Le monde souterrain de l’exploitation des réseaux de cartes bancaires
(chargebackstop.com)- Un service SaaS, en enquêtant sur une forte hausse du taux de refus des cartes, a découvert une attaque de test de cartes utilisant des noms générés automatiquement et des domaines d’e-mail étranges
- L’attaque ressemblait davantage à une opération manuelle ou légèrement automatisée, jusqu’à 4 cartes par minute au maximum, qu’à un trafic de bots à grande échelle ; les cartes avaient en commun la même banque, la même source de fonds et une émission aux États-Unis
- Des canaux Telegram publics et des outils en ligne partageaient des BIN, CVC, dates d’expiration, méthodes de génération de numéros de carte ayant de bonnes chances de passer sur certains sites web, ainsi que des outils d’exécution automatique de Stripe Checkout
- Parmi les paiements frauduleux réussis, 15 % ont donné lieu à un chargeback ; des scripts Python créés avec ChatGPT ont été utilisés pour accepter les litiges, rembourser, annuler des abonnements et vérifier l’état des paiements
- Les scores de risque par défaut de Stripe Radar étaient pour la plupart faibles, entre 0 et 5 ; en pratique, la défense la plus utile a été de mettre en place des règles Radar personnalisées limitant le nombre d’échecs par unité de temps
Découverte de l’attaque de test de cartes et première réponse
- Il y a quelques semaines, une alerte a signalé que le taux de refus des cartes était plus élevé que d’habitude
- Dans le tableau de bord Stripe, de nombreux paiements échoués ont été constatés pour des utilisateurs dont les noms semblaient générés automatiquement et dont les domaines d’e-mail étaient étranges
- Le service a considéré qu’il s’agissait d’une attaque de test de cartes classique, a activé Stripe Radar et a ajouté au backlog l’intégration d’un CAPTCHA au checkout
- À peu près au même moment, Pieter Levels et Danny Postma ont eux aussi partagé des attaques similaires sur Twitter
- Pieter Levels a écrit avoir remboursé et annulé 240 clients nommés
Jake Smithvenant des Philippines, et que les paiements de test de cartes représentaient 7 000 $ - Danny Postma a écrit que des paiements frauduleux étaient effectués sous le nom
jack smithet qu’une solution rapide de Stripe était nécessaire
- Pieter Levels a écrit avoir remboursé et annulé 240 clients nommés
Un schéma d’attaque proche du manuel
- Quelques semaines plus tard, l’alerte sur le taux de refus s’est à nouveau déclenchée, et la réponse a commencé par l’ajout de règles Stripe Radar temporaires
- En examinant le trafic en détail, l’attaquant testait au maximum 4 cartes par minute, avec une intensité et une régularité encore plus faibles la plupart du temps
- Au regard de la documentation de Stripe sur la prévention du test de cartes, l’implémentation du service était relativement bien protégée
- Les utilisateurs devaient se connecter avant d’ouvrir le checkout
- Payment Element était utilisé, ainsi que certains signaux
- Selon la documentation Stripe, le niveau de protection contre le test de cartes aurait dû être proche de
excellent
- Après une enquête plus poussée et une revue par des collègues, ce trafic a été jugé proche d’une attaque manuelle ou d’une automatisation très légère
Paramètres de cartes et outils diffusés sur des canaux publics
- La plupart des cartes utilisées dans l’attaque présentaient les mêmes caractéristiques
- Elles étaient toutes émises par la même banque
- Elles avaient la même source de fonds
- Elles étaient toutes émises aux États-Unis
- Les paramètres des cartes étaient si similaires qu’il était permis de se demander s’il s’agissait réellement de cartes divulguées depuis une banque
- Sur des canaux accessibles publiquement, on a trouvé des BIN de cartes bancaires, des CVC, des dates d’expiration et des liens vers des outils générant des numéros de carte valides à partir de ces entrées
- BIN signifie Bank Identification Number, les 6 à 8 premiers chiffres du numéro de carte
- La source de fonds indique si la carte est une carte de débit, de crédit ou prépayée
- Des canaux Telegram publics contenaient aussi des messages expliquant comment obtenir illégalement Spotify Premium ou YouTube Premium
- Il existait un écosystème souterrain public partageant des paramètres de cartes ayant de bonnes chances d’être acceptés sur certains sites web, généralement des SaaS
- L’attaque visant ce service avait probablement elle aussi commencé sur un serveur Discord privé ou un canal Telegram spécifique, mais aucune source précise n’a été trouvée
- Sur les canaux publics, on voyait souvent des messages indiquant qu’ils deviendraient privés quelques jours plus tard, et une grande partie de l’activité semblait se dérouler dans des lieux inaccessibles
- Il existait aussi de nombreux outils en ligne recevant une liste de cartes générées automatiquement et les exécutant automatiquement sur une session Stripe Checkout arbitraire
- Le fait que Stripe Checkout, entièrement contrôlé de bout en bout par Stripe, puisse lui aussi être vulnérable à l’automatisation était inattendu
- Une partie du code de ces outils générait des adresses e-mail Gmail aléatoires invalides
Nettoyage après coup : litiges, remboursements et annulations d’abonnements
- Certains attaquants ont réussi à payer et ont effectivement acheté le produit, ce qui a accru le coût du nettoyage après coup
- Pour évaluer l’ampleur du problème, les clients ayant eu plus de 5 paiements échoués depuis le 1er mai ont été recherchés dans le datastore
- Un script Python a été créé avec ChatGPT pour extraire les domaines d’e-mail de ces clients
- À partir de la liste des domaines, la base de données a été interrogée afin d’obtenir la liste des paiements réussis effectués par des clients ayant des e-mails sur les mêmes domaines
- Un autre script généré par ChatGPT a permis de vérifier quels paiements étaient déjà en litige
- Parmi les paiements frauduleux réussis, 15 % ont donné lieu à un chargeback
- Taux de chargeback : {p:15}
- La décision a été prise d’accepter tous les litiges et d’assumer les frais Stripe de 20 £ par dossier
- Une restricted key à privilèges minimaux a été créée dans Stripe, et ChatGPT a généré un script d’acceptation des chargebacks
- Ensuite, un script a récupéré les paiements de la liste, remboursé ceux qui n’étaient pas en litige et annulé les abonnements actifs des clients qui avaient créé ces paiements
- Même pour les paiements remboursés, des pertes liées aux frais Stripe et réseau pouvaient survenir pendant le paiement réussi et le remboursement
- Un dernier script de vérification a confirmé que tous les paiements étaient soit en litige accepté, soit remboursés, et qu’aucun abonnement actif ne restait pour ces clients
- ChatGPT a recommandé la prudence et un test sur un petit échantillon avant d’exécuter les scripts ; les scripts ont été relus manuellement, et aucune donnée client, aucun ID ni aucune clé API n’a été partagé
Le poids des pratiques d’autorisation des banques américaines
- Le monde du paiement en ligne est considéré comme largement injuste pour les commerçants
- Les chances de gagner un litige sont faibles
- Selon Stripe, l’activité de litiges doit être maintenue sous 0,75 %
- Que le commerçant gagne ou perde, il doit payer 20 £ par litige
- Dans le même temps, les banques, en particulier américaines, peuvent autoriser un paiement même dans les conditions suivantes
- Le nom complet est incorrect
- Le CVV/CVC n’est pas valide
- La date d’expiration est incorrecte
- L’adresse de facturation n’est fournie qu’en partie et le ZIP code est également incorrect
- Même dans ces conditions, l’authentification 3D Secure ne s’est pas nécessairement déclenchée
- La question demeure : pourquoi le commerçant devrait-il être responsable de paiements où seul le numéro de carte est correct ?
- Pour les cartes prépayées, les possibilités de ces contrôles peuvent être limitées, mais une marge d’amélioration existe
Les règles Stripe Radar qui ont réellement fonctionné
- La première réponse a été l’activation de Stripe Radar
- Stripe Radar est une solution fondée sur le machine learning, conçue pour attribuer un score à chaque paiement et bloquer automatiquement certains paiements lorsque certains indicateurs ne correspondent pas
- Dans ce cas, le jugement par défaut de Radar n’a pas beaucoup aidé
- La plupart des paiements frauduleux affichaient un score de risque faible, entre 0 et 5
- À l’inverse, certains clients légitimes ont été bloqués après deux échecs de challenge 3D Secure
- Cette expérience a suscité des inquiétudes à l’idée de confier le sort des clients au machine learning
- La fonctionnalité la plus utile a été les règles Stripe Radar personnalisées
- Demander un challenge 3D Secure
- Envoyer en revue manuelle
- Bloquer complètement
- Les règles Radar ressemblent à du pseudocode, mais elles permettent d’exprimer une logique assez complexe pour réduire le périmètre des tentatives de paiement malveillantes
- La mesure la plus utile a consisté à imposer, par client, des limites raisonnables au nombre d’échecs de paiement autorisés sur 1 heure, 1 jour et 1 semaine
- L’ajout d’un CAPTCHA, la surveillance du taux d’échec et le partage de règles Radar personnalisées restent des réponses réalistes tant que les banques n’assument pas une plus grande responsabilité dans les autorisations
Les coûts finissent par être répercutés sur les commerçants et les clients
- Frais des processeurs de paiement, pénalités de chargeback, coûts d’ingénierie et risque d’exclusion de plateformes : le coût de la fraude est supporté par les commerçants du monde entier
- Le fait que Stripe facture aux commerçants 20 £ de frais de chargeback est également vu comme un exemple de traitement injuste
- Ces coûts sont finalement répercutés sur les clients sous forme de prix plus élevés
- Les réseaux de paiement dont on dépend chaque jour sont très exploitables, et la décision finale d’autoriser ou non un débit par carte relève de la discrétion de la banque émettrice
- Tant que les banques n’assumeront pas davantage de responsabilité dans les autorisations, ce que les commerçants peuvent faire se résume essentiellement à surveiller de près le taux d’échec des autorisations, ajouter un CAPTCHA et améliorer les règles Stripe Radar
1 commentaires
Avis sur Hacker News
Le plus surprenant n’est pas tant qu’il existe un groupe qui abuse des paiements Stripe, mais que l’auteur ait fait créer à ChatGPT un script d’automatisation du traitement des paiements
Le problème, c’est surtout que c’était pour gérer les chargebacks, et dans le contexte du billet, l’auteur semblait ne pas avoir les compétences techniques nécessaires pour écrire ou vérifier lui-même ce script
Il s’est indigné d’avoir été trahi après avoir cru que Stripe s’occuperait de la prévention de la fraude, tout en faisant à nouveau une confiance aveugle à une autre technologie qu’il ne comprend pas
Le problème n’est pas seulement Stripe, mais cette attitude qui consiste à confier sa confiance à n’importe quoi en espérant que tout se passe bien
L’auteur n’a pas délégué le traitement des paiements ; c’est plus proche d’un script qui parcourait les chargebacks de ces comptes et appuyait en pratique sur le bouton « accepter »
Je ne vois pas très bien d’où vient l’idée qu’il manquerait de compétences techniques, d’autant qu’il a écrit dans le billet qu’il avait « soigneusement relu tous les scripts et n’avait partagé ni données client, ni identifiants, ni clés API »
Dans ce processus, elle a simplement utilisé ChatGPT pour produire un script et gagner du temps
Je ne sais pas si elle est non technique ou si elle cherche simplement à gagner du temps, mais honnêtement, ce sens de l’exécution mérite plutôt des éloges
Ces scripts n’ont pas décidé du sort de l’entreprise ni pris des décisions métier critiques ; c’étaient des outils pour filtrer de gros volumes de données et produire rapidement des résultats vérifiables manuellement
Ça me semble au contraire être l’un des cas d’usage les plus utiles de ChatGPT : un outil d’amplification des capacités qui permet à un fondateur pressé d’obtenir brièvement une expertise ciblée pour créer un script répondant à un objectif précis
Autrefois, il aurait fallu des semaines pour trouver un prestataire, l’embaucher et lui expliquer le besoin afin d’obtenir le même résultat ; aujourd’hui, on peut presque l’obtenir gratuitement et immédiatement
Je comprends la réaction instinctive qui consiste à trouver cela « surprenant » ou irresponsable, mais ça ressemble quand même beaucoup à une réaction du type « les jeunes de nos jours »
Si c’est ça, l’avenir, les développeurs auraient intérêt à soutenir l’autonomie croissante des non-techniciens et à réfléchir à la façon d’aider les fondateurs à mieux formuler leurs demandes de scripts à ChatGPT
On ne peut pas vraiment dire que je manque d’expertise technique dans ce domaine ; je cherche simplement à utiliser mon temps de la façon la plus efficace possible
L’auteur a déjà répondu qu’il avait relu les scripts et n’avait pas envoyé de données sensibles, donc il n’y a rien à ajouter sur ce point
Beaucoup de gens utilisent ChatGPT efficacement sans pour autant croire aveuglément à ses résultats. Pour moi, ChatGPT est un point de départ, pas le livrable final
Tout le monde n’est pas aussi idiot que cet avocat qui a copié-collé dans un mémoire juridique des références jurisprudentielles hallucinées sans les vérifier
J’ai lu beaucoup de billets similaires, mais je ne me souviens pas d’en avoir vu où l’auteur disait soudain qu’il s’était appuyé sur Stack Overflow pour coder, alors que le sujet n’était pas un billet méta sur le code ou le débogage eux-mêmes
Pour une entreprise étrangère qui encaisse des paiements aux États-Unis, il faut simplement prévoir cela comme un coût commercial
La fraude à la carte bancaire y est socialisée. Le consommateur final n’en assume pas la responsabilité, donc il n’y a pas vraiment d’incitation à utiliser une puce et un code PIN, une authentification à deux facteurs ou 3D Secure
Dès qu’une transaction suspecte est repérée, il suffit d’appuyer sur un bouton dans l’app bancaire et le paiement est annulé en quelques minutes
Les banques et les processeurs de paiement sont eux aussi incités à faire passer les transactions le plus vite et le plus facilement possible pour encourager les gens à utiliser davantage ces moyens de paiement
Comme l’a dit l’auteur, même si la date d’expiration, l’adresse de facturation et le code postal ne correspondent pas, le paiement passe généralement quand même
L’inconvénient, c’est que toute la responsabilité est reportée sur les commerçants, qui n’ont alors d’autre choix que d’augmenter les prix pour tout le monde afin de compenser
Le Danemark a lui aussi la même protection des consommateurs, la possibilité de chargeback et une garantie publique qui fait que le consommateur ne perd pas son argent même si son compte bancaire est vidé
Et pourtant, au moment de l’achat, il y a des protections fortes comme la puce et le code PIN obligatoires ainsi que 3D Secure
Je ne pense pas qu’il existe une raison rationnelle à l’absence d’une meilleure sécurité des cartes aux États-Unis. On dirait simplement qu’ils n’en veulent pas
Aux États-Unis, c’est généralement autour de 2 % du montant de la transaction, alors que l’UE plafonne cela à 0,3 %
Même ainsi, cela reste élevé au vu des montants déplacés
Ce coût est lui aussi socialisé puis répercuté sur les consommateurs, et même ceux qui paient en espèces supportent des prix plus élevés
À noter qu’avec 3D Secure, selon les conditions de certaines banques, le titulaire de la carte peut être tenu responsable d’un paiement frauduleux
S’il s’agit d’une authentification à deux facteurs par téléphone mobile, il suffit que le téléphone et le portefeuille soient volés ensemble, et j’ai vu dans les actualités des cas où cela a entraîné des pertes de plusieurs milliers de dollars
Ils ne voient qu’une récompense de 1 à 2 centimes par dollar, parfois jusqu’à 5 centimes, sous forme de « points », et comme 1 centime est affiché comme 100 points, cela paraît séduisant
Ce qu’on ne voit pas, c’est la majoration générale de 3 à 5 % ou plus sur les prix des produits, les chargebacks et frais de traitement, les paiements frauduleux, la sécurité défaillante, les magasins qui acceptent encore la bande magnétique, et la multitude d’intermédiaires
Les frais bancaires, les frais des émetteurs de cartes, les frais du réseau, les frais des cartes premium s’ajoutent sans cesse
C’est un chaos complet et je déteste vraiment ça
J’espère qu’on passera à FedNow. Il faut supprimer les intermédiaires qui siphonnent l’argent des gens, ainsi que tout ce parasitisme et ce gaspillage
J’ai géré deux organisations ces deux dernières années, et toutes deux ont été ciblées par des bots de vérification automatique de cartes de crédit utilisant des cartes bancaires françaises, et beaucoup de cartes sont passées
Bien sûr, dans les deux cas, mes avertissements précédents sur la nécessité de renforcer le site de paiement avaient été ignorés, et l’une des deux utilisait encore Magento 1
Ce n’est qu’une anecdote, mais le vrai problème, c’est que les cartes de crédit, comme ACH, sont des reliques rafistolées par couches successives, et que personne ne semble vouloir les corriger sérieusement
Les cartes de crédit ont été inventées aux États-Unis, donc la technologie est ancienne et les mises à niveau prennent beaucoup de temps
Du côté des paiements manuels, UPI en Inde a l’air assez bon. Si j’ai bien compris, le client approuve chaque paiement sur son téléphone avant que la transaction ne soit traitée
À propos des frais de chargeback, Visa a racheté il y a quelques années une entreprise appelée Verifi
Il existe deux nouveaux produits, Rapid Dispute Resolution et Order Insight
RDR permet d’effectuer un remboursement automatique avant qu’une transaction ne se transforme en chargeback, et Visa prélève 4 dollars de frais. À condition que le code MCC ne soit pas considéré à haut risque
Order Insight permet de fournir immédiatement certaines données sur un paiement contesté, et si le client a déjà effectué 3 paiements par le passé, il ne peut plus émettre de chargeback
Dans notre activité, la décision a été très simple au vu du taux de succès, du montant moyen des commandes et des frais de chargeback
Maintenant, nous n’avons plus non plus à nous inquiéter en permanence de la règle des 1 % de chargebacks de Visa ou de la banque acquéreuse
Cela ne s’appliquait qu’aux paiements Visa, mais cela représentait environ 50 % du volume total des transactions
Enfin, Visa est en train de retirer de fait une énorme source de revenus aux processeurs de paiement. Si votre processeur est TSYS, il essaiera de vous facturer 10 dollars de frais RDR
J’ai entendu parler d’Ethoca, et ils sont vraiment très forts en SEO. Ça a l’air assez similaire à Verifi
Je ne comprends pas pourquoi les États-Unis ont l’air d’avoir autant de retard côté bancaire
Le Royaume-Uni a introduit la puce et le code PIN en 2004 et l’a rendu obligatoire à partir de 2006, alors que les États-Unis ont suivi avec environ 10 ans de retard
Faster Payments permet des virements instantanés gratuits entre la plupart des comptes bancaires. Recevoir de l’argent de clients américains a toujours été un cauchemar, même avec un compte Wise américain
Depuis que l’UE a introduit l’authentification forte du client, la plupart des nouveaux paiements doivent être approuvés via une application bancaire mobile ou un autre moyen d’authentification à deux facteurs
Même avant cela, au minimum, le code postal et le CVV devaient correspondre
Ces mesures donnent l’impression que les banques transfèrent la responsabilité de la fraude aux clients, mais dans tous les cas, c’est le client qui finit par payer
Dans une culture où la fraude à la carte est largement acceptée, les prix augmentent pour compenser ce coût
Au lieu de payer directement à table avec un terminal, il fallait donner sa carte au serveur et attendre qu’il la traite manuellement quelque part
Cela s’est peut-être amélioré ces dernières années, mais au Canada, on n’utilise plus cette méthode depuis le début des années 2000
Si cela lui permet de servir Y % de clients en plus, et que Y est supérieur à X, elle peut gagner davantage à long terme
Aux États-Unis, cette approche fonctionne dans beaucoup d’activités grâce à l’énorme échelle du marché
Par exemple, pour McDonald’s, il est probablement plus rentable, en termes de marge, de faire passer rapidement le paiement à l’heure du déjeuner que de perdre une seconde à vérifier l’absence de fraude
Cela ne fonctionnerait peut-être pas en Europe, mais j’ai l’impression qu’on passe à côté de la dimension vitesse de transaction et échelle quand on analyse le coût réel
Le jour où l’équilibre entre fraude et profit basculera défavorablement pour les entreprises, les principaux garde-fous antifraude seront activés presque immédiatement aux États-Unis aussi
Il y a des milliers de petites banques régionales réparties dans 50 États, et chaque État est lui-même assez indépendant
Dans un tel environnement, il est bien plus difficile de déployer de grandes nouvelles technologies
La puce et le code PIN ne fonctionnent pas pour les paiements sur Internet
Les virements bancaires s’adaptent mal à l’international
La vérification d’adresse et le CVV sont faciles à activer, mais ils peuvent aussi rejeter davantage de transactions légitimes. Parfois, ce coût est supérieur au risque de fraude qu’ils permettent d’éviter
La responsabilité de la fraude est transférée non pas au client, mais au commerçant
Bien sûr, le coût de la fraude pour le commerçant finit par se répercuter dans les prix et le client paie plus, mais seulement au sens où tout coût de la fraude est au final répercuté sur le consommateur
En réalité, ce n’est pas le cas : c’est un problème complexe, et les acteurs des deux côtés de l’Atlantique jouent un jeu de mauvaise foi pour exploiter le changement
Cela ignore aussi les rôles en jeu
Une personne d’une vingtaine d’années, avec un emploi stable, représente pour plusieurs raisons une part de plus en plus réduite du système réel
Certaines personnes considèrent aussi que, dans l’UE comme ailleurs, les jeunes actifs de vingt ans sont exploités et perdent leurs droits
Le serveur de l’entreprise où je travaillais auparavant s’est fait pirater, et ils ont volé une clé API pour faire du carding depuis ce serveur
PayPal nous a dit que nous leur devions 100 000 dollars de frais
Nous étions une structure qui ne traitait que jusqu’à 5 paiements par jour pour des frais d’inscription à des cours, autour de 4 500 dollars par transaction
Le pirate lançait des demandes d’autorisation à 1 dollar chaque seconde sur des numéros de carte de crédit aléatoires
Au final, nous n’avons pas eu à payer les frais de carding, mais eux s’en moquaient
Ils s’en moquaient parce qu’ils gagnent de l’argent grâce à la fraude
Dans la configuration, nous avions défini que seuls des montants de commande entre 2 500 et 6 000 dollars étaient autorisés, mais ils ne vérifiaient pas les demandes d’autorisation
C’était vraiment délirant
C’était vers 2010, et Stripe n’était pas encore disponible au Canada à l’époque
La protection antifraude de Stripe est horrible, et c’est intentionnel
Ils externalisent ouvertement le coût de la gestion du risque vers les clients. C’en est obscène
Je travaille dans la prévention de la fraude à la carte de crédit, et même si je ne suis pas particulièrement excellent dans ce domaine, notre équipe de 3,5 personnes a facilement conçu et maintenu un système capable de bloquer ce type d’attaque de carding
Le principal moyen, pour un commerçant, d’empêcher les attaques de carding, c’est de devenir juste un peu plus pénible à attaquer que la cible suivante
À mon avis, Stripe considère qu’il peut rester le grand réseau le plus facile à attaquer, puisqu’il peut reporter la douleur et le coût sur ses utilisateurs
Stripe pourrait facilement empêcher ce type de préjudice pour un coût très faible
Ils choisissent de laisser les utilisateurs souffrir pour économiser quelques sous
Stripe Taxes et leur conversion de devises médiocre relèvent de la même stratégie
Au début, ils ne fournissent pas vraiment le service correctement, puis on finit par réaliser que les frais Stripe représentent un pourcentage à deux chiffres du prix total
Edwin de Stripe ici. Je veux simplement préciser que ce billet est une copie d’un ancien article d’il y a un mois (https://piotrmierzejewski.com/p/card-networks-exploitation)
Depuis, nous avons corrigé la plupart de ces problèmes. Ce type de test de cartes a diminué, et Radar devrait désormais arrêter ce genre d’attaques
Concernant les chargebacks, nous les détestons aussi et voulons les réduire autant que possible
Nous travaillons en fait sur plusieurs choses qui devraient aider ici
Les banques facturent des frais de chargeback de montants variables, dont la moyenne apparaît sous la forme de frais de 20 dollars
Ce ne sont pas des frais propres à Stripe, et nous ne gagnons pas d’argent sur les chargebacks
Nous venons de finaliser le plan de l’entreprise pour le reste de l’année, et réduire ce type de fraude est la priorité absolue
Si vous pensez subir quelque chose de similaire, vous pouvez m’écrire à edwin@stripe.com
Je le dis sincèrement, en tant que client chez vous
L’an dernier, j’ai travaillé dans une entreprise d’e-commerce dans un rôle où je gérais les systèmes, la CI, l’infrastructure et le logiciel
C’était vraiment très courant, et j’ai passé au moins une journée par semaine à identifier de nouveaux schémas et à les bloquer
Les attaquants validaient des cartes bancaires via notre système
Nous avons fini par bloquer presque toutes les attaques côté panier et paiement, mais les requêtes continuaient d’arriver
Plus tard, en fouillant les logs pour un problème PHP sans rapport, un ingénieur logiciel a indiqué qu’un trafic énorme visait la page qui permettait d’enregistrer un moyen de paiement pour plus tard
Cette plateforme lançait un paiement de 1 dollar pour vérifier que la carte était réelle, et les attaquants l’exploitaient pour faire tourner des cartes en continu
Les voleurs de cartes bancaires sont vraiment ingénieux
J’ai déjà reçu comme conseil que, pour détecter la fraude avec Stripe, si l’on veut vraiment la réduire et que l’on a assez de volume, il vaut mieux entraîner son propre modèle de détection de fraude
Même quelque chose de simple comme un classifieur logistique peut fonctionner
Stripe Radar n’est pas adapté aux spécificités fines de chaque activité, alors qu’on peut intégrer des signaux supplémentaires, comme le type de produit acheté ou le temps écoulé entre l’ouverture du site et l’achat
Les règles Radar personnalisées fonctionnent aussi dans une certaine mesure
Je comprends que beaucoup d’entreprises indé n’ont ni les ressources ni l’envie de faire cela
Il existe des solutions sur étagère, mais elles sont chères et visent généralement les marchands à gros volume
Peut-être qu’un jour Stripe sortira un produit Radar finement configurable
Encore une raison pour laquelle l’industrie de la carte bancaire devrait disparaître
Les protocoles de sécurité sont inexistants ou n’ont pas été améliorés depuis le début du XXIe siècle, et les abus des intermédiaires sont innombrables
Le coût de traitement de ce genre de casse-tête est répercuté sur les marchands sous forme de frais de transaction plus élevés et de frais de chargeback, puis finit par retomber sur les consommateurs
Sans oublier que l’industrie de la carte bancaire pousse les consommateurs vers les pires habitudes de consommation et entretient un cycle sans fin de servitude par la dette