クレジットカードテスト詐欺から保護しながらチェックアウトのUXを最適化する方法

公開: 2022-05-25

額面通りに考えると、高変換のWordPressチェックアウトのUXとセキュリティの基本は簡単です。 見込み客にコースを継続させたい場合は、摩擦点を取り除き、信頼を築いてトランザクションを完了するために重要ではないコンポーネントを削除します。 クレジットカードのテストから保護し、購入を合法化するために、セキュリティレイヤーと検証ポイントがバックグラウンドで機能していることを確認します。

言うのは簡単ですよね?

プラグインとテーマの販売者は、コンバージョン率の高いチェックアウトが妥協のバランスであることをよく知っています。 ここで保護の1つの層を削除すると、セキュリティが低下するリスクがあります。 そこに「郵便番号」などのフォームフィールドを追加すると、見込み客を遠ざけるような苛立たしい検証の問題が発生する可能性があります。

はい、UXとセキュリティの最適なバランスを実現するのは難しいですが、私があなたがそれを打つのを手伝うつもりがないのなら、気を悪くしてください!

そのために、この記事を2つの章に分けました。 最初の調査:

  1. UXまたはセキュリティを優先してバランスを傾ける要因(多くの場合、他の人に悪影響を及ぼします)。
  2. 攻撃者、その動機、および攻撃者の存在が、ユーザーエクスペリエンスを台無しにする可能性のある障害物を配置する必要がある理由。

第2章では、WordPressのチェックアウトの力にバランスをもたらし、製品の売り手がカードのテストから保護しながらUXを最適化するのに役立つ対策と実践について説明します。

これは大きな問題なので、最適なチェックアウトバランスの推奨事項に固執する準備ができている場合は、このジャンプリンクをクリックしてください。 そうでない場合は、始めましょう。

1.チェックアウト詐欺防止を減らすUXとセキュリティ要因

  • ターゲット市場とニッチ切断
  • 見知らぬ人にノーと言う…
  • セキュリティ対策としてクレジットカードに過度に依存している
  • 政府および強制規制
  • 郵便番号:チェックアウト時に収集する必要がありますか?

2.チェックアウトを、クレジットカードテスト詐欺を鎮圧するセキュリティパワーハウスに変えましょう

  • ネットワークが整った決済ソリューションを選択する
  • チェックアウトをダイアログとしてロードする
  • reCAPTCHA
  • サービスを使用した電子メールの検証

3.クレジットカードテスト攻撃を除外する4つのセキュリティレイヤー

  • レイヤー1:電子メール偽物の発掘
  • レイヤー2:ジオスプーフィングのマスキング解除
  • レイヤー3:ドメインとサブドメインのサブターフュージを明らかにする
  • レイヤー4:ペイメントゲートウェイを使用したトランザクションのロック解除

1.チェックアウト詐欺防止を減らすUXとセキュリティ要因

ターゲット市場とニッチ切断

AKA:より多くの情報は必ずしもメリットではありません

経験の浅いWordPress製品の売り手は、チェックアウトでできるだけ多くの顧客情報を収集する必要があるという想定の下で活動することがよくあります。

右? 違う?

答えは、ターゲットにしている人と、製品が提供するスペースによって異なります。 それらが、トランザクションが通常数千(およびそれ以上)に達するエンタープライズ企業向けに構築されたSaaSソリューションである場合、それは確かにそうです。 危機に瀕している現金が非常に多い場合は、自分自身と顧客を保護するためにできる限りのことを集めたいと思うでしょう。

この記事の焦点であるWordPressのようなプラグイン/テーマエコシステムの場合、トランザクションは通常100ドル未満であるため、チェックアウト時にライフストーリーに相当する情報を顧客が共有する必要はありません。

問題は、多くのプラグインとテーマの販売者が、サービスを提供しているオーディエンスと市場に合わせてチェックアウトを調整していないことです。 クライアントのトップダウンの再設計に取り組んでいるWebサイト開発者の場合は、プラグインをできるだけ早く購入して、仕事に取り掛かることをお勧めします。

しかし、開発者が自分の住所と連絡先番号を提供することに抵抗がある場合はどうなりますか。 郵便番号に問題があり、クレジットカードと一致しない場合はどうなりますか? 彼らが購入するために登録することをわざわざできなかった場合はどうなりますか?

上記のいずれも、見込み客を遠ざけるのに十分である可能性があります。 同じ価格で同じことをする競合製品が常に存在しますが、取引には数回のクリックとキーストロークが必要なチェックアウトがあります。

見知らぬ人にノーと言う…

…自己紹介するまで!

私たちは皆そこにいました。 製品を選択してウォレットを取得すると、登録ページにリダイレクトされるか、電子メールの認証リンクに「オフタブ」で強制されます。 そうです、あなたは製品販売者のシステムの未登録のゲストであり、チェックアウトプロセスでは見知らぬ人を許可していません。

アカウントを作成して初めて(自動的にパスワードが提供されたためにパスワードを変更した場合でも)、購入を続行できます。 ユーザーの観点からは、それはひどい経験ですが、セキュリティの観点からは、それはかなり堅実な慣習です。

ユーザー登録の議論

偽の電子メールを設定し、登録して攻撃を開始するのは簡単です。 同様に、プラグインの販売者は、同じ電子メールアドレスから複数のトランザクションをすばやく連続して試行するユーザーアカウントをロックするセキュリティレイヤーを含めるのは簡単です。

攻撃者はまた、抵抗が最も少ないチェックアウトを探しているので、登録が存在するだけで、攻撃者を遠ざけることができます。 さらに、GoogleやAppleなどのサービスでログインするオプションを含めると、プロセスがいくらか合理化されます。

ユーザー登録に反対する議論

負の変数が多すぎます。 確認メールがスパムフォルダに入れられる可能性があります。 まったく配達されない場合があります。 ユーザーがGmailなどのサービスに登録しようとすると、エラーが発生する可能性があります。 更新されたパスワードは簡単に忘れられます。

一部のユーザーにとって、登録にかかる時間/労力は、特に購入が比較的現金的に些細な場合に、彼らを放棄するように駆り立てる可能性があります。 確かに、コンサートチケット(または私の場合はトレイルランニングのエントリ)など、意味のあるものを購入する場合は、でこぼこのコースにとどまります。 ただし、購入しようとしているプラ​​グインと同様のプラグインが3つある場合は、代わりにそれらを探すことになるでしょう。

セキュリティ対策としてのクレジットカードへの過度の依存

または、私がそれを呼ぶのが好きなように、 「クレジットカード情報がすべての秘密ではないことは秘密ではありません」

理論的には、カード入力フィールドはトランザクションプロセスに「謎」を追加する必要があります。 しかし、悪用者、WordPress製品の販売者、および詐欺の顧客は真実を知っています。彼らはセキュリティPOVから秘密とは見なされていません。

カード自体の情報は暗号化されていません。ただし、オンライン取引に使用されない磁気ストリップは除きます。 カード番号と有効期限(CVCでさえ)は、どこを見ればよいかを知っていれば、公の知識であると言えます。 カード情報を入手するのもかなり安く、盗まれたカードは闇市場でわずか5ドルで売られています。

クレジットカードのCVCは安全ですか?それらを収集する必要がありますか?

クレジットカードで「秘密」と見なすことができるものがあるとすれば、それは裏面の3桁または4桁の数字です。 CVC番号はカード自体にエンコードされていないため、カード所有者にある程度のセキュリティとプライバシーを提供します(不思議な目からカードを保護するための対策を講じている限り)。

そうは言っても、それが追加するわずかな秘密でさえ、チェックアウト時にそれを含めることを正当化するのに十分ではないかもしれません。 2021年8月、Stripeは調査の結果、CVCまたは郵便番号の両方のルールを無効にしました。'CVCまたは郵便番号のチェックに失敗した支払いをブロックするデフォルトのルールをオフにすると、平均で0.08%増加し、不正への影響はごくわずかです。料金。」 製品の売り手は、フィールドを続行したい場合、変更をオプトアウトするオプションが与えられました。

現在、スタンドアロンのセキュリティ対策としてのベストプラクティスとは見なされていないため、製品販売者にこのメカニズムを含めるように強制することはありません。 しかし、私たちの経験では、CVCは検証プロセスに不可欠であり、階層化されたセキュリティアプローチの一部として使用されると付加価値をもたらします。

今のところCVCは別として、クレジット情報の全体的なセキュリティ(またはその欠如)に戻りましょう。

数回クリックするだけで、クレジットカードの構造がどのように機能するかを説明するVisaやMastercardなどから公開されているドキュメントがあります。 それらはどのように発行されますか? プレフィックスとはどういう意味ですか?検証はどのように機能しますか? 企業やWordPressプラグイン、テーマの販売者がクレジットカードの検証を簡単に行えるようにするために、すべてがパブリックドメインにあります。 そして攻撃者。

企業にとって簡単であれば、攻撃者にとっても簡単です

免責事項:私の情報は、個人的な経験ではなく、優れた情報源からのものです😬。 私がハッキング/攻撃した唯一の技術は、私の車のBluetoothです(それでも、グーグルとダッシュボードのスマッキングが必要でした)。

写真:私ではない

怠惰な攻撃者にとっては、違法な金が当たるまでランダム化された数字をテストするスクリプトを作成/実行するのは簡単です。 より意図的に、他の手段(ダークネットなど)に簡単にアクセスできます。文字通り何千もの盗まれた番号が低価格で購入され、悪用されるのを待っています。

摩擦のないUXのためにカード番号のみを必要とする簡素化されたチェックアウトによってさらに簡単になった「悪い使用」 。 前述のように、Stripeを使用すると、CVCコードや名前なしでトランザクションを開始できます。

したがって、攻撃者の場合:

  1. カード情報は、どこを見ればよいかわかっていれば簡単に見つけることができます
  2. 何かが固まるまで、簡単なスクリプトで数字をランダム化できます
  3. WordPressには多数のプラグインチェックアウトがあり、その多くはトランザクションを高速化するためのバックアップセキュリティレイヤーを欠いています。
  4. WordPressの分野ではプラグインの価格が比較的低いため、多くの利益があります—

待って、そうではありません。

WordPressプラグインのチェックアウトを攻撃することで得られる現金があまりない場合、何が得られますか?

サイバー犯罪者がWordPressプラグインのチェックアウトを攻撃するのはなぜですか?

ヒント:これではありません

ほとんどの場合、攻撃者はプラグインを無料で入手するための猛攻撃を開始していません。 これはオープンソースのGPLエコシステムであり、人気のあるプラグイン(ライセンスを差し引いたもの)を簡単に見つけてダウンロードできます。

また、最近の多くの主要なプラグインには返金保証があり、詐欺師がプラグインを合法的に購入し、ライセンスを剥奪し、払い戻しを要求することがさらに簡単になります。 危険なチャネルを使用して製品を違法に配布している間中。

それで、景品や現金がなければ、なぜですか?

テスト、テスト…有効なカード番号はありますか?

ほとんどの場合、攻撃者はクレジットカードのテストにWordPressのチェックアウトを使用しています。 一般的なシナリオは次の2つです。

  1. 彼らは、何かが通過するかどうかを確認するために、乱数のセットを試しています。 存在しない番号が除外されると、既存の番号のリストをオンラインで販売できます。
  2. 彼らは既存のカードのリストを購入し、チェックアウトを使用してキャンセル/期限切れのカードを除外しています。 その後、マイクロトランザクションを通じて機能カードを識別できます。

私たちの経験から、後者がより一般的な攻撃です。 ポイント2に続いて、攻撃者が有効なカードを入手すると、次のことが可能になります。

  1. クレジットカード番号をより高い価格で販売します。
  2. オンライン支払いを確認するためにSCA/3DSに統合されていないチェックアウトを検索します。 これらには多要素認証がないため、クレジットカードテスターが不正な購入を請求し、作業カードを最大限に活用することが容易になります。
  3. 安全な認証がトリガーされないように、SCAしきい値未満で購入してください。 たとえば、英国での30ポンド未満の取引。

クレジットカードのテストから保護しない場合のペナルティは何ですか?

マイクロトランザクションはさておき、クレジットカード詐欺は世界中で毎年数十億ドルに達します。 業界調査会社のNilsonReportは、カード業界が今後10年間で詐欺により4,805億ドルを失うと予測しています🤯。

このため、カード会社は詐欺の保険に加入しており、異常なチェックアウト活動を警告するためのベンチマークを用意しています。 たとえば、Stripeは、トランザクション全体の0.7%を超えるチャージバックでチェックアウトにフラグを立てます。 設定された業界標準はありません— VisaとMastercardは1%を超えるレートで製品販売者にペナルティを課します—したがって、プロバイダーの詳細に精通していることを確認する必要があります。

ペナルティも異なります。 Stripeは最初に、売り手がチェックアウトの乱用を抑えるのに役立つヒントと実践を提供します。 緊急の問題としてセキュリティリークが塞がれていない場合、これらの「懸念されるチェックアウト」は、場合によっては無期限に閉鎖されるリスクを伴います。 これらの数値を考慮に入れると、厳密さと重大度は理にかなっています。

Nilson Reportによると、 「マーチャントおよびATMトランザクションの発行者、マーチャント、アクワイアラーは、2020年にカード詐欺で合計285.8億ドルを失いました。これは、購入量100ドルあたり6.8セントに相当します。」

Eek😬

警戒心の強い銀行やカード会社によって強制される厳しい罰則は、当然のことながら、商品の売り手がチェックアウトを強化する原因となる可能性があります。 しかし、カードテストと戦う彼らの試みでは、彼らは不必要なステップとレイヤーで購入プロセスを肥大化させるリスクを冒しています。

チェックアウトを保護するためのより効果的な方法があります—明白ではなく、バックグラウンドでカードや場所を検証するために機能するプラクティスやテクノロジーなどです。ただし、前にスキップしなかった場合は、少し

銀行やカード会社の大君主から…

政府および強制規制

先ほど、シンプルさの前提と、それがチェックアウトのUX/セキュリティバランスに対する祝福と呪いの両方になり得る方法について説明しました。 顧客のエクスペリエンスを向上させることが単純な場合(落とし穴など)、GDPRのような必須の政府規制は、同意を通じて顧客のIDと情報を保護するためにあります。

これらの規制は、プラグイン/テーマの販売者に、マーケティングメールの送信許可の取得など、WordPressプラグインのチェックアウトにフィールドを追加することを法的に義務付けることで、セキュリティのバランスを崩しています。後の段階で同意を得る方法を考案できますが、チェックアウト後に連絡できる可能性はわずかです。

これらの規制や要件は、チェックアウトプロセスに摩擦を加えたとしても、回避することはできません。

郵便番号:チェックアウト時に収集する必要がありますか?

世界中で販売しているが、顧客の場所がわからない場合は、消費税を請求する義務があるかどうかについては暗闇に包まれています。 郵便番号(および国)は、従う必要のある規制を決定するのに役立ちます。チェックアウトを最適化して収集する必要がないようにすることがベストプラクティスになりつつありますが、そうするための注意点がいくつかあります。

1つの方法は、IPアドレスを使用してユーザーの地理的位置(および郵便番号)を識別することですが、その特定の郵便番号が居住地/税務登録されている場所と同じであるかどうかを確認することはできません。

例えば:

米国の顧客が自宅の州外を旅行中に購入した場合、IPアドレスによって提供される郵便番号はその人の自宅の州と同じにはなりません。 米国では消費税の規制が州ごとに異なるため、間違った場所に税金を請求すると、規制の官僚的形式主義に遭遇します。

郵便番号を収集することで、WordPress製品の販売者は、顧客の場所と使用されているクレジットカードの間にリンクを確立することができました。 これは銀行またはクレジットカード発行者のみがアクセスできる個人情報であるため、かなり安全であると見なされます。 これらの理由から、プラグイン/テーマの販売者は、問題が発生したときの管理上の問題を許容してきました。

しかし、忍耐力が薄れているようで、一部の支払いゲートウェイはそれに反対するようアドバイスを始めています。

郵便番号はセキュリティ値よりも多くのUX摩擦を追加します

郵便番号関連の問題を解決するという苦痛はさておき、顧客に質問することなく、チェックアウトのパフォーマンスが向上します。 この方法は摩擦を増やし、変換を減らし、将来的に問題を引き起こす可能性があります。

人々は動き回ったり、忘れたり、住所が変わったり、コードが無効だったりします。慣習に頼るには変数が多すぎます。

50ドルのプラグインを購入するという単純な行為で、銀行と商品販売者の間を行き来することに巻き込まれた場合、私は自分のビジネスを別の場所に移します。 多くの場合、それは顧客のせいではなく、銀行側の古いAPIレコードなどの問題が問題の原因となっています。

最終的に、ユーザーは「欲求不満のしきい値」に到達し、同じことを行う別の製品に移ります。 特に忙しいビジネスオーナーは、すぐに購入して次のタスクに進みたいと考えています。

税務上の目的で郵便番号の収集が必要です。 ただし、エッジケースのシナリオ、テクノロジのバグなどにより、郵便番号とクレジットカード番号を検証すると、プロセスがさらに厄介になる可能性があります。

WordPressチェックアウトのUXとセキュリティの不均衡を引き起こす可能性のある要因を調べたので、平衡をもたらす手段、プロセス、およびセキュリティ層を調べてみましょう。

2.チェックアウトを、クレジットカードテスト詐欺を鎮圧するセキュリティ大国に変えましょう

それで和解しましょう:WordPressプラグイン/テーマのチェックアウトは完全に難攻不落になることはなく、ユーザーエクスペリエンスは100%完璧ではありません。

しかし、階層化されたセキュリティアプローチといくつかの選択手段を使用して、カードテスト攻撃を最小限に抑えながら、コンバージョンを劇的に増やすことは完全に可能です。 これまでのところ、次のようになっています。

✔ゲストが登録なしで購入できるようにする

✔名前とメールアドレスが必要

✔メールアドレス検証サービスを使用する

✔階層化されたセキュリティアプローチの一部としてCVC桁を要求する

✔郵便番号の検証を避ける

それでは、UXとセキュリティの組み合わせに以下を追加しましょう。

ネットワークが整った決済ソリューションを選択する

Stripeのようなソリューションは、カードがキャンセルされたか、期限切れになったのか、または最近別のカードテストの試みに使用されたのかをすばやく判断できるネットワークを活用します。 これらのネットワークの力は、不正に対する追加の保護と同様に効果的であり、製品の売り手がそれらに裏打ちされたソリューションを選択する必要がある主な理由の1つです。

ネットワークは、月に何百万ものトランザクションをホストします。 通常、これらの数の一部を実行するチェックアウトを行う製品販売者にとって、ネットワーク全体とそこで公開されているトランザクションデータを調べることから学ぶべきことがたくさんあります(これは良いことです)。

チェックアウトをダイアログとしてロードする

これは「1つの石を持つ2羽の鳥」のシナリオです。 ユーザーが表示しているページからダイアログとしてチェックアウトをロードすることにより、製品から離れる際の煩わしさ(および気を散らすもの)を省くことができます。 この小さなメカニズムは、購入体験を向上させるだけでなく、抵抗が最も少ない経路をたどっている攻撃者の抑止力としても機能します。

ダイアログとしてロードされたFreemiusチェックアウト

FreemiusパートナーのUnlimitedElementsによるチェックアウトダイアログの例

reCAPTCHA

reCAPTCHAはチェックアウトのユーザーエクスペリエンスを損なうことを認めますが、セキュリティを真剣に考えている場合は、それを検討する必要があります。 ほとんどの攻撃者を阻止することが証明されており、信頼性と堅牢性の評判を築いています。結局のところ、これはGoogle製品であるため、背後にリソースがあり、継続的にインテリジェント化されています。

今摩擦に。 「私はロボットではありません」ボックスにチェックマークを付けるだけでは不十分な場合があり、タクシーやバスなどをクリックするように求められます。 reCAPTCHAの時代に育った知識豊富なミレニアル世代にとって、これを行うことは何よりも厄介です。 しかし、50歳以上の人にとっては、混乱を招く可能性があります。 言うまでもなく、状況をさらに複雑にする言語の壁があるかもしれません。

ただし、あなたの努力には銀色の裏打ちがあります。粒子の粗いGoogleストリートビューから信号機を選ぶと、Googleはビジョンアルゴリズムを分類して改善するのに役立ちます。

要約すると、reCAPTCHAは優れたセキュリティ対策ですが、それが追加する摩擦は些細なことではありません。 私のアドバイス:デフォルトではメカニズムを使用しないでください。 代わりに、特定のセキュリティレイヤーがトリガーされたとき(これについては後で説明します)、およびオーディエンスが通常若い場合、またはサイトがボットやスパムエントリで溢れている場合にアクティブにします。

クレジットカードテスト詐欺のためのreCAPTCHAによるFreemiusチェックアウト

Freemiusのチェックアウトに不快感のないreCAPTCHAが表示されます

サービスを使用した電子メールの検証

電子メール検証サービスとreCAPTCHAのようなメカニズムは非常に異なるソリューションですが、それらをチェックアウト防御レイヤーに組み合わせると、両方の長所が得られます。

すべての電子メールアドレスにはドメインがあり、非常に基本的な検証戦術はDNSサーバーにpingを実行することです。 DNSサーバーは、インターネットのインフラストラクチャ全体のIPサーバーにあるマッピングテーブルです。 これらのサーバーの目的は、ドメインをIPアドレスにマッピング/リンクすることです。

WordPress製品の販売者は、有効な電子メールの膨大なリストを保存し、重要な検証情報を提供するサービスを利用できます。 たとえば、電子メールが使い捨てかキャッチオールアドレスかを知らせる追加のメタデータ。 キャッチオールアドレスは、「存在しない」電子メールの事前定義されたリストからメッセージを受信し、詐欺師が大量攻撃に使用する可能性があります。

推奨されるチェックアウトピースが配置されたので、それらが階層化されたセキュリティアプローチと連携してどのように機能するかを見てみましょう。

3.クレジットカードテスト攻撃を除外する4つのセキュリティレイヤー

偽。 疑わしい。 有効。 チェックアウト詐欺師のさまざまな戦術に基づいて、どのセキュリティ層がトリガーされるかを決定する3つの要因。

レイヤー1:電子メール偽物の発掘

購入の試みが行われた場合、最初のステップはドメインを識別し、それが正当であるかどうかを確認することです。 このためには、DNSサーバーとインターネットプロトコルに依存する必要があります。

次のステップは、指定された電子メールアドレスが有効かどうかを確認することです。 Freemiusでは、これらの検証プロトコルは、私が自由に共有できない一連のルールに基づいています。 ただし、これは絶対確実な方法ではなく、電子メールプロバイダーがサーバーをどのように構成したかに依存します。

一部の電子メールプロバイダーでは、IPアドレスとドメインを直接検証できますが、Outlookなどの他のプロバイダーでは、電子メールアドレスが有効でない場合でも常に有効であると通知されます。 セキュリティ上の理由であろうと、サーバーの構造化に関連するものであろうと、これは明らかな脆弱性です。クレジットカードのテスターが、常に有効であるように見える偽の電子メールを大量にスピンアウトできるからです。

上記と設定したルールに基づいて、3つの結果のうちの1つを期待できます。 メールアドレスが偽物疑わしい、または有効であるかのいずれかです。

  1. 偽物の場合、攻撃者はチェックアウトから起動されます。
  2. 疑わしい場合は、reCAPTCHAを動的に導入して、それがアルゴリズムなのか、肉体的な人間なのかを明確にすることができます。
  3. 有効な場合、顧客とその住所は最初のレイヤーを通過しています。

レイヤー2:ジオスプーフィングのマスキング解除

メールアドレスが検証されたら、正当なIPアドレスにリンクする必要があります。 VPNサービスはプロキシサーバーにルーティングすることで現在地を隠すことができますが、IPアドレスをまとめてスピンアウトすることは簡単ではありません。 はい、実際にはプロキシのリストがありますが、適切なリソースへのアクセスと高度なプログラミング知識を備えた知識のある攻撃者だけが、いつでも少数のIPをスピンアウトできます。

製品の販売者は、電子メール/ドメインが特定のカードにリンクされているかどうかを決定論的に知る方法はありませんが、有効または疑わしいアクティビティを判断するためのIP関連のチェックがあります。

シナリオI

疑わしくない

短期間に同じ電子メールアドレスで同じIPから追加の購入を試みることはありません。

疑わしい可能性がある

同じ電子メールアドレスを使用した同じIPからの購入の試みが数回失敗したことは疑わしいものですが、必ずしもカードテスト攻撃であるとは限りません。 正当なユーザーが間違ったカード情報を入力したか、同様の間違いを犯した可能性は十分にあります。 これらのシナリオでは、トランザクションに疑わしいフラグを付けて、続行するにはreCAPTCHA検証が必要です

シナリオII

疑わしくない

同じIPから、異なる電子メールを使用して、短期間に追加の購入試行(失敗または成功)は発生していません。

間違いなく疑わしい

特定の時間枠内に3回以上失敗した試行(すべて同じIPと異なる電子メールアドレスにリンクされている)は、100%クレジットカードテスト攻撃であり、IPと購入の試行はブロックする必要があります。

トランザクションが「疑わしくない」カテゴリに分類されると仮定すると、次のレイヤーへの通過が許可されます。

レイヤー3:ドメインとサブドメインのサブターフュージを明らかにする

攻撃者がこれまでに成功したが、フラグがまだ立てられている場合、この次の防御層はドメインとサブドメインに関連しています。 これらのステップは3つの部分に分けられ、不正な試みを明らかにし、うまくいけば停止するはずです。

レイヤー3.1

私たちが使用しているパラメータについては明らかに言及できませんが、同じ電子メールアドレスから、同時に、または数分以内に他の試みがないかデータベースをチェックする必要があると言えます。 ユーザーが短時間に複数回(異なるクレジットカードを使用して)購入しようとした場合、それは非常に疑わしいものです。

これらの調査結果に基づいてトリガーされるものは、システムをどのように構成したかによって異なります。 疑わしい場合(前述の1〜2回の試行など)は、売り上げを失わないようにreCAPTCHAを提供することを検討してください。 複数回試行する場合は、購入に不正のフラグを付け、ユーザーをすぐにシステムから追い出すようにパラメーターを設定できます。

レイヤー3.2

同じIPアドレスを使用して異なる電子メールから複数の試行を発見した場合、それは懸念の原因です。 もちろん、2つの電子メールアドレスを持っていることは一般的です。一般的ではないのは、同じ期間内に3つ、4つ、または5つの電子メールを使用して取引する人を見ることです。

多くの場合、複数のカードテスト攻撃には、同一のドメインを使用したランダム化された電子メールが伴います。 前述のように、攻撃者は、ランダムなOutlook電子メールアドレスを回転させると、製品販売者の検証プロセスを回避するのに役立つ可能性があることを認識しています。

攻撃者も精通しています。 Freemiusでは、チェックアウト時に異なるIPアドレスからの複数のOutlook電子メールアドレスが試行されています。 共通のスレッドは、これらのアドレスすべてが同じドメインを持っているということです。その特定の製品のOutlookアドレスからのすべての購入に、クーリングオフ期間として次のN分間reCAPTCHAを提供するように要求することで、これらの攻撃から保護できます。

レイヤー3.3

複数のプラグインで使用されるチェックアウトの場合、詐欺師は複数のIPを使用して製品間のカードテスト攻撃を調整できます。

この種の活動に対抗するために、Freemiusは、システムに警告し、問題をエスカレートする決定論的ロジックを使用します。 チェックアウトでは、使用されている特定のドメインのreCAPTCHAが必要になるだけでなく、それらの特定の製品のすべての購入試行にもreCAPTCHAが使用されます。

残念ながら、これは潜在的な購入者のUXに影響を与えますが、これは必要な悪であり、閉鎖された期間にのみ発生します。 期間は、1回限りで固定することも、攻撃が続く場合は段階的で段階的にすることもできます。

この時点で、すべてがチェックアウトされると、ユーザーはセキュリティの最後の層に移動します。

レイヤー4:ペイメントゲートウェイを使用したトランザクションのロック解除

ついに! 防御の最後の層であるカード検証に到達します。

続行する前に、PayPalが上記の問題のほとんどすべてを排除することに注意することが重要です。 PayPalでは、ユーザーがチェックアウト検証プロセスを開始する前に、ログインして確認する必要があります。 これにより、独自のUXの問題が発生します。ユーザーは事前にログインするのを忘れたり、詳細を覚えていなかったりする可能性がありますが、中断は最小限に抑えられます。

Stripeなどのゲートウェイを使用するチェックアウトの場合、購入を完了する前に、カード情報をゲートウェイ自体で展開および検証する必要があります。 有効性は、設定したパラメーターによってさらに決定されます。 たとえば、CVCチェックまたはアドレス検証(AVS)を使用して、登録されている請求先住所をカード発行者と照合します。

すべてが順調であれば、購入は完了です。 そうでない場合、トランザクションにフラグが付けられ、ユーザーまたは銀行が他の方法で証明できない場合は拒否され、攻撃者はそこにいなかったかのように却下されます。

「長い間、さようなら、そしてすべての旗に感謝します!」

チェックアウト…

頑張ってくれてありがとう!

この記事の洞察と実践は、Freemiusでの私たちの学習によって、良い経験と悪い経験の両方から情報を得ています。 チェックアウトの調整は試行錯誤のプロセスであり、アドバイスの一部が関連性がないか、チェックアウトのニーズに合わない場合があります。 それはいいです!

1つのアドバイスまたは1つの洞察が、チェックアウトのコンバージョン率にプラスの影響を与え、クレジットカードのテストから保護するのに役立つ場合、私は私の仕事が完了したと見なします。 読んでいただきありがとうございます。WordPressのチェックアウトでUXとセキュリティのトピックに同意/不同意または追加するものがあるかどうかをお知らせください。

私たちの無料コピーを入手してください

テーマとプラグインを販売するためのチートシート

WordPress製品開発のすべてのマイルストーンのための簡潔で実用的なヒントを含む成長ロードマップ。

友達と共有する

友達のメールアドレスを入力してください。 スカウトの名誉であるこの本だけをメールで送ります。

共有してくれてありがとう

素晴らしい-「テーマとプラグインを販売するためのチートシート」のコピーが送信されました。 私たちがもっと言葉を広めるのを手伝いたいですか? 続けて、その本を友達や同僚と共有してください。

購読していただきありがとうございます!

-「テーマとプラグインを販売するためのチートシート」のコピーを

メールにタイプミスがありますか? メールアドレスを編集して再送信するには、ここをクリックしてください。

ブックカバー
ブックカバー