Hace unas semanas, WPTavern destacó la reciente aumento en el fraude de pago a través de Stripe en los sitios web de WooCommerce. Si bien este problema en sí no es nuevo, esta publicación fue provocada por una discusión sobre el Grupo de Facebook de WordPress avanzadopor varios desarrolladores que notaron que los sitios web de sus clientes se vieron afectados por incidentes similares.
Y ellos no están solos.
Según datos analizados por estatistalas pérdidas de comercio electrónico debido al fraude de pagos en línea se duplicaron a nivel mundial de 20 000 millones de dólares estadounidenses en 2021 a 41 000 millones de dólares estadounidenses en 2022. Según estas tendencias, las proyecciones actuales estiman la cifra en la friolera de 48 000 millones de dólares estadounidenses en 2023.
Comprender el fraude de pago
En pocas palabras, ‘fraude’ implica robar lo que no le pertenece, sin embargo, el fraude de pago en línea es cualquier cosa menos simple.
¿Qué es el fraude de pago?
Cuando un pago se realiza a través de una transacción no autorizada, es decir, sin la aprobación del titular de la tarjeta o cuenta bancaria, se conoce como fraude de pago.
Tipos comunes de fraude de pago
Hay varios tipos de fraudes de pago que se ejecutan con tanta facilidad que las víctimas tardan un tiempo en darse cuenta de que han sido engañadas.
Prueba de tarjeta
Un estafador con datos de tarjetas de crédito o débito robados hace algunas compras pequeñas para confirmar que los datos de la tarjeta son válidos. Esto generalmente se conoce como prueba de tarjeta o descifrado de tarjeta.
Los estafadores a menudo buscan sitios web que le permitan pagar cualquier cantidad (pague lo que quiera) o sitios web sin fines de lucro que acepten pequeñas cantidades como donación. De lo contrario, identifican el sitio web de cualquier comerciante desprevenido al azar y compran artículos baratos para confirmar que la tarjeta robada todavía está activa.
Para agregar a este lío, si el estafador tiene la habilidad técnica suficiente para usar scripts automatizados o bots para esto, puede generar una gran cantidad de transacciones de este tipo en un período muy corto. La mayoría de las veces, ya es demasiado tarde cuando el comerciante afectado y el titular real de la tarjeta notan estas transacciones anormales e intentan detenerlas.
Fraude de triangulación
Este tipo de fraude puede ser una completa pesadilla, porque es muy difícil rastrear esta cadena. Así es como suele ser:
- Un estafador establece un escaparate falso en un mercado (por ejemplo, e-Bay o Amazon) completo con productos.
- Un cliente genuino visita la tienda del estafador y compra un producto.
- Luego, el estafador usa una tarjeta de crédito robada y realiza un pedido de ese producto con un comerciante legítimo, con la dirección de envío del cliente.
- Ahora, el cliente no nota nada anormal, porque recibe exactamente lo que pidió, utilizando los datos de su tarjeta genuina.
- Cuando el propietario de la tarjeta robada ve el cargo en su factura y plantea una disputa de pago, es el comerciante desprevenido quien tiene que pagar la multa por la devolución del cargo. Con los bienes ya entregados a alguien que realmente pagó por el producto (aunque sea al estafador), el comerciante no tiene forma de recuperar el artículo entregado o el pago que se le debe. Además, también termina pagando la multa por el contracargo.
- Si el comerciante genuino no mejora su juego y evita tales transacciones fraudulentas, las pérdidas pueden aumentar con bastante rapidez.
fraude amistoso
El fraude amistoso (también conocido como contracargo falso) es cuando un cliente compra algo utilizando su propia tarjeta válida de un minorista en línea, pero luego presenta un contracargo con su banco, exigiendo un reembolso. Esto podría deberse al remordimiento del comprador oa la duda de ponerse en contacto con el comerciante y resolverlo de manera amistosa.
Reembolsos alternativos
Esto es cuando un estafador paga una gran cantidad a un sitio web (generalmente una organización sin fines de lucro o un sitio web que acepta donaciones de pago-lo-que-quiera) usando una tarjeta robada. Luego se comunican con el sitio web y afirman haber transferido más de lo que pretendían, solicitando un reembolso parcial a una tarjeta alternativa (la suya), nuevamente alegando falsamente que la tarjeta utilizada para el pago original ha caducado.
Acciones simples para prevenir la piratería y el fraude de pago
Para ser justos, los procesadores de las pasarelas de pago hacen todo lo posible para mantener alejados a los actores maliciosos, pero eso simplemente no es suficiente.
De hecho, Raya publicó una nota detallando su respuesta a este reciente aumento en los ataques de prueba de tarjetas. Si bien eso puede haber ayudado a reducir el fraude, todavía es solo una pequeña mella, si se considera la escala de tales intentos fraudulentos que tienen éxito.
Por lo tanto, es mejor que asuma la responsabilidad de mantener seguro su sitio web de WordPress y haga todo lo posible.
¡Aquí hay 5 formas simples de hacerlo!
1. Aplicar un proceso de inicio de sesión sólido
Un sitio web solo puede ser tan seguro como su contraseña más débil. Hacer cumplir contraseñas seguras es lo mínimo que puede hacer para evitar que los piratas informáticos accedan a su sitio web. Sin embargo, si la contraseña es demasiado compleja para que los humanos la recuerden, es posible que se vuelvan perezosos y la escriban en un lugar no seguro. O si es lo suficientemente fácil de recordar para ellos, lo más probable es que también sea fácil de piratear.
En lugar de confiar solo en una contraseña segura, se recomienda encarecidamente que opte por una capa adicional de seguridad, agregando un paso más al proceso de inicio de sesión. Algunas de las formas de hacerlo:
- Hacer cumplir la autenticación de dos factores usando un complemento de WordPress
- Habilitar claves de paso biométricas para evitar las contraseñas por completo
2. Controle los pagos con regularidad
Tenga cuidado con los patrones inusuales de los clientes, las identificaciones de correo electrónico extrañas, la dirección de facturación y las discrepancias en la ubicación de la dirección IP, etc. Puede hacerlo manualmente o usar un complemento de pago de WooCommerce como los que se enumeran a continuación.
Aquí hay algunos complementos de WordPress de WooCommerce diseñados específicamente para la prevención del fraude
SyncTrack Agregar automáticamente Paypal
Este es un complemento gratuito relativamente menos conocido, que se lanzó en mayo de 2022. Lo que pretende hacer es brillante: se integra con Paypal y transmite información de seguimiento de pagos, para que esté protegido contra disputas y contracargos relacionados con pedidos fraudulentos.
Sin embargo, este complemento no se ha actualizado desde su lanzamiento y no se ha probado con versiones recientes de WordPress, por lo que debe usarse con precaución.
WooCommerce Eye4Fraud
Literalmente, garantiza la protección contra contracargos prometiendo reembolsarle por completo, si un cliente genera una devolución de cargo con éxito en una cuenta aprobada por Eye4Fraud. No hay nada mejor que esto, supongo.
Sin embargo, deberá obtener una cuenta de Eye4Fraud para que esto funcione y cobran un porcentaje del monto de su pedido como comisión. No hay información de precios en su sitio web, puede comuníquese con ellos para obtener una cotización personalizada.
YITH WooCommerce Antifraude
Este complemento detecta automáticamente comportamientos sospechosos durante el proceso de pago y bloquea pedidos. Por ejemplo, cualquier discrepancia en parámetros como dirección IP, ubicación geográfica, etc.
También le permite configurar reglas para bloquear pedidos en función de condiciones como el umbral de riesgo, correos electrónicos de dominios sospechosos, montos de pedidos que son inusualmente altos (puede especificar el monto) y más.
Woocommerce Antifraude por OPMC
Este popular complemento antifraude de WordPress le permite configurar varias reglas y alertas basadas en el comportamiento esperado de sus clientes. Los pedidos que no se ajustan a esto se resaltan, para que luego pueda examinarlos más de cerca.
Este complemento también:
- Evalúa el riesgo asociado con cada pago y lo alerta sobre pagos de alto riesgo
- Brinda protección contra ataques de velocidad usando reCAPTCHA
- Se integra con QuickEmailVerification para validar direcciones de correo electrónico
3. Deshabilitar pedidos de invitados (sin registros de clientes)
Considere obligar a los usuarios a registrarse en su sitio web antes de realizar un pedido. También puede agregar un control adicional obligando a los nuevos usuarios a validar su dirección de correo electrónico o agregando un captcha en el formulario de registro (o ambos).
Y si no lo ha hecho, considere agregar un captcha a su página de pago también. Aunque eso podría molestar a sus clientes reales que desean una experiencia de pago rápida y sin problemas, aún podría valer la pena.
Sin embargo, esto podría ayudar a reducir las posibilidades de ataques de prueba de tarjetas donde los bots realizan múltiples pedidos por pequeñas cantidades utilizando identificaciones de correo aleatorias inexistentes.
4. Habilitar la limitación de velocidad
El Complemento antifraude WooCommerce de YITH le permite controlar la cantidad de pedidos por usuario dentro de un período de tiempo específico. Esto evita que los estafadores realicen una gran cantidad de pedidos automáticamente utilizando la misma identificación de cliente. No es que esto lo impida por completo, por supuesto, pero todo ayuda.
5. Aprovecha lo que ya tienes
Debe hacer todo lo posible para aprovechar los recursos que ya esté utilizando, por ejemplo, su alojamiento, Cloudflare (o proveedores de seguridad similares).
Por ejemplo:
- Puedes habilitar Modo Bot Fight de Cloudflare de modo que cada vez que se noten patrones típicos de tráfico de bots, Cloudflare los bloquee.
- Consulte también con su proveedor de alojamiento si proporciona herramientas o firewalls que puedan ayudarlo a manejar tales intentos.
Además, si ya está utilizando el Complemento de pagos de WooCommercedestaca el nivel de riesgo evaluado para cada transacción, como ‘Normal’ o ‘Elevado’; esto se basa en su integración con la herramienta de prevención de fraude RADAR de Stripe.
Si bien definitivamente debe usar todos los medios posibles para prevenir el fraude, es posible que aún vea algunos pedidos fraudulentos.
La mejor manera de minimizar los daños es mantenerse alerta y reaccionar rápidamente ante cualquier patrón de compra anormal en su sitio web.
Si ve múltiples transacciones por montos pequeños en rápida sucesión, debe verificar los detalles y bloquearlos inmediatamente hasta que investigue las transacciones.
¡Mantente alerta, mantente a salvo!
