Vor einigen Wochen hob WPTavern die jüngsten hervor Anstieg des Zahlungsbetrugs über Stripe auf WooCommerce-Websites. Obwohl dieses Problem an sich nicht neu ist, wurde dieser Beitrag durch eine Diskussion über die ausgelöst Erweiterte WordPress-Facebook-Gruppevon mehreren Entwicklern, die bemerkten, dass die Websites ihrer Kunden von ähnlichen Vorfällen betroffen waren.
Und sie sind nicht allein.
Nach Daten analysiert von Statistikhaben sich die E-Commerce-Verluste durch Online-Zahlungsbetrug weltweit von 20 Milliarden US-Dollar im Jahr 2021 auf 41 Milliarden US-Dollar im Jahr 2022 verdoppelt. Basierend auf diesen Trends schätzen aktuelle Prognosen die Zahl auf satte 48 Milliarden US-Dollar im Jahr 2023.
Zahlungsbetrug verstehen
Einfach ausgedrückt bedeutet „Betrug“, dass Sie etwas stehlen, was Ihnen nicht gehört. Online-Zahlungsbetrug ist jedoch alles andere als einfach.
Was ist Zahlungsbetrug?
Wenn eine Zahlung über eine nicht autorisierte Transaktion erfolgt, dh ohne die Zustimmung des Inhabers der Karte oder des Bankkontos, wird dies als Zahlungsbetrug bezeichnet.
Häufige Arten von Zahlungsbetrug
Es gibt verschiedene Arten von Zahlungsbetrug, die so reibungslos ausgeführt werden, dass es eine Weile dauert, bis die Opfer überhaupt bemerken, dass sie ausgetrickst wurden.
Kartentest
Ein Betrüger mit gestohlenen Debit- oder Kreditkartendaten tätigt einige kleine Einkäufe, um zu bestätigen, dass die Kartendaten gültig sind. Dies wird normalerweise als Kartentest oder Kartenknacken bezeichnet.
Betrüger suchen häufig nach Websites, auf denen Sie beliebige Beträge zahlen können (Pay-what-you-want), oder nach gemeinnützigen Websites, die kleine Beträge als Spende akzeptieren. Andernfalls identifizieren sie die Website eines beliebigen ahnungslosen Händlers und kaufen billige Artikel, um zu bestätigen, dass die gestohlene Karte noch aktiv ist.
Wenn der Betrüger technisch versiert genug ist, um automatisierte Skripte oder Bots dafür zu verwenden, kann es zu diesem Durcheinander in sehr kurzer Zeit zu einer großen Anzahl solcher Transaktionen kommen. Meistens ist es bereits zu spät, wenn der betroffene Händler und der eigentliche Karteninhaber diese abnormalen Transaktionen bemerken und versuchen, sie zu stoppen.
Dreiecksbetrug
Diese Art von Betrug kann ein absoluter Albtraum sein, da es wirklich schwierig ist, diese Kette zu verfolgen. So geht es meistens:
- Ein Betrüger stellt auf einem Marktplatz (z. B. e-Bay oder Amazon) eine Schein-Ladenfront komplett mit Produkten ein.
- Ein echter Kunde besucht das Geschäft des Betrügers und kauft ein Produkt.
- Der Betrüger verwendet dann eine gestohlene Kreditkarte und bestellt dieses Produkt bei einem legitimen Händler mit der Lieferadresse des Kunden.
- Jetzt merkt der Kunde nichts Auffälliges, weil er mit seinen echten Kartendaten genau das bekommt, was er bestellt hat.
- Wenn der Besitzer der gestohlenen Karte die Belastung auf seiner Rechnung sieht und einen Zahlungseinspruch erhebt, ist es der ahnungslose Händler, der die Strafe für die Rückbuchung zahlen muss. Da die Ware bereits an jemanden geliefert wurde, der das Produkt tatsächlich bezahlt hat (allerdings an den Betrüger), hat der Händler keine Möglichkeit, den gelieferten Artikel oder die ihm dafür geschuldete Zahlung zurückzuerhalten. Außerdem zahlt er am Ende auch die Strafgebühr für die Rückbuchung.
- Wenn der echte Händler sein Spiel nicht verbessert und solche betrügerischen Transaktionen verhindert, können die Verluste ziemlich schnell steigen.
Freundlicher Betrug
Freundlicher Betrug (auch bekannt als falsche Rückbuchung) liegt vor, wenn ein Kunde etwas mit seiner eigenen gültigen Karte bei einem Online-Händler kauft, aber später eine Rückbuchung bei seiner Bank veranlasst und eine Rückerstattung verlangt. Dies kann entweder auf die Reue des Käufers oder auf das Zögern zurückzuführen sein, den Händler zu kontaktieren und das Problem gütlich zu lösen.
Alternative Rückerstattungen
Dies ist der Fall, wenn ein Betrüger mit einer gestohlenen Karte einen großen Betrag an eine Website (normalerweise eine gemeinnützige Organisation oder eine Website, die Pay-what-you-want-Spenden akzeptiert) zahlt. Dann wenden sie sich an die Website und behaupten, mehr als beabsichtigt überwiesen zu haben, und fordern eine teilweise Rückerstattung auf eine alternative Karte (seine eigene) an, wobei sie wiederum fälschlicherweise behaupten, dass die für die ursprüngliche Zahlung verwendete Karte abgelaufen sei.
Einfache Maßnahmen zur Verhinderung von Hacking und Zahlungsbetrug
Fairerweise muss man sagen, dass Zahlungs-Gateway-Prozessoren ihr Bestes geben, um böswillige Akteure fernzuhalten, aber das reicht einfach nicht aus.
In der Tat Stripe eine Notiz veröffentlicht detailliert seine Reaktion auf diese jüngste Zunahme von Kartentestangriffen. Dies mag zwar dazu beigetragen haben, Betrug zu reduzieren, ist aber immer noch nur eine kleine Delle, wenn man das Ausmaß solcher betrügerischen Versuche betrachtet, die erfolgreich sind.
Daher ist es am besten, wenn Sie die Verantwortung für die Sicherheit Ihrer WordPress-Website übernehmen und alles tun, was Sie können.
Hier sind 5 einfache Möglichkeiten, dies zu tun!
1. Erzwingen Sie einen starken Anmeldeprozess
Eine Website kann nur so sicher sein wie ihr schwächstes Passwort. Das Erzwingen starker Passwörter ist das Mindeste, was Sie tun können, um zu verhindern, dass Hacker Zugriff auf Ihre Website erhalten. Wenn das Passwort jedoch für Menschen zu komplex ist, um es sich zu merken, werden sie möglicherweise faul und schreiben es an einem unsicheren Ort auf. Oder wenn es für sie leicht genug ist, sich daran zu erinnern, ist es wahrscheinlich, dass es auch leicht ist, gehackt zu werden.
Anstatt sich nur auf ein starkes Passwort zu verlassen, wird dringend empfohlen, dass Sie sich für eine zusätzliche Sicherheitsebene entscheiden, indem Sie dem Anmeldeprozess einen weiteren Schritt hinzufügen. Einige der Möglichkeiten, dies zu tun –
- Erzwingen Sie die Zwei-Faktor-Authentifizierung mit einem WordPress-Plugin
- Aktivieren Sie Biometrie-Passkeys Passwörter ganz zu vermeiden
2. Zahlungen regelmäßig überwachen
Achten Sie auf ungewöhnliche Kundenmuster, ungerade E-Mail-IDs, nicht übereinstimmende Rechnungsadressen und IP-Adressen usw. Sie können dies manuell tun oder ein WooCommerce-Zahlungs-Plugin wie die unten aufgeführten verwenden.
Hier sind einige WooCommerce-WordPress-Plugins, die speziell zur Betrugsprävention entwickelt wurden
SyncTrack automatisch Paypal hinzufügen
Dies ist ein relativ weniger bekanntes kostenloses Plugin, das im Mai 2022 veröffentlicht wurde. Das Ziel ist brillant – es lässt sich in Paypal integrieren und gibt Informationen zur Zahlungsverfolgung weiter, sodass Sie vor Streitigkeiten und Rückbuchungen im Zusammenhang mit betrügerischen Bestellungen geschützt sind.
Dieses Plugin wurde jedoch seit seiner Veröffentlichung nicht aktualisiert und mit den neuesten WordPress-Versionen getestet, daher sollte es mit Vorsicht verwendet werden.
WooCommerce Eye4Fraud
Es garantiert buchstäblich den Rückbuchungsschutz, indem es verspricht, Sie vollständig zu erstatten, wenn ein Kunde erfolgreich eine Rückbuchung auf einem von Eye4Fraud genehmigten Konto veranlasst. Besser geht es nicht, denke ich.
Sie benötigen jedoch ein Eye4Fraud-Konto, damit dies funktioniert, und sie berechnen einen Prozentsatz Ihres Bestellbetrags als Provision. Es gibt keine Preisinformationen auf ihrer Website, Sie können Wenden Sie sich an sie, um ein persönliches Angebot zu erhalten.
YITH WooCommerce Betrugsbekämpfung
Dieses Plugin erkennt automatisch verdächtiges Verhalten während des Bezahlvorgangs und blockiert Bestellungen. Zum Beispiel jegliche Nichtübereinstimmung von Parametern wie IP-Adresse, geografischer Standort usw.
Außerdem können Sie Regeln zum Blockieren von Bestellungen basierend auf Bedingungen wie Risikoschwelle, E-Mails von verdächtigen Domänen, ungewöhnlich hohen Bestellmengen (Sie können die Menge angeben) und mehr konfigurieren.
Woocommerce Betrugsbekämpfung von OPMC
Mit diesem beliebten WordPress-Plugin zur Betrugsbekämpfung können Sie verschiedene Regeln und Warnungen basierend auf Ihrem erwarteten Kundenverhalten einrichten. Bestellungen, die dem nicht entsprechen, werden hervorgehoben, damit Sie sie dann genauer untersuchen können.
Dieses Plugin auch:
- Bewertet das mit jeder Zahlung verbundene Risiko und warnt Sie vor Zahlungen mit hohem Risiko
- Bietet Schutz vor Geschwindigkeitsangriffen mit reCAPTCHA
- Integriert sich in QuickEmailVerification, um E-Mail-Adressen zu validieren
3. Gastbestellungen deaktivieren (ohne Kundenregistrierung)
Erwägen Sie, Benutzer zu zwingen, sich auf Ihrer Website zu registrieren, bevor sie eine Bestellung aufgeben. Sie können auch eine zusätzliche Überprüfung hinzufügen, indem Sie neue Benutzer zwingen, ihre E-Mail-Adresse zu validieren, oder indem Sie ein Captcha in das Registrierungsformular einfügen (oder beides).
Und wenn Sie dies nicht getan haben, sollten Sie auch ein Captcha zu Ihrer Checkout-Seite hinzufügen. Auch wenn das Ihre echten Kunden ärgern könnte, die ein schnelles und reibungsloses Check-out-Erlebnis wünschen, könnte es sich dennoch lohnen.
Dies könnte jedoch dazu beitragen, die Wahrscheinlichkeit von Kartentestangriffen zu verringern, bei denen mehrere Bestellungen für kleine Beträge mit zufälligen, nicht vorhandenen Mail-IDs von Bots aufgegeben werden.
4. Aktivieren Sie die Ratenbegrenzung
Der WooCommerce Anti-Betrugs-Plugin von YITH ermöglicht es Ihnen, die Anzahl der Bestellungen pro Benutzer innerhalb eines bestimmten Zeitraums zu steuern. Dies verhindert, dass Betrüger automatisch eine große Anzahl von Bestellungen mit derselben Kundennummer aufgeben. Nicht, dass dies es natürlich vollständig verhindert, aber jedes bisschen hilft.
5. Nutzen Sie, was Sie bereits haben
Sie sollten Ihr Bestes geben, um alle Ressourcen zu nutzen, die Sie möglicherweise bereits verwenden, z. B. Ihr Hosting, Cloudflare (oder ähnliche Sicherheitsanbieter).
Zum Beispiel:
- Sie können aktivieren Bot Fight-Modus von Cloudflare Wenn also typische Bot-Traffic-Muster bemerkt werden, werden diese von Cloudflare blockiert.
- Erkundigen Sie sich auch bei Ihrem Hosting-Provider, ob er Tools oder Firewalls bereitstellt, die Ihnen bei der Bewältigung solcher Versuche helfen könnten.
Auch wenn Sie die bereits verwenden WooCommerce Payments-Pluginhebt es die für jede Transaktion bewertete Risikostufe als „Normal“ oder „Erhöht“ hervor – dies basiert auf der Integration mit dem RADAR-Betrugspräventionstool von Stripe.
Obwohl Sie auf jeden Fall alle möglichen Mittel einsetzen sollten, um Betrug zu verhindern, ist es möglich, dass Sie immer noch sehen, dass einige betrügerische Bestellungen durchkommen.
Der beste Weg, Schäden so gering wie möglich zu halten, besteht darin, wachsam zu bleiben und schnell auf ungewöhnliche Kaufmuster auf Ihrer Website zu reagieren.
Wenn Sie mehrere Transaktionen für kleine Beträge kurz hintereinander sehen, sollten Sie die Details überprüfen und diese sofort blockieren, bis Sie die Transaktionen untersucht haben.
Bleiben Sie wachsam, bleiben Sie sicher!
