3 poin oleh GN⁺ 2023-08-03 | 1 komentar | Bagikan ke WhatsApp
  • Sebuah layanan SaaS menemukan serangan card testing saat menelusuri lonjakan tajam tingkat penolakan otorisasi kartu, dengan nama yang tampak dibuat otomatis dan domain email yang aneh
  • Serangan ini lebih mirip otomatisasi ringan atau serangan manual daripada lalu lintas bot berskala besar, dengan laju maksimal sekitar 4 kartu per menit, dan kartu-kartu tersebut sama-sama berasal dari bank yang sama, sumber dana yang sama, serta diterbitkan di AS
  • Di kanal Telegram publik dan alat online, dibagikan BIN, CVC, tanggal kedaluwarsa, cara menghasilkan nomor kartu yang kemungkinan besar lolos di situs tertentu, serta alat eksekusi otomatis Stripe Checkout
  • Dari pembayaran penipuan yang berhasil, 15% berujung chargeback, dan skrip Python yang dibuat dengan ChatGPT digunakan untuk menerima sengketa, melakukan refund, membatalkan langganan, dan verifikasi
  • Skor risiko default Stripe Radar sebagian besar rendah di kisaran 0–5, dan dalam praktiknya pertahanan yang paling berguna adalah aturan Radar kustom yang membatasi jumlah kegagalan per jam

Penemuan serangan card testing dan respons awal

  • Beberapa minggu lalu muncul peringatan bahwa tingkat penolakan otorisasi kartu lebih tinggi dari biasanya
  • Di dashboard Stripe, ditemukan banyak pembayaran gagal dari pengguna dengan nama yang tampak dibuat otomatis dan domain email yang aneh
  • Layanan tersebut menganggap ini sebagai serangan card testing yang khas, lalu mengaktifkan Stripe Radar dan menambahkan pekerjaan untuk memasang CAPTCHA di checkout ke backlog
  • Pada waktu yang mirip, Pieter Levels dan Danny Postma juga membagikan serangan serupa di Twitter
    • Pieter Levels menulis bahwa ia telah melakukan refund dan pembatalan untuk 240 pelanggan bernama Jake Smith dari Philippines, dan nilai pembayaran card testing mencapai $7,000
    • Danny Postma menulis bahwa pembayaran penipuan terjadi atas nama jack smith dan Stripe membutuhkan solusi cepat

Pola serangan yang nyaris manual

  • Beberapa minggu kemudian, peringatan tingkat penolakan otorisasi muncul lagi, dan respons dimulai dengan menambahkan aturan Stripe Radar sementara
  • Setelah lalu lintas diperiksa lebih rinci, penyerang menguji maksimal 4 kartu per menit, dan pada sebagian besar waktu intensitas serta konsistensi serangan bahkan lebih rendah
  • Berdasarkan materi pencegahan card testing dari Stripe, implementasi layanan tersebut tergolong cukup terlindungi
    • Pengguna harus login sebelum membuka checkout
    • Menggunakan Payment Element dan juga memanfaatkan sebagian sinyal
    • Menurut dokumentasi Stripe, tingkat perlindungan terhadap card testing seharusnya mendekati excellent
  • Setelah investigasi tambahan dan peninjauan rekan kerja, lalu lintas ini dinilai lebih dekat ke serangan manual atau otomatisasi yang sangat ringan

Parameter kartu dan alat yang beredar di kanal publik

  • Sebagian besar kartu yang digunakan dalam serangan menunjukkan karakteristik yang sama
    • Semuanya diterbitkan oleh bank yang sama
    • Memiliki sumber dana yang sama
    • Semuanya diterbitkan di Amerika Serikat
  • Karena parameter kartu terlalu mirip, muncul pertanyaan apakah ini benar-benar kartu yang bocor dari bank
  • Di kanal yang dapat diakses publik, ditemukan BIN, CVC, tanggal kedaluwarsa kartu kredit, serta tautan ke alat yang menghasilkan nomor kartu valid dari input tersebut
    • BIN berarti Bank Identification Number, yaitu 6–8 digit pertama dari nomor kartu
    • Sumber dana menunjukkan apakah kartu tersebut debit, credit, atau prepaid
  • Di kanal Telegram publik juga ada pesan yang menjelaskan cara memperoleh Spotify Premium atau YouTube Premium secara ilegal
  • Terdapat ekosistem bawah tanah terbuka yang membagikan parameter kartu yang kemungkinan besar akan disetujui di situs tertentu, biasanya layanan SaaS
  • Serangan terhadap layanan ini juga kemungkinan besar bermula dari serangan manual di server Discord privat atau kanal Telegram tertentu, tetapi sumber pastinya tidak ditemukan
  • Di kanal publik, sering terlihat pesan yang mengatakan kanal akan diubah menjadi privat beberapa hari kemudian, sehingga tampak bahwa sebagian besar aktivitas terjadi di tempat yang tidak bisa diakses
  • Ada juga banyak alat online yang menerima daftar kartu yang dibuat otomatis lalu mengeksekusinya secara otomatis ke sesi Stripe Checkout mana pun
    • Cukup mengejutkan bahwa Stripe Checkout, yang dimiliki Stripe secara end-to-end, juga bisa rentan terhadap otomatisasi
    • Sebagian kode alat tersebut membuat alamat email Gmail acak yang invalid

Pembersihan lanjutan: sengketa, refund, hingga pembatalan langganan

  • Sebagian penyerang berhasil menyelesaikan pembayaran dan benar-benar membeli produk, sehingga biaya pembersihan lanjutan menjadi besar
  • Untuk memeriksa skala masalah, dilakukan kueri ke penyimpanan data untuk pelanggan yang memiliki lebih dari 5 pembayaran gagal sejak 1 Mei
  • Dengan ChatGPT dibuat skrip Python untuk mengekstrak domain email pelanggan tersebut
  • Berdasarkan daftar domain itu, basis data di-kueri untuk mendapatkan daftar pembayaran sukses yang dibuat oleh pelanggan dengan email dari domain yang sama
  • Skrip lain yang juga dibuat dengan ChatGPT digunakan untuk memeriksa pembayaran mana yang sudah berada dalam status sengketa
  • Dari pembayaran penipuan yang berhasil, 15% berujung chargeback
    • Rasio chargeback: {p:15}
  • Diputuskan untuk menerima semua sengketa dan menanggung biaya £20 dari Stripe per kasus
  • Dibuat restricted key dengan hak minimum di Stripe, lalu dengan bantuan ChatGPT dibuat skrip untuk menerima chargeback
  • Setelah itu, skrip digunakan untuk mengambil pembayaran dalam daftar, melakukan refund untuk pembayaran yang belum menjadi sengketa, dan membatalkan langganan aktif pelanggan yang membuat pembayaran tersebut
  • Bahkan untuk pembayaran yang sudah di-refund, tetap bisa timbul kerugian dari biaya Stripe dan biaya jaringan selama proses pembayaran sukses dan refund
  • Skrip verifikasi terakhir digunakan untuk memastikan semua pembayaran sudah berada pada status sengketa yang diterima atau refund, dan bahwa pelanggan terkait tidak lagi memiliki langganan aktif
  • ChatGPT juga menyarankan kehati-hatian saat menjalankan skrip dan pengujian pada sampel kecil, skrip ditinjau langsung, dan data pelanggan, ID, maupun API key tidak dibagikan

Beban yang ditinggalkan oleh praktik persetujuan bank-bank AS

  • Dunia pembayaran online dinilai sangat tidak adil bagi pelaku usaha
  • Sementara itu, bank—terutama bank AS—masih bisa menyetujui pembayaran bahkan dalam kondisi berikut
    • Nama lengkap salah
    • CVV/CVC tidak valid
    • Tanggal kedaluwarsa salah
    • Alamat penagihan hanya diisi sebagian dan ZIP code juga salah
  • Bahkan dalam kondisi seperti itu, autentikasi 3D Secure tidak selalu dipicu
  • Tetap muncul pertanyaan mengapa pelaku usaha harus menanggung tanggung jawab atas pembayaran yang hanya memiliki nomor kartu yang benar
  • Untuk prepaid card, kemungkinan pemeriksaan seperti ini mungkin terbatas, tetapi masih ada ruang untuk perbaikan

Aturan Stripe Radar yang benar-benar efektif

  • Respons awal adalah mengaktifkan Stripe Radar
  • Stripe Radar adalah solusi berbasis machine learning yang dirancang untuk memberi skor pada tiap pembayaran dan memblokir otomatis jika sebagian indikator tidak cocok
  • Dalam kasus ini, penilaian default Radar tidak banyak membantu
    • Sebagian besar pembayaran penipuan memiliki skor risiko rendah, di kisaran 0–5
    • Sebaliknya, sebagian pelanggan normal diblokir setelah gagal dua kali dalam tantangan 3D Secure
    • Pengalaman ini menimbulkan kekhawatiran untuk menyerahkan nasib pelanggan kepada machine learning
  • Fitur yang lebih berguna adalah aturan kustom Stripe Radar
    • Meminta tantangan 3D Secure
    • Mengirim ke peninjauan manual
    • Memblokir sepenuhnya
  • Aturan Radar terlihat seperti pseudocode, tetapi dapat mengekspresikan logika yang cukup kompleks untuk mempersempit upaya pembayaran berbahaya
  • Respons yang paling berguna adalah menetapkan batas yang masuk akal untuk jumlah kegagalan pembayaran yang dimungkinkan per pelanggan selama 1 jam, 1 hari, dan 1 minggu
  • Menambahkan CAPTCHA, memantau tingkat kegagalan, dan berbagi aturan Radar kustom tetap menjadi respons realistis sampai bank memikul tanggung jawab lebih besar atas persetujuan pembayaran

Pada akhirnya biayanya dibebankan ke pelaku usaha dan pelanggan

  • Biaya aktivitas penipuan ditanggung oleh pelaku usaha di seluruh dunia, mulai dari biaya pemroses pembayaran, denda chargeback, biaya engineering, hingga risiko dikeluarkan dari platform
  • Pengenaan biaya chargeback £20 oleh Stripe kepada pelaku usaha juga dipandang sebagai contoh perlakuan yang tidak adil
  • Biaya ini pada akhirnya dibebankan kembali kepada pelanggan dalam bentuk harga yang lebih tinggi
  • Jaringan pembayaran yang diandalkan setiap hari sangat mudah disalahgunakan, dan keputusan akhir apakah kartu bisa ditagih bergantung pada kebijakan bank penerbit
  • Selama bank tidak menanggung tanggung jawab lebih besar dalam persetujuan, hal paling mendekati yang bisa dilakukan pelaku usaha adalah memantau ketat tingkat kegagalan otorisasi, menambahkan CAPTCHA, dan menyempurnakan aturan Stripe Radar

1 komentar

 
GN⁺ 2023-08-03
Komentar Hacker News
  • Hal yang paling mengejutkan bukanlah fakta bahwa ada kelompok yang menyalahgunakan pembayaran Stripe, melainkan bahwa penulis meminta ChatGPT membuat skrip otomatisasi pemrosesan pembayaran
    Yang jadi masalah terutama karena itu untuk menangani chargeback, dan dari konteks tulisannya penulis tampak tidak punya kemampuan teknis yang cukup untuk menulis atau memverifikasi skrip itu sendiri
    Ia marah karena merasa dikhianati setelah percaya Stripe akan menangani pencegahan penipuan, tetapi kemudian kembali mempercayai secara membabi buta teknologi lain yang tidak ia pahami
    Masalahnya bukan hanya Stripe, melainkan sikap menyerahkan kepercayaan ke sembarang pihak lalu berharap semuanya berjalan baik

    • Ini terasa seperti penggambaran yang agak keliru
      Penulis bukan menyerahkan pemrosesan pembayaran, melainkan lebih seperti membuat skrip untuk menelusuri chargeback akun-akun tersebut dan pada dasarnya menekan tombol “terima”
      Saya juga tidak tahu dari mana penilaian bahwa kemampuan teknisnya kurang, dan di tulisannya ia juga mengatakan “saya meninjau semua skrip dengan cermat dan tidak membagikan data pelanggan, ID, atau API key”
    • Orang ini menjalankan bisnis yang menghasilkan uang, menciptakan nilai bagi pelanggan, merilis fitur, dan membagikan ancaman yang ia mitigasi serta pelajaran yang ia dapat
      Dalam proses itu, ia hanya menghemat waktu dengan membuat skrip menggunakan ChatGPT
      Entah ia nonteknis atau sekadar ingin menghemat waktu, tetapi jujur saja eksekusi seperti ini layak dipuji
      Skrip-skrip ini bukan menentukan hidup-mati atau mengambil keputusan inti bisnis, melainkan alat yang menyaring data dalam jumlah besar dan dengan cepat menghasilkan hasil yang bisa diperiksa secara manual
      Justru ini tampak seperti salah satu contoh ChatGPT yang paling berguna. Ini adalah alat pengungkit kemampuan, ketika founder yang kekurangan waktu punya tujuan spesifik dan memperoleh keahlian sesaat yang dibutuhkan untuk membuat skrip
      Dulu, untuk mendapatkan hasil yang sama, orang harus mencari vendor, merekrut, dan menjelaskan kebutuhan selama berminggu-minggu; sekarang bisa dibuat nyaris gratis dan seketika
      Saya paham reaksi refleks untuk menyebut ini “mengejutkan” atau tidak bertanggung jawab, tetapi rasanya cukup seperti reaksi “anak zaman sekarang”
      Jika ini masa depan, menurut saya developer sebaiknya mendukung makin mandirinya orang nonteknis, dan memikirkan cara memperbaiki proses founder meminta ChatGPT menulis skrip dengan baik
    • Saya penulisnya. Sebelum menjalankannya, saya meninjau dan menguji skrip ChatGPT dengan saksama
      Sulit mengatakan saya kurang keahlian teknis di bidang ini; saya hanya berusaha menggunakan waktu seefisien mungkin
    • Saya tidak tahu kenapa spekulasi tanpa dasar seperti ini begitu sering muncul
      Penulis sudah menjawab bahwa ia meninjau skripnya dan tidak mengunggah data sensitif, jadi tidak ada lagi yang perlu ditambahkan soal itu
      Banyak orang memakai ChatGPT secara efektif tetapi tidak mempercayai hasilnya begitu saja. Bagi saya, ChatGPT adalah titik awal, bukan keluaran akhir
      Tidak semua orang sebodoh pengacara yang menempelkan kutipan preseden hasil halusinasi ke berkas hukum tanpa verifikasi
    • Saya agak heran kenapa ChatGPT disebut. Rasanya hampir seperti iklan
      Saya sudah membaca banyak tulisan serupa, tetapi sulit mengingat kasus ketika tulisannya bukan meta tentang coding atau debugging itu sendiri, lalu penulis tiba-tiba mengatakan ia bergantung pada Stack Overflow untuk coding
  • Jika Anda perusahaan asing yang menerima pembayaran di AS, hal seperti ini harus dianggap sebagai biaya operasional
    Penipuan kartu kredit di AS sudah disosialisasikan. Konsumen akhir tidak menanggung tanggung jawab, jadi mereka tidak merasa perlu memakai chip dan PIN, autentikasi dua faktor, atau 3D Secure
    Jika melihat transaksi mencurigakan, mereka cukup menekan satu tombol di aplikasi bank dan dalam hitungan menit pembayaran dibatalkan
    Bank dan pemroses pembayaran juga punya insentif untuk meloloskan transaksi secepat dan semudah mungkin agar orang lebih sering menggunakannya
    Seperti kata penulis, meski tanggal kedaluwarsa, alamat penagihan, atau kode pos tidak cocok, pembayaran biasanya tetap berhasil
    Kekurangannya, semua tanggung jawab terdorong ke pelaku usaha, dan pelaku usaha mau tidak mau menaikkan harga untuk semua orang demi menutupnya

    • Saya kurang bisa menerima hubungan sebab-akibat itu
      Denmark juga punya perlindungan konsumen yang sama, kemungkinan chargeback, dan jaminan pemerintah agar konsumen tidak kehilangan uang meskipun rekening banknya dibobol
      Namun pada saat pembelian tetap ada perlindungan kuat seperti chip dan PIN wajib serta 3D Secure
      Saya tidak melihat ada alasan rasional kenapa AS tidak punya keamanan kartu yang lebih baik. Sepertinya mereka memang tidak menginginkannya
    • Ditambah lagi ada biaya keterlaluan yang dibebankan perusahaan kartu kepada merchant
      Di AS biasanya sekitar 2% dari nilai transaksi, sedangkan di UE dibatasi maksimal 0,3%
      Bahkan angka itu pun masih terasa besar jika melihat besarnya uang yang dipindahkan
      Biaya ini pada akhirnya juga disosialisasikan dan dibebankan ke konsumen, bahkan orang yang membayar tunai ikut menanggungnya lewat harga yang lebih tinggi
      Sebagai catatan, dalam 3D Secure, menurut syarat beberapa bank, pemilik kartu bisa bertanggung jawab atas transaksi penipuan
      Jika autentikasi dua faktornya via ponsel, mencuri ponsel dan dompet sekaligus saja sudah cukup; saya pernah melihat berita tentang orang yang benar-benar kehilangan ribuan dolar
    • Orang Amerika dan Kanada terlindung dari kekacauan yang terjadi di balik layar untuk memproses satu transaksi
      Mereka hanya melihat imbalan 1–2 sen per dolar, paling banyak sekitar 5 sen, dalam bentuk “poin”, dan karena 1 sen ditampilkan seperti 100 poin, kelihatannya menarik
      Yang tidak terlihat adalah kenaikan 3–5% atau lebih pada harga barang secara umum, chargeback dan biaya pemrosesan, transaksi penipuan, keamanan yang lemah, toko yang masih menerima pita magnetik, dan banyak sekali perantara
      Biaya bank, biaya penerbit kartu, biaya jaringan, biaya kartu premium terus menumpuk
      Ini kekacauan total dan saya benar-benar membencinya
      Saya berharap FedNow mengubah keadaan. Perantara yang menyedot uang orang harus disingkirkan, begitu juga parasit dan pemborosan
    • Saya merasa lucu karena fokusnya pada bank AS. Salah satu foto Telegram menyuruh memakai alamat Paris, Prancis
      Saya mengelola dua organisasi tempat saya berada selama dua tahun terakhir, dan keduanya diserang bot verifikasi kartu kredit otomatis yang memakai kartu bank Prancis, dengan banyak kartu yang lolos
      Tentu saja, kedua organisasi itu punya kisah mengabaikan peringatan saya sebelumnya untuk memperkuat situs pembayaran, dan salah satunya bahkan masih memakai Magento 1
      Ini memang anekdot saja, tetapi masalah sebenarnya adalah kartu kredit, seperti ACH, merupakan peninggalan yang ditambal dengan solusi sementara, dan tidak ada yang benar-benar mau memperbaikinya secara bermakna
    • Di atas segalanya, kemungkinan besar karena praktik lama yang bergantung pada jalur historis
      Kartu kredit diciptakan di AS, sehingga teknologinya sudah tua dan peningkatannya memakan waktu lama
      Untuk pembayaran manual, UPI India tampak cukup bagus. Saya dengar caranya pelanggan menyetujui setiap pembayaran di ponsel sebelum pembayaran diproses
  • Terkait biaya chargeback, Visa beberapa tahun lalu mengakuisisi perusahaan bernama Verifi
    Mereka punya produk baru bernama Rapid Dispute Resolution dan Order Insight
    RDR memungkinkan pengembalian dana otomatis sebelum transaksi berubah menjadi chargeback, dan Visa mengambil biaya 4 dolar. Dengan asumsi kode MCC-nya bukan berisiko tinggi
    Order Insight memungkinkan data tertentu segera diberikan untuk pembayaran yang dipermasalahkan, dan jika pelanggan punya riwayat pernah membayar 3 kali sebelumnya, chargeback tidak bisa diterbitkan
    Dalam bisnis kami, ini keputusan yang sangat mudah berdasarkan tingkat kemenangan, nilai pesanan rata-rata, dan biaya chargeback
    Sekarang kami juga tidak perlu terus mengkhawatirkan aturan chargeback 1% dari Visa atau bank merchant
    Ini hanya berlaku untuk pembayaran Visa, tetapi mencakup sekitar 50% dari total volume transaksi
    Terakhir, Visa pada dasarnya merebut sumber pendapatan besar milik pemroses pembayaran. Jika pemrosesnya TSYS, mereka akan mencoba memungut 10 dolar sebagai biaya RDR

    • Penulis di sini. Untuk Mastercard, kalian menanganinya seperti apa?
      Saya pernah dengar Ethoca; SEO mereka benar-benar bagus. Kelihatannya cukup mirip dengan Verifi
  • Saya tidak mengerti mengapa AS tampak begitu tertinggal di sisi perbankan
    Inggris sudah menerapkan chip dan PIN sejak 2004 dan mewajibkannya sejak 2006, sementara AS baru menyusul kira-kira 10 tahun kemudian
    Faster Payments menyediakan transfer instan gratis antar sebagian besar rekening bank. Menerima transfer dari pelanggan AS selalu seperti mimpi buruk, bahkan jika punya akun Wise AS
    Sejak UE memperkenalkan autentikasi pelanggan yang kuat, sebagian besar pembayaran baru harus disetujui lewat aplikasi mobile banking atau sarana autentikasi dua faktor lainnya
    Bahkan sebelumnya pun setidaknya kode pos dan CVV harus cocok
    Langkah-langkah seperti ini terlihat seperti cara bank mengalihkan tanggung jawab penipuan kepada pelanggan, tetapi bagaimanapun juga kerugiannya tetap jatuh ke pelanggan
    Dalam budaya yang secara luas menerima penipuan kartu, harga akan naik untuk menutupi biaya itu

    • Dari sudut pandang orang Kanada, membayar di restoran AS terasa seperti melakukan perjalanan waktu
      Alih-alih membayar langsung dengan terminal di meja, kita harus menyerahkan kartu kepada pelayan dan menunggu mereka memprosesnya secara manual di suatu tempat
      Mungkin dalam beberapa tahun terakhir sudah membaik, tetapi di Kanada cara seperti itu tidak dipakai lagi sejak awal 2000-an
    • Jika penipuan kartu mencakup X% dari total pembayaran, perusahaan bisa saja berusaha menanganinya, atau membiarkannya saja sambil tetap mengalirkan transaksi dan menanggung biayanya
      Hasilnya, mereka bisa melayani Y% lebih banyak pelanggan, dan jika Y lebih besar dari X, dalam jangka panjang mereka bisa meraih laba lebih besar
      Di AS, berkat skalanya yang sangat besar, cara ini berhasil untuk banyak bisnis
      Misalnya, pada jam makan siang tersibuk, dari sisi margin McDonald's kemungkinan lebih baik memproses pembayaran dengan cepat daripada menghabiskan 1 detik untuk memastikan tidak ada penipuan
      Ini mungkin tidak berlaku di Eropa, tetapi menurut saya ketika menganalisis biaya sebenarnya, dimensi kecepatan dan skala transaksi sering terlewat
      Begitu keseimbangan antara penipuan dan laba menjadi merugikan perusahaan, mekanisme utama pencegahan penipuan di AS hampir pasti akan langsung dinyalakan
    • AS punya sektor perbankan yang sangat beragam dan regulasinya longgar
      Ada ribuan bank lokal kecil di 50 negara bagian, dan masing-masing negara bagian juga cukup independen
      Dalam lingkungan seperti ini, menerapkan teknologi baru berskala besar jauh lebih sulit
    • Sebagian besar komentar di sini tampaknya tidak begitu terkait dengan artikel aslinya. Artikel itu secara spesifik membahas penipuan card-not-present
      Chip dan PIN tidak berfungsi untuk pembayaran internet
      Transfer bank tidak cocok secara internasional
      Verifikasi alamat dan CVV mudah diaktifkan, tetapi bisa membuat lebih banyak transaksi sah ikut ditolak. Kadang biayanya lebih besar daripada risiko penipuan yang berhasil ditangkap
      Tanggung jawab penipuan didorong ke merchant, bukan pelanggan
      Tentu biaya penipuan merchant pada akhirnya tercermin dalam harga sehingga pelanggan membayar lebih, tetapi itu hanya dalam arti bahwa semua biaya penipuan pada akhirnya diteruskan ke konsumen
    • Cara berpikir “maju” dan “tertinggal” menghentikan pemikiran, dan mengubah seluruh topik menjadi seolah-olah posisi di atas garis angka
      Kenyataannya tidak begitu; ini masalah kompleks, dan para pihak di kedua sisi Atlantik memainkan permainan tidak jujur untuk mengeksploitasi perubahan
      Selain itu, peran-peran yang terkait juga diabaikan
      Orang berusia pertengahan 20-an dengan pekerjaan stabil, karena berbagai alasan, menjadi bagian yang semakin kecil dalam sistem nyata
      Ada juga orang yang melihat pekerja usia 20-an di UE dan wilayah lain sedang dieksploitasi dan kehilangan hak
  • Server perusahaan lama tempat saya bekerja pernah diretas, dan API key-nya dicuri untuk melakukan carding dari server itu
    PayPal mengatakan kami harus membayar biaya 100 ribu dolar
    Kami adalah tempat yang biasanya hanya memproses biaya pendaftaran kursus maksimal 5 kali sehari, sekitar 4.500 dolar per transaksi
    Peretas menjalankan permintaan otorisasi 1 dolar setiap detik terhadap nomor kartu kredit acak
    Pada akhirnya kami tidak perlu membayar biaya carding itu, tetapi mereka tidak peduli
    Mereka tidak peduli karena mereka menghasilkan uang dari penipuan
    Dalam pengaturan kami, nilai pesanan hanya diizinkan antara 2.500 sampai 6.000 dolar, tetapi ternyata permintaan otorisasi tidak mereka periksa
    Benar-benar gila
    Itu sekitar tahun 2010, dan saat itu Stripe belum bisa digunakan di Kanada

  • Pencegahan penipuan Stripe buruk sekali, dan itu disengaja
    Mereka secara terang-terangan melemparkan biaya manajemen risiko kepada pelanggan. Sampai terasa tidak senonoh
    Saya bekerja di bidang pencegahan penipuan kartu kredit, dan meski saya sendiri bukan yang sangat hebat dalam pekerjaan itu, tim kami yang berisi 3,5 orang dengan mudah membuat dan memelihara sistem untuk mencegah serangan carding seperti ini
    Cara utama pelaku bisnis mencegah serangan carding adalah membuat target mereka sedikit lebih merepotkan daripada target berikutnya
    Menurut saya Stripe tampaknya merasa tidak masalah tetap menjadi jaringan besar yang paling mudah diserang, karena rasa sakit dan biayanya bisa mereka lemparkan ke pengguna
    Stripe bisa dengan mudah mencegah kerusakan seperti ini dengan biaya yang sangat kecil
    Mereka memilih membiarkan pengguna menderita demi menghemat beberapa receh

    • Stripe ingin mengenakan biaya untuk hal-hal kecil sekalipun, dan ingin membuat kita membayar Radar
      Stripe Taxes dan konversi mata uang mereka yang buruk juga strategi yang sama
      Awalnya mereka tidak menyediakan layanan dengan benar, lalu pada akhirnya kita sadar bahwa biaya transaksi Stripe naik sampai persentase dua digit dari total harga
  • Saya Edwin dari Stripe. Saya ingin menambahkan bahwa tulisan ini adalah salinan dari artikel lama sebulan lalu (https://piotrmierzejewski.com/p/card-networks-exploitation)
    Sejak itu, kami sudah memperbaiki sebagian besar masalah ini. Card testing seperti ini sudah berkurang, dan sekarang Radar seharusnya bisa menangkap serangan semacam ini
    Soal chargeback, kami juga membenci chargeback dan ingin menguranginya sebisa mungkin
    Sebenarnya kami sedang mengerjakan beberapa hal yang akan membantu di sini
    Bank mengenakan biaya chargeback dengan nominal yang beragam, dan rata-ratanya ditampilkan sebagai biaya 20 dolar
    Itu bukan biaya khusus Stripe, dan kami tidak mengambil keuntungan dari chargeback
    Kami baru saja menyelesaikan rencana perusahaan untuk sisa tahun ini, dan mengurangi jenis penipuan seperti ini adalah prioritas utama
    Jika Anda merasa mengalami hal serupa, silakan kirim email ke edwin@stripe.com

    • Bukan “Radar sekarang seharusnya bisa menangkap serangan semacam ini”, melainkan fitur bawaan yang seharusnya menangkapnya
      Serius, ini saya katakan sebagai pelanggan kalian
  • Tahun lalu saya bekerja di sebuah perusahaan e-commerce dalam peran yang menangani sistem, CI, infrastruktur, dan perangkat lunak
    Hal seperti ini benar-benar umum, dan setiap minggu saya menghabiskan setidaknya satu hari untuk mengidentifikasi dan memblokir pola baru
    Para penyerang memvalidasi kartu kredit lewat sistem kami
    Pada akhirnya, kami memblokir hampir semua serangan di sisi keranjang belanja dan pembayaran, tetapi request tetap terus masuk
    Belakangan, saat menelusuri log karena masalah PHP yang tidak terkait, seorang software engineer mengatakan bahwa ada trafik sangat besar ke halaman yang dipakai untuk menyimpan metode pembayaran nanti
    Platform itu mengirim pembayaran 1 dolar untuk memastikan kartunya asli, dan para penyerang memanfaatkannya untuk terus mencoba kartu
    Pencuri kartu kredit benar-benar banyak akal

  • Saya pernah mendapat saran bahwa untuk mendeteksi penipuan dengan Stripe, kalau Anda serius ingin menguranginya dan volume transaksi cukup besar, sebaiknya latih model deteksi penipuan sendiri
    Bahkan classifier logistik sederhana pun bisa berhasil
    Stripe Radar tidak disesuaikan dengan detail spesifik tiap bisnis, dan model sendiri bisa mempertimbangkan sinyal tambahan seperti produk apa yang dibeli, berapa lama dari membuka situs sampai melakukan pembelian, dan sebagainya
    Aturan kustom Radar juga sampai batas tertentu bisa berjalan
    Saya paham banyak pelaku bisnis indie tidak punya sumber daya atau kemauan untuk melakukan ini
    Ada juga solusi yang bisa dibeli, tetapi mahal dan umumnya ditujukan untuk merchant dengan volume transaksi besar
    Mungkin suatu saat Stripe akan merilis produk Radar yang bisa di-fine-tune

  • Ini satu lagi alasan mengapa industri kartu kredit harus lenyap
    Protokol keamanannya tidak ada atau belum di-upgrade sejak awal abad ke-21, dan penyalahgunaan oleh para perantara juga tak terhitung jumlahnya
    Biaya untuk menangani kerepotan seperti ini dialihkan ke merchant dalam bentuk biaya transaksi dan biaya chargeback yang lebih tinggi, dan pada akhirnya dibebankan ke konsumen
    Jangan lupa juga bahwa industri kartu kredit mendorong kebiasaan konsumsi terburuk pada konsumen, dan melanggengkan siklus perbudakan utang yang tak berujung