Dunia Bawah Tanah Penyalahgunaan Jaringan Kartu Kredit
(chargebackstop.com)- Sebuah layanan SaaS menemukan serangan card testing saat menelusuri lonjakan tajam tingkat penolakan otorisasi kartu, dengan nama yang tampak dibuat otomatis dan domain email yang aneh
- Serangan ini lebih mirip otomatisasi ringan atau serangan manual daripada lalu lintas bot berskala besar, dengan laju maksimal sekitar 4 kartu per menit, dan kartu-kartu tersebut sama-sama berasal dari bank yang sama, sumber dana yang sama, serta diterbitkan di AS
- Di kanal Telegram publik dan alat online, dibagikan BIN, CVC, tanggal kedaluwarsa, cara menghasilkan nomor kartu yang kemungkinan besar lolos di situs tertentu, serta alat eksekusi otomatis Stripe Checkout
- Dari pembayaran penipuan yang berhasil, 15% berujung chargeback, dan skrip Python yang dibuat dengan ChatGPT digunakan untuk menerima sengketa, melakukan refund, membatalkan langganan, dan verifikasi
- Skor risiko default Stripe Radar sebagian besar rendah di kisaran 0–5, dan dalam praktiknya pertahanan yang paling berguna adalah aturan Radar kustom yang membatasi jumlah kegagalan per jam
Penemuan serangan card testing dan respons awal
- Beberapa minggu lalu muncul peringatan bahwa tingkat penolakan otorisasi kartu lebih tinggi dari biasanya
- Di dashboard Stripe, ditemukan banyak pembayaran gagal dari pengguna dengan nama yang tampak dibuat otomatis dan domain email yang aneh
- Layanan tersebut menganggap ini sebagai serangan card testing yang khas, lalu mengaktifkan Stripe Radar dan menambahkan pekerjaan untuk memasang CAPTCHA di checkout ke backlog
- Pada waktu yang mirip, Pieter Levels dan Danny Postma juga membagikan serangan serupa di Twitter
- Pieter Levels menulis bahwa ia telah melakukan refund dan pembatalan untuk 240 pelanggan bernama
Jake Smithdari Philippines, dan nilai pembayaran card testing mencapai $7,000 - Danny Postma menulis bahwa pembayaran penipuan terjadi atas nama
jack smithdan Stripe membutuhkan solusi cepat
- Pieter Levels menulis bahwa ia telah melakukan refund dan pembatalan untuk 240 pelanggan bernama
Pola serangan yang nyaris manual
- Beberapa minggu kemudian, peringatan tingkat penolakan otorisasi muncul lagi, dan respons dimulai dengan menambahkan aturan Stripe Radar sementara
- Setelah lalu lintas diperiksa lebih rinci, penyerang menguji maksimal 4 kartu per menit, dan pada sebagian besar waktu intensitas serta konsistensi serangan bahkan lebih rendah
- Berdasarkan materi pencegahan card testing dari Stripe, implementasi layanan tersebut tergolong cukup terlindungi
- Pengguna harus login sebelum membuka checkout
- Menggunakan Payment Element dan juga memanfaatkan sebagian sinyal
- Menurut dokumentasi Stripe, tingkat perlindungan terhadap card testing seharusnya mendekati
excellent
- Setelah investigasi tambahan dan peninjauan rekan kerja, lalu lintas ini dinilai lebih dekat ke serangan manual atau otomatisasi yang sangat ringan
Parameter kartu dan alat yang beredar di kanal publik
- Sebagian besar kartu yang digunakan dalam serangan menunjukkan karakteristik yang sama
- Semuanya diterbitkan oleh bank yang sama
- Memiliki sumber dana yang sama
- Semuanya diterbitkan di Amerika Serikat
- Karena parameter kartu terlalu mirip, muncul pertanyaan apakah ini benar-benar kartu yang bocor dari bank
- Di kanal yang dapat diakses publik, ditemukan BIN, CVC, tanggal kedaluwarsa kartu kredit, serta tautan ke alat yang menghasilkan nomor kartu valid dari input tersebut
- BIN berarti Bank Identification Number, yaitu 6–8 digit pertama dari nomor kartu
- Sumber dana menunjukkan apakah kartu tersebut debit, credit, atau prepaid
- Di kanal Telegram publik juga ada pesan yang menjelaskan cara memperoleh Spotify Premium atau YouTube Premium secara ilegal
- Terdapat ekosistem bawah tanah terbuka yang membagikan parameter kartu yang kemungkinan besar akan disetujui di situs tertentu, biasanya layanan SaaS
- Serangan terhadap layanan ini juga kemungkinan besar bermula dari serangan manual di server Discord privat atau kanal Telegram tertentu, tetapi sumber pastinya tidak ditemukan
- Di kanal publik, sering terlihat pesan yang mengatakan kanal akan diubah menjadi privat beberapa hari kemudian, sehingga tampak bahwa sebagian besar aktivitas terjadi di tempat yang tidak bisa diakses
- Ada juga banyak alat online yang menerima daftar kartu yang dibuat otomatis lalu mengeksekusinya secara otomatis ke sesi Stripe Checkout mana pun
- Cukup mengejutkan bahwa Stripe Checkout, yang dimiliki Stripe secara end-to-end, juga bisa rentan terhadap otomatisasi
- Sebagian kode alat tersebut membuat alamat email Gmail acak yang invalid
Pembersihan lanjutan: sengketa, refund, hingga pembatalan langganan
- Sebagian penyerang berhasil menyelesaikan pembayaran dan benar-benar membeli produk, sehingga biaya pembersihan lanjutan menjadi besar
- Untuk memeriksa skala masalah, dilakukan kueri ke penyimpanan data untuk pelanggan yang memiliki lebih dari 5 pembayaran gagal sejak 1 Mei
- Dengan ChatGPT dibuat skrip Python untuk mengekstrak domain email pelanggan tersebut
- Berdasarkan daftar domain itu, basis data di-kueri untuk mendapatkan daftar pembayaran sukses yang dibuat oleh pelanggan dengan email dari domain yang sama
- Skrip lain yang juga dibuat dengan ChatGPT digunakan untuk memeriksa pembayaran mana yang sudah berada dalam status sengketa
- Dari pembayaran penipuan yang berhasil, 15% berujung chargeback
- Rasio chargeback: {p:15}
- Diputuskan untuk menerima semua sengketa dan menanggung biaya £20 dari Stripe per kasus
- Dibuat restricted key dengan hak minimum di Stripe, lalu dengan bantuan ChatGPT dibuat skrip untuk menerima chargeback
- Setelah itu, skrip digunakan untuk mengambil pembayaran dalam daftar, melakukan refund untuk pembayaran yang belum menjadi sengketa, dan membatalkan langganan aktif pelanggan yang membuat pembayaran tersebut
- Bahkan untuk pembayaran yang sudah di-refund, tetap bisa timbul kerugian dari biaya Stripe dan biaya jaringan selama proses pembayaran sukses dan refund
- Skrip verifikasi terakhir digunakan untuk memastikan semua pembayaran sudah berada pada status sengketa yang diterima atau refund, dan bahwa pelanggan terkait tidak lagi memiliki langganan aktif
- ChatGPT juga menyarankan kehati-hatian saat menjalankan skrip dan pengujian pada sampel kecil, skrip ditinjau langsung, dan data pelanggan, ID, maupun API key tidak dibagikan
Beban yang ditinggalkan oleh praktik persetujuan bank-bank AS
- Dunia pembayaran online dinilai sangat tidak adil bagi pelaku usaha
- Peluang menang dalam sengketa rendah
- Menurut Stripe, aktivitas sengketa harus dijaga di bawah 0.75%
- Baik usaha menang maupun kalah, £20 dibayarkan untuk setiap sengketa
- Sementara itu, bank—terutama bank AS—masih bisa menyetujui pembayaran bahkan dalam kondisi berikut
- Nama lengkap salah
- CVV/CVC tidak valid
- Tanggal kedaluwarsa salah
- Alamat penagihan hanya diisi sebagian dan ZIP code juga salah
- Bahkan dalam kondisi seperti itu, autentikasi 3D Secure tidak selalu dipicu
- Tetap muncul pertanyaan mengapa pelaku usaha harus menanggung tanggung jawab atas pembayaran yang hanya memiliki nomor kartu yang benar
- Untuk prepaid card, kemungkinan pemeriksaan seperti ini mungkin terbatas, tetapi masih ada ruang untuk perbaikan
Aturan Stripe Radar yang benar-benar efektif
- Respons awal adalah mengaktifkan Stripe Radar
- Stripe Radar adalah solusi berbasis machine learning yang dirancang untuk memberi skor pada tiap pembayaran dan memblokir otomatis jika sebagian indikator tidak cocok
- Dalam kasus ini, penilaian default Radar tidak banyak membantu
- Sebagian besar pembayaran penipuan memiliki skor risiko rendah, di kisaran 0–5
- Sebaliknya, sebagian pelanggan normal diblokir setelah gagal dua kali dalam tantangan 3D Secure
- Pengalaman ini menimbulkan kekhawatiran untuk menyerahkan nasib pelanggan kepada machine learning
- Fitur yang lebih berguna adalah aturan kustom Stripe Radar
- Meminta tantangan 3D Secure
- Mengirim ke peninjauan manual
- Memblokir sepenuhnya
- Aturan Radar terlihat seperti pseudocode, tetapi dapat mengekspresikan logika yang cukup kompleks untuk mempersempit upaya pembayaran berbahaya
- Respons yang paling berguna adalah menetapkan batas yang masuk akal untuk jumlah kegagalan pembayaran yang dimungkinkan per pelanggan selama 1 jam, 1 hari, dan 1 minggu
- Menambahkan CAPTCHA, memantau tingkat kegagalan, dan berbagi aturan Radar kustom tetap menjadi respons realistis sampai bank memikul tanggung jawab lebih besar atas persetujuan pembayaran
Pada akhirnya biayanya dibebankan ke pelaku usaha dan pelanggan
- Biaya aktivitas penipuan ditanggung oleh pelaku usaha di seluruh dunia, mulai dari biaya pemroses pembayaran, denda chargeback, biaya engineering, hingga risiko dikeluarkan dari platform
- Pengenaan biaya chargeback £20 oleh Stripe kepada pelaku usaha juga dipandang sebagai contoh perlakuan yang tidak adil
- Biaya ini pada akhirnya dibebankan kembali kepada pelanggan dalam bentuk harga yang lebih tinggi
- Jaringan pembayaran yang diandalkan setiap hari sangat mudah disalahgunakan, dan keputusan akhir apakah kartu bisa ditagih bergantung pada kebijakan bank penerbit
- Selama bank tidak menanggung tanggung jawab lebih besar dalam persetujuan, hal paling mendekati yang bisa dilakukan pelaku usaha adalah memantau ketat tingkat kegagalan otorisasi, menambahkan CAPTCHA, dan menyempurnakan aturan Stripe Radar
1 komentar
Komentar Hacker News
Hal yang paling mengejutkan bukanlah fakta bahwa ada kelompok yang menyalahgunakan pembayaran Stripe, melainkan bahwa penulis meminta ChatGPT membuat skrip otomatisasi pemrosesan pembayaran
Yang jadi masalah terutama karena itu untuk menangani chargeback, dan dari konteks tulisannya penulis tampak tidak punya kemampuan teknis yang cukup untuk menulis atau memverifikasi skrip itu sendiri
Ia marah karena merasa dikhianati setelah percaya Stripe akan menangani pencegahan penipuan, tetapi kemudian kembali mempercayai secara membabi buta teknologi lain yang tidak ia pahami
Masalahnya bukan hanya Stripe, melainkan sikap menyerahkan kepercayaan ke sembarang pihak lalu berharap semuanya berjalan baik
Penulis bukan menyerahkan pemrosesan pembayaran, melainkan lebih seperti membuat skrip untuk menelusuri chargeback akun-akun tersebut dan pada dasarnya menekan tombol “terima”
Saya juga tidak tahu dari mana penilaian bahwa kemampuan teknisnya kurang, dan di tulisannya ia juga mengatakan “saya meninjau semua skrip dengan cermat dan tidak membagikan data pelanggan, ID, atau API key”
Dalam proses itu, ia hanya menghemat waktu dengan membuat skrip menggunakan ChatGPT
Entah ia nonteknis atau sekadar ingin menghemat waktu, tetapi jujur saja eksekusi seperti ini layak dipuji
Skrip-skrip ini bukan menentukan hidup-mati atau mengambil keputusan inti bisnis, melainkan alat yang menyaring data dalam jumlah besar dan dengan cepat menghasilkan hasil yang bisa diperiksa secara manual
Justru ini tampak seperti salah satu contoh ChatGPT yang paling berguna. Ini adalah alat pengungkit kemampuan, ketika founder yang kekurangan waktu punya tujuan spesifik dan memperoleh keahlian sesaat yang dibutuhkan untuk membuat skrip
Dulu, untuk mendapatkan hasil yang sama, orang harus mencari vendor, merekrut, dan menjelaskan kebutuhan selama berminggu-minggu; sekarang bisa dibuat nyaris gratis dan seketika
Saya paham reaksi refleks untuk menyebut ini “mengejutkan” atau tidak bertanggung jawab, tetapi rasanya cukup seperti reaksi “anak zaman sekarang”
Jika ini masa depan, menurut saya developer sebaiknya mendukung makin mandirinya orang nonteknis, dan memikirkan cara memperbaiki proses founder meminta ChatGPT menulis skrip dengan baik
Sulit mengatakan saya kurang keahlian teknis di bidang ini; saya hanya berusaha menggunakan waktu seefisien mungkin
Penulis sudah menjawab bahwa ia meninjau skripnya dan tidak mengunggah data sensitif, jadi tidak ada lagi yang perlu ditambahkan soal itu
Banyak orang memakai ChatGPT secara efektif tetapi tidak mempercayai hasilnya begitu saja. Bagi saya, ChatGPT adalah titik awal, bukan keluaran akhir
Tidak semua orang sebodoh pengacara yang menempelkan kutipan preseden hasil halusinasi ke berkas hukum tanpa verifikasi
Saya sudah membaca banyak tulisan serupa, tetapi sulit mengingat kasus ketika tulisannya bukan meta tentang coding atau debugging itu sendiri, lalu penulis tiba-tiba mengatakan ia bergantung pada Stack Overflow untuk coding
Jika Anda perusahaan asing yang menerima pembayaran di AS, hal seperti ini harus dianggap sebagai biaya operasional
Penipuan kartu kredit di AS sudah disosialisasikan. Konsumen akhir tidak menanggung tanggung jawab, jadi mereka tidak merasa perlu memakai chip dan PIN, autentikasi dua faktor, atau 3D Secure
Jika melihat transaksi mencurigakan, mereka cukup menekan satu tombol di aplikasi bank dan dalam hitungan menit pembayaran dibatalkan
Bank dan pemroses pembayaran juga punya insentif untuk meloloskan transaksi secepat dan semudah mungkin agar orang lebih sering menggunakannya
Seperti kata penulis, meski tanggal kedaluwarsa, alamat penagihan, atau kode pos tidak cocok, pembayaran biasanya tetap berhasil
Kekurangannya, semua tanggung jawab terdorong ke pelaku usaha, dan pelaku usaha mau tidak mau menaikkan harga untuk semua orang demi menutupnya
Denmark juga punya perlindungan konsumen yang sama, kemungkinan chargeback, dan jaminan pemerintah agar konsumen tidak kehilangan uang meskipun rekening banknya dibobol
Namun pada saat pembelian tetap ada perlindungan kuat seperti chip dan PIN wajib serta 3D Secure
Saya tidak melihat ada alasan rasional kenapa AS tidak punya keamanan kartu yang lebih baik. Sepertinya mereka memang tidak menginginkannya
Di AS biasanya sekitar 2% dari nilai transaksi, sedangkan di UE dibatasi maksimal 0,3%
Bahkan angka itu pun masih terasa besar jika melihat besarnya uang yang dipindahkan
Biaya ini pada akhirnya juga disosialisasikan dan dibebankan ke konsumen, bahkan orang yang membayar tunai ikut menanggungnya lewat harga yang lebih tinggi
Sebagai catatan, dalam 3D Secure, menurut syarat beberapa bank, pemilik kartu bisa bertanggung jawab atas transaksi penipuan
Jika autentikasi dua faktornya via ponsel, mencuri ponsel dan dompet sekaligus saja sudah cukup; saya pernah melihat berita tentang orang yang benar-benar kehilangan ribuan dolar
Mereka hanya melihat imbalan 1–2 sen per dolar, paling banyak sekitar 5 sen, dalam bentuk “poin”, dan karena 1 sen ditampilkan seperti 100 poin, kelihatannya menarik
Yang tidak terlihat adalah kenaikan 3–5% atau lebih pada harga barang secara umum, chargeback dan biaya pemrosesan, transaksi penipuan, keamanan yang lemah, toko yang masih menerima pita magnetik, dan banyak sekali perantara
Biaya bank, biaya penerbit kartu, biaya jaringan, biaya kartu premium terus menumpuk
Ini kekacauan total dan saya benar-benar membencinya
Saya berharap FedNow mengubah keadaan. Perantara yang menyedot uang orang harus disingkirkan, begitu juga parasit dan pemborosan
Saya mengelola dua organisasi tempat saya berada selama dua tahun terakhir, dan keduanya diserang bot verifikasi kartu kredit otomatis yang memakai kartu bank Prancis, dengan banyak kartu yang lolos
Tentu saja, kedua organisasi itu punya kisah mengabaikan peringatan saya sebelumnya untuk memperkuat situs pembayaran, dan salah satunya bahkan masih memakai Magento 1
Ini memang anekdot saja, tetapi masalah sebenarnya adalah kartu kredit, seperti ACH, merupakan peninggalan yang ditambal dengan solusi sementara, dan tidak ada yang benar-benar mau memperbaikinya secara bermakna
Kartu kredit diciptakan di AS, sehingga teknologinya sudah tua dan peningkatannya memakan waktu lama
Untuk pembayaran manual, UPI India tampak cukup bagus. Saya dengar caranya pelanggan menyetujui setiap pembayaran di ponsel sebelum pembayaran diproses
Terkait biaya chargeback, Visa beberapa tahun lalu mengakuisisi perusahaan bernama Verifi
Mereka punya produk baru bernama Rapid Dispute Resolution dan Order Insight
RDR memungkinkan pengembalian dana otomatis sebelum transaksi berubah menjadi chargeback, dan Visa mengambil biaya 4 dolar. Dengan asumsi kode MCC-nya bukan berisiko tinggi
Order Insight memungkinkan data tertentu segera diberikan untuk pembayaran yang dipermasalahkan, dan jika pelanggan punya riwayat pernah membayar 3 kali sebelumnya, chargeback tidak bisa diterbitkan
Dalam bisnis kami, ini keputusan yang sangat mudah berdasarkan tingkat kemenangan, nilai pesanan rata-rata, dan biaya chargeback
Sekarang kami juga tidak perlu terus mengkhawatirkan aturan chargeback 1% dari Visa atau bank merchant
Ini hanya berlaku untuk pembayaran Visa, tetapi mencakup sekitar 50% dari total volume transaksi
Terakhir, Visa pada dasarnya merebut sumber pendapatan besar milik pemroses pembayaran. Jika pemrosesnya TSYS, mereka akan mencoba memungut 10 dolar sebagai biaya RDR
Saya pernah dengar Ethoca; SEO mereka benar-benar bagus. Kelihatannya cukup mirip dengan Verifi
Saya tidak mengerti mengapa AS tampak begitu tertinggal di sisi perbankan
Inggris sudah menerapkan chip dan PIN sejak 2004 dan mewajibkannya sejak 2006, sementara AS baru menyusul kira-kira 10 tahun kemudian
Faster Payments menyediakan transfer instan gratis antar sebagian besar rekening bank. Menerima transfer dari pelanggan AS selalu seperti mimpi buruk, bahkan jika punya akun Wise AS
Sejak UE memperkenalkan autentikasi pelanggan yang kuat, sebagian besar pembayaran baru harus disetujui lewat aplikasi mobile banking atau sarana autentikasi dua faktor lainnya
Bahkan sebelumnya pun setidaknya kode pos dan CVV harus cocok
Langkah-langkah seperti ini terlihat seperti cara bank mengalihkan tanggung jawab penipuan kepada pelanggan, tetapi bagaimanapun juga kerugiannya tetap jatuh ke pelanggan
Dalam budaya yang secara luas menerima penipuan kartu, harga akan naik untuk menutupi biaya itu
Alih-alih membayar langsung dengan terminal di meja, kita harus menyerahkan kartu kepada pelayan dan menunggu mereka memprosesnya secara manual di suatu tempat
Mungkin dalam beberapa tahun terakhir sudah membaik, tetapi di Kanada cara seperti itu tidak dipakai lagi sejak awal 2000-an
Hasilnya, mereka bisa melayani Y% lebih banyak pelanggan, dan jika Y lebih besar dari X, dalam jangka panjang mereka bisa meraih laba lebih besar
Di AS, berkat skalanya yang sangat besar, cara ini berhasil untuk banyak bisnis
Misalnya, pada jam makan siang tersibuk, dari sisi margin McDonald's kemungkinan lebih baik memproses pembayaran dengan cepat daripada menghabiskan 1 detik untuk memastikan tidak ada penipuan
Ini mungkin tidak berlaku di Eropa, tetapi menurut saya ketika menganalisis biaya sebenarnya, dimensi kecepatan dan skala transaksi sering terlewat
Begitu keseimbangan antara penipuan dan laba menjadi merugikan perusahaan, mekanisme utama pencegahan penipuan di AS hampir pasti akan langsung dinyalakan
Ada ribuan bank lokal kecil di 50 negara bagian, dan masing-masing negara bagian juga cukup independen
Dalam lingkungan seperti ini, menerapkan teknologi baru berskala besar jauh lebih sulit
Chip dan PIN tidak berfungsi untuk pembayaran internet
Transfer bank tidak cocok secara internasional
Verifikasi alamat dan CVV mudah diaktifkan, tetapi bisa membuat lebih banyak transaksi sah ikut ditolak. Kadang biayanya lebih besar daripada risiko penipuan yang berhasil ditangkap
Tanggung jawab penipuan didorong ke merchant, bukan pelanggan
Tentu biaya penipuan merchant pada akhirnya tercermin dalam harga sehingga pelanggan membayar lebih, tetapi itu hanya dalam arti bahwa semua biaya penipuan pada akhirnya diteruskan ke konsumen
Kenyataannya tidak begitu; ini masalah kompleks, dan para pihak di kedua sisi Atlantik memainkan permainan tidak jujur untuk mengeksploitasi perubahan
Selain itu, peran-peran yang terkait juga diabaikan
Orang berusia pertengahan 20-an dengan pekerjaan stabil, karena berbagai alasan, menjadi bagian yang semakin kecil dalam sistem nyata
Ada juga orang yang melihat pekerja usia 20-an di UE dan wilayah lain sedang dieksploitasi dan kehilangan hak
Server perusahaan lama tempat saya bekerja pernah diretas, dan API key-nya dicuri untuk melakukan carding dari server itu
PayPal mengatakan kami harus membayar biaya 100 ribu dolar
Kami adalah tempat yang biasanya hanya memproses biaya pendaftaran kursus maksimal 5 kali sehari, sekitar 4.500 dolar per transaksi
Peretas menjalankan permintaan otorisasi 1 dolar setiap detik terhadap nomor kartu kredit acak
Pada akhirnya kami tidak perlu membayar biaya carding itu, tetapi mereka tidak peduli
Mereka tidak peduli karena mereka menghasilkan uang dari penipuan
Dalam pengaturan kami, nilai pesanan hanya diizinkan antara 2.500 sampai 6.000 dolar, tetapi ternyata permintaan otorisasi tidak mereka periksa
Benar-benar gila
Itu sekitar tahun 2010, dan saat itu Stripe belum bisa digunakan di Kanada
Pencegahan penipuan Stripe buruk sekali, dan itu disengaja
Mereka secara terang-terangan melemparkan biaya manajemen risiko kepada pelanggan. Sampai terasa tidak senonoh
Saya bekerja di bidang pencegahan penipuan kartu kredit, dan meski saya sendiri bukan yang sangat hebat dalam pekerjaan itu, tim kami yang berisi 3,5 orang dengan mudah membuat dan memelihara sistem untuk mencegah serangan carding seperti ini
Cara utama pelaku bisnis mencegah serangan carding adalah membuat target mereka sedikit lebih merepotkan daripada target berikutnya
Menurut saya Stripe tampaknya merasa tidak masalah tetap menjadi jaringan besar yang paling mudah diserang, karena rasa sakit dan biayanya bisa mereka lemparkan ke pengguna
Stripe bisa dengan mudah mencegah kerusakan seperti ini dengan biaya yang sangat kecil
Mereka memilih membiarkan pengguna menderita demi menghemat beberapa receh
Stripe Taxes dan konversi mata uang mereka yang buruk juga strategi yang sama
Awalnya mereka tidak menyediakan layanan dengan benar, lalu pada akhirnya kita sadar bahwa biaya transaksi Stripe naik sampai persentase dua digit dari total harga
Saya Edwin dari Stripe. Saya ingin menambahkan bahwa tulisan ini adalah salinan dari artikel lama sebulan lalu (https://piotrmierzejewski.com/p/card-networks-exploitation)
Sejak itu, kami sudah memperbaiki sebagian besar masalah ini. Card testing seperti ini sudah berkurang, dan sekarang Radar seharusnya bisa menangkap serangan semacam ini
Soal chargeback, kami juga membenci chargeback dan ingin menguranginya sebisa mungkin
Sebenarnya kami sedang mengerjakan beberapa hal yang akan membantu di sini
Bank mengenakan biaya chargeback dengan nominal yang beragam, dan rata-ratanya ditampilkan sebagai biaya 20 dolar
Itu bukan biaya khusus Stripe, dan kami tidak mengambil keuntungan dari chargeback
Kami baru saja menyelesaikan rencana perusahaan untuk sisa tahun ini, dan mengurangi jenis penipuan seperti ini adalah prioritas utama
Jika Anda merasa mengalami hal serupa, silakan kirim email ke edwin@stripe.com
Serius, ini saya katakan sebagai pelanggan kalian
Tahun lalu saya bekerja di sebuah perusahaan e-commerce dalam peran yang menangani sistem, CI, infrastruktur, dan perangkat lunak
Hal seperti ini benar-benar umum, dan setiap minggu saya menghabiskan setidaknya satu hari untuk mengidentifikasi dan memblokir pola baru
Para penyerang memvalidasi kartu kredit lewat sistem kami
Pada akhirnya, kami memblokir hampir semua serangan di sisi keranjang belanja dan pembayaran, tetapi request tetap terus masuk
Belakangan, saat menelusuri log karena masalah PHP yang tidak terkait, seorang software engineer mengatakan bahwa ada trafik sangat besar ke halaman yang dipakai untuk menyimpan metode pembayaran nanti
Platform itu mengirim pembayaran 1 dolar untuk memastikan kartunya asli, dan para penyerang memanfaatkannya untuk terus mencoba kartu
Pencuri kartu kredit benar-benar banyak akal
Saya pernah mendapat saran bahwa untuk mendeteksi penipuan dengan Stripe, kalau Anda serius ingin menguranginya dan volume transaksi cukup besar, sebaiknya latih model deteksi penipuan sendiri
Bahkan classifier logistik sederhana pun bisa berhasil
Stripe Radar tidak disesuaikan dengan detail spesifik tiap bisnis, dan model sendiri bisa mempertimbangkan sinyal tambahan seperti produk apa yang dibeli, berapa lama dari membuka situs sampai melakukan pembelian, dan sebagainya
Aturan kustom Radar juga sampai batas tertentu bisa berjalan
Saya paham banyak pelaku bisnis indie tidak punya sumber daya atau kemauan untuk melakukan ini
Ada juga solusi yang bisa dibeli, tetapi mahal dan umumnya ditujukan untuk merchant dengan volume transaksi besar
Mungkin suatu saat Stripe akan merilis produk Radar yang bisa di-fine-tune
Ini satu lagi alasan mengapa industri kartu kredit harus lenyap
Protokol keamanannya tidak ada atau belum di-upgrade sejak awal abad ke-21, dan penyalahgunaan oleh para perantara juga tak terhitung jumlahnya
Biaya untuk menangani kerepotan seperti ini dialihkan ke merchant dalam bentuk biaya transaksi dan biaya chargeback yang lebih tinggi, dan pada akhirnya dibebankan ke konsumen
Jangan lupa juga bahwa industri kartu kredit mendorong kebiasaan konsumsi terburuk pada konsumen, dan melanggengkan siklus perbudakan utang yang tak berujung