- 筆者は会社のStripeアカウントに対するカードテスト攻撃を発見し、自動生成された名前と奇妙なメールドメインを持つユーザーからの決済失敗が発生していました。
- 同様の問題がTwitterで他の人々によって報告されており、一般的な問題であることが示されていました。
- 筆者は一定回数の失敗後に取引をブロックするため、Stripe Radarと一時的なルールを導入しました。
- 攻撃者たちは主に同じ銀行、同じ資金源、そして米国から毎分最大4枚のカードをテストしていました。
- 筆者は有効なクレジットカード番号を生成するためのクレジットカードのパラメータやツールを共有するTelegramチャンネルを発見しました。
- 攻撃者たちは、個人のDiscordサーバーやTelegramチャンネルで手動攻撃を開始する地下ネットワークの一部だと推定されます。
- Stripe Checkoutを通じて自動生成されたカード一覧を実行するプロセスを自動化するオンラインツールがあります。
- 筆者は攻撃の後始末を行い、返金やチャージ取り消しを実施し、チャージバックを受け入れなければなりませんでした。
- 米国の銀行は、誤った情報であっても取引を許可する管理チェックを柔軟に適用しています。
- 予防方法には、Stripe Radarのカスタムルールと、失敗した決済試行に対する制限設定が含まれます。
- 不正行為のコストは企業が負担し、最終的には顧客に転嫁されます。
- 決済ネットワークは悪用され得るものであり、銀行がより多くの責任を負うようになるまで、企業は請求失敗率を監視し、予防戦略を共有する必要があります.
1件のコメント
Hacker Newsの意見