comme ailleurs, les jeunes actifs de vingt ans sont exploités et perdent leurs droits
  • Le serveur de l’entreprise où je travaillais auparavant s’est fait pirater, et ils ont volé une clé API pour faire du carding depuis ce serveur
    PayPal nous a dit que nous leur devions 100 000 dollars de frais
    Nous étions une structure qui ne traitait que jusqu’à 5 paiements par jour pour des frais d’inscription à des cours, autour de 4 500 dollars par transaction
    Le pirate lançait des demandes d’autorisation à 1 dollar chaque seconde sur des numéros de carte de crédit aléatoires
    Au final, nous n’avons pas eu à payer les frais de carding, mais eux s’en moquaient
    Ils s’en moquaient parce qu’ils gagnent de l’argent grâce à la fraude
    Dans la configuration, nous avions défini que seuls des montants de commande entre 2 500 et 6 000 dollars étaient autorisés, mais ils ne vérifiaient pas les demandes d’autorisation
    C’était vraiment délirant
    C’était vers 2010, et Stripe n’était pas encore disponible au Canada à l’époque

  • La protection antifraude de Stripe est horrible, et c’est intentionnel
    Ils externalisent ouvertement le coût de la gestion du risque vers les clients. C’en est obscène
    Je travaille dans la prévention de la fraude à la carte de crédit, et même si je ne suis pas particulièrement excellent dans ce domaine, notre équipe de 3,5 personnes a facilement conçu et maintenu un système capable de bloquer ce type d’attaque de carding
    Le principal moyen, pour un commerçant, d’empêcher les attaques de carding, c’est de devenir juste un peu plus pénible à attaquer que la cible suivante
    À mon avis, Stripe considère qu’il peut rester le grand réseau le plus facile à attaquer, puisqu’il peut reporter la douleur et le coût sur ses utilisateurs
    Stripe pourrait facilement empêcher ce type de préjudice pour un coût très faible
    Ils choisissent de laisser les utilisateurs souffrir pour économiser quelques sous

    • Stripe essaie de facturer jusqu’aux moindres détails et veut vous faire payer Radar
      Stripe Taxes et leur conversion de devises médiocre relèvent de la même stratégie
      Au début, ils ne fournissent pas vraiment le service correctement, puis on finit par réaliser que les frais Stripe représentent un pourcentage à deux chiffres du prix total
  • Edwin de Stripe ici. Je veux simplement préciser que ce billet est une copie d’un ancien article d’il y a un mois (https://piotrmierzejewski.com/p/card-networks-exploitation)
    Depuis, nous avons corrigé la plupart de ces problèmes. Ce type de test de cartes a diminué, et Radar devrait désormais arrêter ce genre d’attaques
    Concernant les chargebacks, nous les détestons aussi et voulons les réduire autant que possible
    Nous travaillons en fait sur plusieurs choses qui devraient aider ici
    Les banques facturent des frais de chargeback de montants variables, dont la moyenne apparaît sous la forme de frais de 20 dollars
    Ce ne sont pas des frais propres à Stripe, et nous ne gagnons pas d’argent sur les chargebacks
    Nous venons de finaliser le plan de l’entreprise pour le reste de l’année, et réduire ce type de fraude est la priorité absolue
    Si vous pensez subir quelque chose de similaire, vous pouvez m’écrire à edwin@stripe.com

    • Ce n’est pas que « Radar devrait désormais arrêter ce genre d’attaques », c’est la fonctionnalité fournie par défaut qui devrait les arrêter
      Je le dis sincèrement, en tant que client chez vous
  • L’an dernier, j’ai travaillé dans une entreprise d’e-commerce dans un rôle où je gérais les systèmes, la CI, l’infrastructure et le logiciel
    C’était vraiment très courant, et j’ai passé au moins une journée par semaine à identifier de nouveaux schémas et à les bloquer
    Les attaquants validaient des cartes bancaires via notre système
    Nous avons fini par bloquer presque toutes les attaques côté panier et paiement, mais les requêtes continuaient d’arriver
    Plus tard, en fouillant les logs pour un problème PHP sans rapport, un ingénieur logiciel a indiqué qu’un trafic énorme visait la page qui permettait d’enregistrer un moyen de paiement pour plus tard
    Cette plateforme lançait un paiement de 1 dollar pour vérifier que la carte était réelle, et les attaquants l’exploitaient pour faire tourner des cartes en continu
    Les voleurs de cartes bancaires sont vraiment ingénieux

  • J’ai déjà reçu comme conseil que, pour détecter la fraude avec Stripe, si l’on veut vraiment la réduire et que l’on a assez de volume, il vaut mieux entraîner son propre modèle de détection de fraude
    Même quelque chose de simple comme un classifieur logistique peut fonctionner
    Stripe Radar n’est pas adapté aux spécificités fines de chaque activité, alors qu’on peut intégrer des signaux supplémentaires, comme le type de produit acheté ou le temps écoulé entre l’ouverture du site et l’achat
    Les règles Radar personnalisées fonctionnent aussi dans une certaine mesure
    Je comprends que beaucoup d’entreprises indé n’ont ni les ressources ni l’envie de faire cela
    Il existe des solutions sur étagère, mais elles sont chères et visent généralement les marchands à gros volume
    Peut-être qu’un jour Stripe sortira un produit Radar finement configurable

  • Encore une raison pour laquelle l’industrie de la carte bancaire devrait disparaître
    Les protocoles de sécurité sont inexistants ou n’ont pas été améliorés depuis le début du XXIe siècle, et les abus des intermédiaires sont innombrables
    Le coût de traitement de ce genre de casse-tête est répercuté sur les marchands sous forme de frais de transaction plus élevés et de frais de chargeback, puis finit par retomber sur les consommateurs
    Sans oublier que l’industrie de la carte bancaire pousse les consommateurs vers les pires habitudes de consommation et entretient un cycle sans fin de servitude par la dette