Le Frodi e-commerce: come proteggersi.

Qualche settimana fa, WPtavern (sito dedicato a tutto ciò che riguarda WordPress) ha evidenziato il recente picco di frodi nei pagamenti tramite Stripe (una delle piattaforme più note di pagamenti) sui siti Web WooCommerce. 

Sebbene questo problema in sé non sia nuovo diversi sviluppatori hanno notato, recentemente, che i siti Web dei loro clienti sono stati interessati, in modo sempre più frequente, da incidenti di questo tipo.

E non sono i soli.

Secondo i dati analizzati da Statista (sito web tedesco per la statistica e studi di settore da oltre 22500 fonti su oltre 60000 argomenti nel principale database statistico di Internet), le perdite nell’ e-commerce dovute a frodi nei pagamenti online sono raddoppiate a livello globale da 20 miliardi di dollari USA nel 2021 a 41 miliardi di dollari USA nel 2022.

Sulla base di queste tendenze, le proiezioni attuali stimano, le perdite dei negozi e-commerce, per le frodi e-commerce, in ben 48 miliardi di dollari USA nel 2023.

Cosa è la frode

In poche parole, la “frode” viene generalmente identificata, in sostanza, semplicemente nel furto di ciò che non ti appartiene.

Tuttavia, le frodi e-commerce nei pagamenti online sono tutt’altro che un argomento semplice.

Cos’è la frode nei pagamenti?

Quando un pagamento viene effettuato tramite una transazione non autorizzata, cioè senza l’approvazione del proprietario della carta o del conto bancario, si parla, semplicemente, di frode nei pagamenti.

Tipi comuni di frode nei pagamenti

Esistono vari tipi di frodi sui pagamenti che vengono eseguiti in modo così efficente che ci vuole un po’ di tempo prima che le vittime si rendano conto di essere state ingannate. Vediamone alcune.

Test delle carte

Un truffatore con i dettagli della carta di debito o di credito rubati effettua alcuni piccoli acquisti per confermare che i dettagli della carta sono validi. Questo è generalmente noto come test delle carte o cracking delle carte.

I truffatori cercano continuamente siti Web che consentono di pagare qualsiasi importo (paga quanto vuoi) o siti Web senza scopo di lucro che accettano piccole somme come donazione. 

Molto più frequentemente cercano un qualsiasi sito Web di e-commerce ed in modo casuale acquistano articoli economici, per piccoli importi, per confermare che la carta rubata è ancora attiva.

Se il truffatore è tecnicamente abbastanza abile da utilizzare script automatici o bot, può portare a un numero enorme di transazioni in un poco tempo. Il più delle volte, è già troppo tardi quando il commerciante interessato e l’effettivo proprietario della carta, notano queste transazioni anomale e cercano di fermarle.

Frode da triangolazione

Questo tipo di frode può essere un vero incubo, perché è davvero difficile da rintracciare. Ecco cosa succede di solito:

• Un truffatore imposta un negozio fittizio su un mercato (ad esempio e-Bay o Amazon) completo di prodotti.
• Un vero cliente visita il negozio del truffatore e acquista un prodotto.
• Il truffatore utilizza quindi la sua carta di credito rubata ed effettua un ordine ad un commerciante legittimo per un prodotto equivalente a quello falso, con l’indirizzo di spedizione del cliente.
• Ora, il cliente non si accorge di nulla di anomalo, perché riceve esattamente ciò che ha ordinato, utilizzando i dati autentici della sua carta.
• Quando il proprietario della carta rubata vede il secondo addebito (quello fatto dal negoziante vero che gli ha venduto la merce tramite l’acquisto del truffatore) sul suo conto e solleva una controversia sul pagamento (trovando due addebiti per lo stesso aquisto), è l’ignaro commerciante che deve pagare la penale per il chargeback. Con la merce già consegnata a qualcuno che ha effettivamente pagato il prodotto (anche se al truffatore), il commerciante non ha modo di recuperare l’articolo consegnato o il pagamento che gli è dovuto. Inoltre finisce spesso per pagare anche la penale per il chargeback.
• Se il vero commerciante non è in grado di impedire tali transazioni fraudolente, le perdite possono essere abbastanza considerevoli.

Frode amichevole

La frode amichevole (nota anche come storno di addebito falso) si verifica quando un cliente acquista qualcosa utilizzando la propria carta valida da un rivenditore online, ma in seguito presenta uno storno di addebito alla propria banca, chiedendo un rimborso. 

Questo accade spesso quando viene chiesto un rimborso dall’acquirente (ad esempio per merce ritenuta non idonea) senza un contatto con il commerciante per risolvere amichevolmente una controversia.

Rimborsi alternativi

Questo è quando un imbroglione paga un sito web (di solito un non-profit o un sito web che accetta donazioni pay-what-you-want) una grossa somma, usando una carta rubata. Quindi contattano il sito Web e affermano di aver trasferito più di quanto intendeva, chiedendo un rimborso parziale su una carta alternativa (quella del truffatore), affermando, nuovamente falsamente, che la carta utilizzata per il pagamento originale sia, per esempio, scaduta o disattivata.

Prevenire l’hacking e le frodi e-commerce nei pagamenti

Ad essere onesti, le piattaforme di pagamento fanno del loro meglio per tenere fuori i  malintenzionati, ma, questo, semplicemente,  non è sufficiente.

In effetti, Stripe ha pubblicato una nota che descrive in dettaglio la sua risposta a questa recente ondata di attacchi ai test delle carte. Sebbene questo ha contribuito a ridurre le frodi, è ancora solo una piccola risposta, se si considera l’entità dei tentativi fraudolenti che hanno successo.

Quindi è meglio assumersi la responsabilità di proteggere il proprio sito Web e di fare tutto il possibile per difendere il proprio e-commerce.

Possiamo suggerire, ad esempio,  5 semplici modi per farlo!

1. Applicare un processo di accesso sicuro

Un sito Web può essere sicuro solo quanto la sua password non è debole. Applicare password complesse è il minimo che puoi fare per impedire agli hacker di accedere al tuo sito web. Tuttavia, se la password è troppo complessa da ricordare, si potrebbero correre il rischio di scriverla in un luogo non sicuro. Se è abbastanza facile da ricordare, è probabile che sia anche facile da essere hackerata.

Invece di fare affidamento solo su una password complessa, si consiglia vivamente di optare per un ulteriore livello di sicurezza, aggiungendo un ulteriore passaggio al processo di accesso. Alcuni dei modi per farlo –

• Applicare l’autenticazione a due fattori utilizzando un plug-in di WordPress
• Abilita le passkey biometriche per evitare del tutto le password

Ovviamente se la gestione delle password di accesso non vengano eseguite e controllate tramite processi professionali da parte dell’agenzia che si occupa della manutenzione e della sicurezza.

2. Monitorare regolarmente i pagamenti

Fai attenzione a eventuali modelli di clienti insoliti, ID e-mail strani, indirizzo di fatturazione non corrispondente della posizione dell’indirizzo IP, ecc. Puo essere fatto manualmente o utilizzando un plug-in di pagamento WooCommerce come ad esempio:

SyncTrack Auto Add Paypal

Questo è un plugin gratuito e relativamente meno conosciuto, che è stato rilasciato nel maggio 2022. Ciò che mira a fare è geniale: si integra con Paypal e trasmette le informazioni di tracciamento dei pagamenti, in modo da proteggerti da controversie e storni di addebito relativi a ordini fraudolenti.
Tuttavia, questo plugin non è stato aggiornato dal suo rilascio e testato con le recenti versioni di WordPress, quindi dovrebbe essere usato con cautela.

WooCommerce Eye4Fraud

Garantire la protezione del chargeback ottenendo il rimborso totale, per esempio su un account approvato da Eye4Fraud. Ovviamente non c’è niente di meglio di questo. In questo caso, peò, necessita un account Eye4Fraud per farlo funzionare che addebita, sul vostro conto, una percentuale dell’importo dell’ordine come commissione. Non ci sono informazioni sui prezzi sul loro sito web, bisogna contattarli per un preventivo personalizzato.

YITH WooCommerce Antifrode

Questo plugin rileva automaticamente comportamenti sospetti durante il processo di pagamento e blocca gli ordini. Ad esempio, eventuali mancate corrispondenze di parametri come indirizzo IP, posizione geografica ecc. Consente inoltre di configurare regole per il blocco degli ordini in base a condizioni quali soglia di rischio, e-mail da domini sospetti, importi degli ordini insolitamente elevati (è possibile specificare l’importo) e altro ancora.

Woocommerce Antifrode di OPMC 

Questo popolare plug-in WordPress antifrode ti consente di impostare varie regole e avvisi in base al comportamento previsto del cliente. Eventuali ordini non conformi a questo vengono evidenziati, in modo da poterli esaminare più da vicino.

Questo plugin inoltre:

• Valuta il rischio associato a ciascun pagamento e ti avvisa in caso di pagamenti ad alto rischio
• Fornisce protezione contro gli attacchi multipli utilizzando reCAPTCHA
• Si integra con QuickEmailVerification per convalidare gli indirizzi e-mail

3. Disabilitare gli ordini degli ospiti (senza una registrazione cliente)

Costringere gli utenti a registrarsi sul tuo sito Web prima di effettuare un ordine. Puoi anche aggiungere un ulteriore controllo costringendo i nuovi utenti a convalidare il loro indirizzo email o aggiungendo un captcha nel modulo di registrazione (o entrambi).

E se non è stato fatto, prendere in considerazione l’aggiunta di un captcha anche alla pagina di pagamento. Anche se ciò potrebbe infastidire i veri clienti che desiderano una operazione di check-out rapida e fluida, potrebbe comunque valerne la pena.

Tuttavia, ciò potrebbe aiutare a ridurre le possibilità di attacchi di test delle carte in cui vengono effettuati più ordini per piccoli importi utilizzando ID di posta casuali inesistenti, da parte di bot.

4. Abilitare la limitazione della velocità

Il plug-in WooCommerce Antifrode di YITH consente, per esempio, di controllare il numero di ordini per utente entro un periodo di tempo specificato. Ciò impedisce ai truffatori di effettuare automaticamente un numero elevato di ordini utilizzando lo stesso ID cliente. Non che questo lo impedisca del tutto ovviamente, ma certamente è un piccolo aiuto per limitare le frodi e-commerce.

5. Sfruttare ciò che si ha già

Fare di tutto per sfruttare quelle risorse che potrebbero essere già utilizzare, ad esempio il proprio hosting. Citiamo ad esempio i servizi offerti da Cloudflare (molti sono i fornitori di sicurezza similari).

Per esempio:

• Si può abilitare la modalità Bot Fight di Cloudflare in modo che ogni volta che vengono rilevati i tipici schemi di traffico dei bot, questi vengano bloccati da Cloudflare.
• Verificare anche con il proprio provider di hosting se fornisce strumenti o firewall che potrebbero aiutare a gestire questo genere di tentativi.

Inoltre, se si sta già utilizzando il plug-in WooCommerce Payments , si può evidenziare il livello di rischio valutato per ogni transazione, come “Normale” o “Elevato”, in base alla sua integrazione con lo strumento di prevenzione delle frodi RADAR di Stripe.

Purtroppo, anche usando ogni mezzo utile per prevenire le frodi e-commerce, è possibile che si possa comunque ancora essere vittime di ordini fraudolenti.

Il modo migliore per ridurre al minimo i danni è stare all’erta e reagire rapidamente a eventuali schemi di acquisto anomali sul proprio sito web.

Se si riscontrano più transazioni per piccoli importi in rapida successione, si dovrebbero controllare i dettagli e bloccarli immediatamente fino a quando non sia stato eseguito un attento esame delle transazioni.

Ovviamente, il miglior consiglio è: farsi consigliare da un esperto. L’eventuale agenzia che segue il sito o gli sviluppatori che se ne occupano.

La sicurezza totale non esiste, ma certamente l’assistenza fornita dalle aziende che si occupano di siti web troveranno il modo di proteggere accuratamente ogni transazione dalle frodi e-commerce consigliando su ciò che è più adatto al prodotto venduto e al pubblico di riferimento.

Ascoltare i loro consigli e non sottovalutare i possibili danni è certamente il primo passo. Dopo sarà troppo tardi.

Stare attenti equivale a stare al sicuro!