- ผู้เขียนพบการโจมตีแบบ card testing ต่อบัญชี Stripe ของบริษัท โดยมีการเรียกเก็บเงินที่ล้มเหลวจากผู้ใช้ที่ใช้ชื่อสร้างอัตโนมัติและโดเมนอีเมลแปลก ๆ
- มีผู้รายงานปัญหาคล้ายกันบน Twitter ซึ่งบ่งชี้ว่านี่เป็นปัญหาที่พบได้ทั่วไป
- ผู้เขียนได้นำ Stripe Radar และกฎชั่วคราวมาใช้เพื่อบล็อกธุรกรรมหลังจากล้มเหลวครบตามจำนวนที่กำหนด
- ผู้โจมตีทดสอบบัตรได้สูงสุดถึงสี่ใบต่อนาทีจากสหรัฐฯ โดยส่วนใหญ่มาจากธนาคารเดียวกันและแหล่งเงินทุนเดียวกัน
- ผู้เขียนพบช่อง Telegram ที่แชร์พารามิเตอร์บัตรเครดิตและเครื่องมือสำหรับสร้างหมายเลขบัตรเครดิตที่ใช้งานได้
- คาดว่าผู้โจมตีเป็นส่วนหนึ่งของเครือข่ายใต้ดินที่เริ่มการโจมตีแบบแมนนวลจากเซิร์ฟเวอร์ Discord ส่วนตัวหรือช่อง Telegram
- มีเครื่องมือออนไลน์ที่ทำให้กระบวนการรันรายการบัตรที่สร้างอัตโนมัติผ่าน Stripe Checkout เป็นแบบอัตโนมัติ
- ผู้เขียนต้องจัดการผลกระทบหลังการโจมตี รวมถึงการคืนเงิน การยกเลิกการเรียกเก็บเงิน และการยอมรับการโต้แย้งรายการเรียกเก็บเงิน
- ธนาคารในสหรัฐฯ ใช้การตรวจสอบการจัดการอย่างยืดหยุ่นจนยอมให้ธุรกรรมผ่านได้แม้ข้อมูลจะไม่ถูกต้อง
- วิธีป้องกันรวมถึงการใช้กฎแบบกำหนดเองของ Stripe Radar และการตั้งข้อจำกัดต่อความพยายามชำระเงินที่ล้มเหลว
- ต้นทุนของการฉ้อโกงเป็นภาระของธุรกิจ และสุดท้ายจะถูกผลักไปยังลูกค้า
- เครือข่ายการชำระเงินสามารถถูกหาประโยชน์ได้ และจนกว่าธนาคารจะรับผิดชอบมากขึ้น ธุรกิจควรติดตามอัตราการชำระเงินที่ล้มเหลวและแบ่งปันกลยุทธ์การป้องกัน
1 ความคิดเห็น
ความเห็นจาก Hacker News