Les bas-fonds de l’exploitation des réseaux de cartes de crédit

 (chargebackstop.com)
3 points par GN⁺ 2023-08-03 | 1 commentaires | Partager sur WhatsApp
  • L’auteur a découvert une attaque de test de cartes sur le compte Stripe de son entreprise, avec des tentatives de paiement échouées provenant d’utilisateurs aux noms générés automatiquement et aux domaines d’e-mail suspects.
  • Des problèmes similaires ont été signalés par d’autres personnes sur Twitter, ce qui indiquait qu’il s’agissait d’un problème courant.
  • L’auteur a mis en place Stripe Radar ainsi que des règles temporaires pour bloquer les transactions après un certain nombre d’échecs.
  • Les attaquants testaient principalement jusqu’à quatre cartes par minute, issues de la même banque, de la même source de financement et situées aux États-Unis.
  • L’auteur a découvert des canaux Telegram partageant des paramètres de cartes de crédit et des outils permettant de générer des numéros de cartes valides.
  • Les attaquants feraient partie d’un réseau clandestin lançant des attaques manuelles depuis des serveurs Discord privés ou des canaux Telegram.
  • Il existe des outils en ligne qui automatisent le processus d’exécution de listes de cartes générées automatiquement via Stripe Checkout.
  • L’auteur a dû gérer les conséquences de l’attaque, effectuer des remboursements et des annulations de paiements, et accepter des contestations de paiement.
  • Les banques américaines appliquent de manière souple les contrôles administratifs, autorisant des transactions même avec des informations erronées.
  • Parmi les moyens de prévention figurent des règles personnalisées dans Stripe Radar et la mise en place de limites sur les tentatives de paiement échouées.
  • Le coût de la fraude est supporté par les entreprises, puis finalement répercuté sur les clients.
  • Les réseaux de paiement peuvent être exploités, et tant que les banques n’assumeront pas davantage leurs responsabilités, les entreprises devront surveiller leur taux d’échec de facturation et partager leurs stratégies de prévention.

À lire aussi

1 commentaires

 
GN⁺ 2023-08-03
Avis Hacker News
  • Un auteur a utilisé ChatGPT pour écrire un script de traitement des paiements sans disposer de compétences techniques.
  • Aux États-Unis, la fraude à la carte de crédit est socialisée, car les consommateurs n’en assument pas la responsabilité.
  • Les banques et les prestataires de paiement privilégient des transactions rapides et simples, ce qui entraîne une hausse des prix pour les entreprises.
  • Visa propose des produits comme Rapid Dispute Resolution et Order Insight pour éviter les rétrofacturations.
  • Les États-Unis sont en retard sur d’autres pays dans le domaine bancaire, faute de mesures comme le Chip and PIN et les virements bancaires instantanés.
  • Stripe est critiqué pour externaliser vers ses clients les coûts d’une prévention de la fraude et d’une gestion des risques insuffisantes.
  • Cloudflare dispose d’outils empêchant la soumission de formulaires et bloque efficacement les attaques.
  • La fraude à la carte de crédit est fréquente, et certains attaquants exploitent en repérant différents schémas.
  • Il est recommandé aux entreprises qui prennent la prévention de la fraude au sérieux d’entraîner des modèles personnalisés de détection de fraude.
  • Le manque de mesures de sécurité des banques américaines facilite la réalisation de transactions frauduleuses par les escrocs.