3 puntos por GN⁺ 2023-08-03 | 1 comentarios | Compartir por WhatsApp
  • Un servicio SaaS detectó un fuerte aumento en la tasa de rechazos de autorización de tarjetas y descubrió un ataque de card testing con nombres generados automáticamente y dominios de correo extraños
  • El ataque se parecía más a una operación manual o con automatización ligera, de hasta 4 tarjetas por minuto, que a tráfico masivo de bots, y las tarjetas compartían el mismo banco, la misma fuente de fondos y emisión en EE. UU.
  • En canales públicos de Telegram y herramientas en línea se compartían BIN, CVC, fecha de vencimiento, métodos para generar números de tarjeta con alta probabilidad de pasar en sitios web específicos y herramientas para automatizar Stripe Checkout
  • Entre los pagos fraudulentos que sí tuvieron éxito, 15% terminó en chargeback, y para aceptar disputas, reembolsar, cancelar suscripciones y verificar se usaron scripts en Python creados con ChatGPT
  • La puntuación de riesgo predeterminada de Stripe Radar fue baja en la mayoría de los casos, entre 0 y 5, y en la práctica la defensa más útil fueron las reglas personalizadas de Radar para limitar la cantidad de fallos por hora

Detección del ataque de card testing y respuesta inicial

  • Hace unas semanas apareció una alerta indicando que la tasa de rechazos de autorización de tarjetas estaba más alta de lo normal
  • En el panel de Stripe se identificaron muchos pagos fallidos de usuarios con nombres que parecían generados automáticamente y dominios de correo extraños
  • El servicio lo interpretó como un ataque típico de card testing, activó Stripe Radar y agregó al backlog la tarea de incorporar CAPTCHA en el checkout
  • En fechas similares, Pieter Levels y Danny Postma también compartieron ataques parecidos en Twitter
    • Pieter Levels escribió que reembolsó y canceló a 240 clientes con el nombre Jake Smith provenientes de Philippines, y que los pagos de prueba de tarjetas sumaban $7,000
    • Danny Postma escribió que estaban ocurriendo pagos fraudulentos con el nombre jack smith y que Stripe necesitaba una solución rápida

Un patrón de ataque casi manual

  • Unas semanas después volvió a aparecer la alerta por rechazos de autorización y comenzaron a responder añadiendo reglas temporales de Stripe Radar
  • Al revisar el tráfico en detalle, vieron que los atacantes probaban hasta 4 tarjetas por minuto y que, la mayor parte del tiempo, la intensidad y la consistencia del ataque eran aún menores
  • Según la guía de prevención de card testing de Stripe, la implementación de ese servicio estaba relativamente bien protegida
    • El usuario debía iniciar sesión antes de abrir el checkout
    • Se usaba Payment Element y ya se aprovechaban algunas señales
    • Según la documentación de Stripe, el nivel de protección contra card testing debía estar cerca de excellent
  • Tras más investigación y revisión con colegas, concluyeron que ese tráfico se parecía más a un ataque manual o con automatización muy ligera

Parámetros de tarjetas y herramientas que circulan en canales públicos

  • La mayoría de las tarjetas usadas en el ataque compartían las mismas características
    • Todas habían sido emitidas por el mismo banco
    • Tenían la misma fuente de fondos
    • Todas habían sido emitidas en Estados Unidos
  • Los parámetros de las tarjetas eran demasiado parecidos, lo que generó dudas sobre si realmente se trataba de tarjetas filtradas desde un banco
  • En canales de acceso público encontraron BIN, CVC, fechas de vencimiento de tarjetas de crédito y enlaces a herramientas para generar números de tarjeta válidos a partir de esos datos
    • BIN significa Bank Identification Number, es decir, los primeros 6 a 8 dígitos del número de tarjeta
    • La fuente de fondos indica si la tarjeta es debit, credit o prepaid
  • En canales públicos de Telegram también había mensajes que explicaban cómo obtener ilegalmente Spotify Premium o YouTube Premium
  • Existía un ecosistema clandestino público donde se compartían parámetros de tarjetas con alta probabilidad de ser aprobadas en sitios específicos, normalmente servicios SaaS
  • También era muy probable que el ataque contra ese servicio hubiera comenzado en algún servidor privado de Discord o canal de Telegram, pero no pudieron identificar el origen exacto
  • En los canales públicos aparecían con frecuencia mensajes que avisaban que pasarían a modo privado unos días después, y parecía que buena parte de la actividad ocurría en espacios inaccesibles
  • También existían muchas herramientas en línea que tomaban listas de tarjetas generadas automáticamente y las ejecutaban contra sesiones arbitrarias de Stripe Checkout
    • Resultó inesperado que Stripe Checkout, aun siendo un sistema controlado de extremo a extremo por Stripe, también pudiera ser vulnerable a automatización
    • Parte del código de esas herramientas generaba direcciones inválidas aleatorias de Gmail

La limpieza posterior: disputas, reembolsos y cancelación de suscripciones

  • Algunos atacantes lograron completar pagos y comprar realmente el producto, lo que elevó el costo de la limpieza posterior
  • Para medir la magnitud, consultaron en su almacén de datos a los clientes con más de 5 pagos fallidos desde el 1 de mayo
  • Con ChatGPT generaron un script en Python para extraer los dominios de correo de esos clientes
  • A partir de la lista de dominios, consultaron la base de datos para obtener los pagos exitosos creados por clientes con correos del mismo dominio
  • Con otro script generado por ChatGPT verificaron qué pagos ya estaban en disputa
  • Entre los pagos fraudulentos exitosos, 15% terminó en chargeback
    • Tasa de chargeback: {p:15}
  • Decidieron aceptar todas las disputas y asumir la comisión de £20 de Stripe por cada caso
  • Crearon en Stripe una restricted key con privilegios mínimos y, con ayuda de ChatGPT, generaron un script para aceptar los chargebacks
  • Después usaron scripts para recuperar los pagos de la lista, reembolsar los que no estaban en disputa y cancelar las suscripciones activas de los clientes que habían hecho esos pagos
  • Incluso en pagos reembolsados podía haber pérdidas por comisiones de Stripe y de la red asociadas al pago exitoso y al proceso de reembolso
  • Con un último script de verificación comprobaron que todos los pagos estaban ya aceptados como disputa o reembolsados, y que esos clientes no conservaran suscripciones activas
  • ChatGPT recomendó tener cuidado al ejecutar los scripts y probar primero con muestras pequeñas; además, los scripts fueron revisados manualmente y no se compartieron datos de clientes, IDs ni claves API

La carga que dejan las prácticas de aprobación de bancos estadounidenses

  • Consideran que el mundo de los pagos en línea es profundamente injusto para los comercios
    • Hay pocas probabilidades de ganar una disputa
    • Según Stripe, la actividad de disputas debe mantenerse por debajo de 0.75%
    • El comercio debe pagar £20 por disputa, gane o pierda
  • Al mismo tiempo, los bancos —especialmente en Estados Unidos— pueden aprobar pagos incluso si se cumplen condiciones como estas
    • El nombre completo es incorrecto
    • El CVV/CVC no es válido
    • La fecha de vencimiento es incorrecta
    • La dirección de facturación solo está parcialmente informada y el ZIP code también es incorrecto
  • Incluso bajo esas condiciones, no siempre se activaba una autenticación 3D Secure
  • Queda la duda de por qué el comercio debe asumir la responsabilidad cuando lo único correcto es el número de tarjeta
  • En prepaid card estas verificaciones podrían tener limitaciones, pero aun así consideran que hay margen de mejora

Las reglas de Stripe Radar que sí funcionaron

  • La respuesta inicial fue activar Stripe Radar
  • Stripe Radar es una solución basada en machine learning que asigna una puntuación a cada pago y puede bloquearlo automáticamente si ciertas señales no coinciden
  • En este caso, la evaluación predeterminada de Radar no ayudó mucho
    • La mayoría de los pagos fraudulentos recibían puntuaciones de riesgo bajas, entre 0 y 5
    • En cambio, algunos clientes legítimos quedaron bloqueados después de fallar dos veces el desafío de 3D Secure
    • Esa experiencia generó preocupación sobre dejar el destino del cliente en manos de machine learning
  • La función más útil fueron las reglas personalizadas de Stripe Radar
    • Solicitar un desafío 3D Secure
    • Enviar a revisión manual
    • Bloquear por completo
  • Aunque las reglas de Radar parecen pseudocódigo, permiten expresar lógica bastante compleja para acotar intentos de pago maliciosos
  • La medida más útil fue imponer límites razonables a la cantidad de fallos de pago permitidos por cliente durante 1 hora, 1 día y 1 semana
  • Agregar CAPTCHA, monitorear la tasa de fallos y compartir reglas personalizadas de Radar siguen siendo respuestas realistas hasta que los bancos asuman más responsabilidad en las aprobaciones

El costo termina trasladándose a comercios y clientes

  • Las comisiones del procesador de pagos, las multas por chargeback, los costos de ingeniería y hasta el riesgo de expulsión de la plataforma hacen que el costo del fraude recaiga sobre comercios de todo el mundo
  • También consideran injusto que Stripe cobre una comisión de chargeback de £20 a los comercios
  • Al final, esos costos se trasladan a los clientes en forma de precios más altos
  • Las redes de pago de las que dependemos a diario son fáciles de explotar, y la decisión final sobre si una tarjeta puede ser cobrada queda a criterio del banco emisor
  • Mientras los bancos no asuman más responsabilidad en las aprobaciones, lo más cercano a una defensa posible para los comercios es vigilar de cerca la tasa de rechazos, agregar CAPTCHA y mejorar las reglas de Stripe Radar

1 comentarios

 
GN⁺ 2023-08-03
Opiniones de Hacker News
  • Lo más sorprendente no es tanto que exista un grupo que abuse de los pagos de Stripe, sino que el autor hizo que ChatGPT creara scripts para automatizar el procesamiento de pagos
    El problema, en especial, es que eran para gestionar contracargos, y por el contexto del texto parecía que el autor no tenía la capacidad técnica para escribir o verificar esos scripts por su cuenta
    Se indignó porque confió en que Stripe se encargaría de prevenir el fraude y sintió que esa confianza fue traicionada, pero luego vuelve a confiar ciegamente en otra tecnología que no entiende
    El problema no es solo Stripe, sino la actitud de depositar la confianza en cualquier lado y esperar que todo salga bien

    • Esto me parece una descripción equivocada
      El autor no delegó el procesamiento de pagos, sino que más bien creó un script para revisar los contracargos de esas cuentas y, en la práctica, presionar el botón de “aceptar”
      Tampoco sé de dónde sale la conclusión de que le faltan habilidades técnicas; en el artículo también dijo que “revisó cuidadosamente todos los scripts y no compartió datos de clientes, IDs ni claves de API”
    • Esta persona dirige un negocio rentable, crea valor para sus clientes, lanza funciones y publica las amenazas que mitigó y lo que aprendió
      En ese proceso, simplemente ahorró tiempo creando scripts con ChatGPT
      No sé si no es técnico o si solo quería ahorrar tiempo, pero sinceramente esa capacidad de ejecución debería ser elogiada
      Esos scripts no eran de vida o muerte ni tomaban decisiones centrales para el negocio; eran herramientas que filtraban datos masivos para producir rápidamente resultados que luego podían revisarse manualmente
      De hecho, me parece uno de los casos en los que ChatGPT resulta más útil: una herramienta para amplificar capacidades, donde un fundador con poco tiempo obtiene por un rato el conocimiento especializado que necesita para crear scripts con un objetivo concreto
      Antes, lograr el mismo resultado habría implicado buscar a alguien externo, contratarlo y explicarle todo durante semanas; ahora se puede hacer casi gratis y de inmediato
      Entiendo la reacción instintiva de verlo como algo “sorprendente” o irresponsable, pero me suena bastante a una reacción de “estos jóvenes de ahora”
      Si este es el futuro, creo que a los desarrolladores les conviene apoyar la creciente autosuficiencia de la gente no técnica y pensar cómo mejorar el proceso por el cual un fundador le pide buenos scripts a ChatGPT
    • Soy el autor del artículo. Antes de ejecutarlos, revisé y probé cuidadosamente los scripts de ChatGPT
      Difícilmente se puede decir que me falte experiencia técnica en esta área; simplemente intento usar mi tiempo con la máxima eficiencia posible
    • No sé por qué veo tan seguido este tipo de conjeturas sin fundamento
      El autor ya respondió que revisó los scripts y que no subió datos sensibles, así que no hay mucho más que agregar sobre ese punto
      Mucha gente usa ChatGPT de forma eficaz, pero no confía ciegamente en sus resultados. Para mí, ChatGPT es un punto de partida, no el producto final
      No todo el mundo es tan tonto como aquel abogado que copió en un escrito judicial citas de casos inventadas por alucinaciones sin verificarlas
    • Me pareció un poco raro que se mencionara ChatGPT. Se sintió casi como publicidad
      He leído muchos artículos similares, pero no recuerdo muchos casos en los que, sin que el texto fuera un metaartículo sobre programación o depuración, el autor de pronto dijera que programó apoyándose en Stack Overflow
  • Si eres una empresa extranjera que acepta pagos en Estados Unidos, esto simplemente debería asumirse como costo de hacer negocios
    El fraude con tarjetas de crédito en EE. UU. está socializado. Como el consumidor final no asume la responsabilidad, no se molesta en usar cosas como chip y PIN, autenticación de dos factores o 3D Secure
    Si detecta una transacción sospechosa, toca un botón en la app del banco y en cuestión de minutos el cargo se revierte
    Los bancos y procesadores de pago también tienen incentivos para que las transacciones pasen de la forma más rápida y sencilla posible, porque quieren que la gente use más el sistema
    Como dijo el autor, por lo general el pago se procesa aunque la fecha de vencimiento, la dirección de facturación o el código postal no coincidan
    La desventaja es que toda la responsabilidad se traslada al comercio, y el comercio no tiene más remedio que subirles los precios a todos para compensarlo

    • Esa relación de causa y efecto no me convence
      En Dinamarca también existen las mismas protecciones al consumidor, la posibilidad de contracargos y garantías del gobierno para que el consumidor no pierda dinero si le vacían la cuenta bancaria
      Y aun así, al momento de la compra hay protecciones fuertes como chip y PIN obligatorios y 3D Secure
      No creo que haya una razón racional para que EE. UU. no tenga mejor seguridad en tarjetas. Simplemente parece que no la quieren
    • A eso se suman las tarifas absurdas que las redes de tarjetas les cobran a los comercios
      En Estados Unidos suelen ser alrededor de 2% del monto de la transacción, mientras que en la UE están limitadas a un máximo de 0.3%
      Incluso eso parece mucho si se piensa en la escala del dinero que se mueve
      Este costo también termina socializándose y trasladándose al consumidor, y hasta quienes pagan en efectivo lo soportan mediante precios más altos
      Por cierto, con 3D Secure, según los términos de algunos bancos, el titular de la tarjeta puede ser responsable por cargos fraudulentos
      Si la autenticación de dos factores es por celular, basta con que te roben el teléfono y la billetera al mismo tiempo; de hecho, vi en las noticias casos de personas que perdieron miles de dólares
    • Los estadounidenses y canadienses están aislados del caos que ocurre detrás de escena para procesar una sola transacción
      Solo ven recompensas en forma de “puntos”, de 1 a 2 centavos por dólar, como mucho 5 centavos, y como 1 centavo aparece como 100 puntos, suena atractivo
      Lo que no se ve es el recargo de 3% a 5% o más en los precios generales de los productos, los contracargos y costos de procesamiento, los pagos fraudulentos, la seguridad débil, los comercios que todavía aceptan banda magnética y la enorme cantidad de intermediarios
      Se van acumulando comisiones bancarias, comisiones del emisor de la tarjeta, comisiones de red y comisiones de tarjetas premium
      Es un caos total y de verdad lo detesto
      Espero que FedNow cambie esto. Hay que eliminar a los intermediarios que succionan el dinero de la gente, y acabar con los parásitos y el desperdicio
    • Me dio risa que el foco estuviera puesto en los bancos estadounidenses. Una de las fotos de Telegram indicaba usar una dirección en París, Francia
      En los últimos dos años administré dos organizaciones de las que formo parte, y ambas fueron atacadas por bots automáticos de verificación de tarjetas de crédito que usaban tarjetas bancarias francesas, y muchas tarjetas pasaron
      Claro que ambas organizaciones tenían su propia historia de haber ignorado mis advertencias previas de reforzar el sitio de pagos, y una de ellas todavía usaba Magento 1
      Es solo una anécdota, pero el verdadero problema es que las tarjetas de crédito son una reliquia tan improvisada y remendada como ACH, y nadie intenta arreglarlas de forma significativa
    • Sobre todo, probablemente se deba a viejas prácticas dependientes de la trayectoria
      Las tarjetas de crédito se inventaron en Estados Unidos, por eso la tecnología es antigua y actualizarla toma mucho tiempo
      En pagos manuales, UPI de India parece bastante bueno. Tengo entendido que el cliente aprueba cada pago desde su teléfono antes de que se procese
  • En relación con las comisiones por contracargo, Visa compró hace unos años una empresa llamada Verifi.
    Tiene nuevos productos: Rapid Dispute Resolution y Order Insight.
    RDR permite hacer un reembolso automático antes de que una transacción se convierta en contracargo, y Visa cobra una comisión de 4 dólares. Siempre que el código MCC no sea de alto riesgo.
    Order Insight permite proporcionar de inmediato ciertos datos sobre un pago disputado, y si el cliente tiene un historial de 3 pagos anteriores, no se puede emitir un contracargo.
    En nuestro negocio fue una decisión muy fácil, basada en la tasa de éxito en disputas, el valor promedio del pedido y la comisión por contracargo.
    Ahora tampoco tenemos que preocuparnos constantemente por la regla del 1% de contracargos de Visa o del banco adquirente.
    Solo aplica a pagos con Visa, pero representaban alrededor del 50% de nuestro volumen total de transacciones.
    Por último, Visa en la práctica les está quitando una enorme fuente de ingresos a los procesadores. Si tu procesador es TSYS, probablemente intentará cobrarte 10 dólares como comisión de RDR.

    • Soy el autor del texto. ¿Cómo lo están manejando con Mastercard?
      He oído hablar de Ethoca; son muy buenos en SEO. Parece bastante parecido a Verifi.
  • No entiendo por qué Estados Unidos parece estar tan atrasado en temas bancarios.
    En el Reino Unido se adoptó chip y PIN desde 2004 y se volvió obligatorio desde 2006, mientras que Estados Unidos lo implementó unos 10 años después.
    Faster Payments ofrece transferencias instantáneas gratuitas entre la mayoría de las cuentas bancarias. Recibir transferencias de clientes de Estados Unidos siempre fue una pesadilla, incluso teniendo una cuenta estadounidense de Wise.
    Desde que la UE introdujo la autenticación reforzada de clientes, la mayoría de los pagos nuevos tienen que aprobarse mediante la app de banca móvil u otro medio de autenticación de dos factores.
    Incluso antes de eso, al menos el código postal y el CVV tenían que coincidir.
    Estas medidas parecen una forma de que los bancos trasladen al cliente la responsabilidad por el fraude, pero de cualquier modo el perjuicio termina recayendo en el cliente.
    En una cultura donde el fraude con tarjetas se acepta ampliamente, los precios suben para compensar ese costo.

    • Como canadiense, pagar en un restaurante de Estados Unidos se siente como viajar en el tiempo.
      En vez de pagar directamente con una terminal en la mesa, tienes que entregarle la tarjeta al mesero y esperar a que la procese manualmente en algún lugar.
      Puede que haya mejorado en los últimos años, pero en Canadá no se usa ese método desde principios de los 2000.
    • Si el fraude con tarjetas representa X% del total de pagos, una empresa puede esforzarse por gestionarlo, o simplemente no gestionarlo y dejar que las transacciones sigan fluyendo, asumiendo el costo.
      Como resultado puede atender a Y% más clientes, y si Y es mayor que X, a largo plazo puede generar más ganancias.
      En Estados Unidos, gracias a su enorme escala, este enfoque funciona en muchos negocios.
      Por ejemplo, para McDonald's probablemente sea mejor en términos de margen procesar los pagos rápidamente durante la hora pico del almuerzo que gastar 1 segundo verificando si hay fraude.
      Puede que en Europa no funcione, pero creo que al analizar los costos reales se está pasando por alto la dimensión de la velocidad y escala de las transacciones.
      En el momento en que el equilibrio entre fraude y ganancias se vuelva desfavorable para las empresas, los principales mecanismos antifraude se activarán casi de inmediato también en Estados Unidos.
    • Estados Unidos tiene un sector bancario enormemente diverso y con regulación laxa.
      Hay miles de bancos regionales pequeños repartidos en 50 estados, y cada estado también es bastante independiente.
      En un entorno así, desplegar grandes tecnologías nuevas es mucho más difícil.
    • La mayoría de los comentarios aquí parecen tener poca relación con el texto original. El texto trata específicamente sobre fraude con tarjeta no presente.
      Chip y PIN no funciona para pagos por internet.
      Las transferencias bancarias no encajan bien a nivel internacional.
      La verificación de dirección y el CVV son fáciles de activar, pero también pueden rechazar más transacciones legítimas. A veces ese costo supera el riesgo de fraude que detectan.
      La responsabilidad por fraude se traslada al comerciante, no al cliente.
      Claro que el costo del fraude para el comerciante termina reflejándose en los precios y el cliente paga más, pero solo en el sentido de que todos los costos de fraude terminan trasladándose al consumidor.
    • “Adelantado” y “atrasado” detienen el pensamiento y convierten todo el tema en una posición sobre una recta numérica.
      En realidad no es así; es un problema complejo, y actores a ambos lados del Atlántico están jugando de mala fe para aprovecharse de los cambios.
      También se están ignorando los roles involucrados.
      Las personas de veintitantos años con empleos estables son, por varias razones, una parte cada vez más pequeña del sistema real.
      También hay quienes consideran que en la UE y en otras regiones los trabajadores de veintitantos años están siendo explotados y perdiendo derechos.
  • Hackearon los servidores de una empresa donde trabajé antes, robaron las claves API y usaron ese servidor para hacer carding.
    PayPal nos dijo que debíamos pagar 100.000 dólares en comisiones.
    Nosotros procesábamos como máximo 5 pagos al día por inscripciones a cursos, de unos 4.500 dólares cada uno.
    El hacker ejecutaba solicitudes de autorización de 1 dólar por segundo contra números de tarjetas de crédito al azar.
    Al final no tuvimos que pagar las comisiones por carding, pero a ellos no les importa.
    No les importa porque ganan dinero con el fraude.
    En la configuración habíamos establecido que solo se permitieran pedidos entre 2.500 y 6.000 dólares, pero no verificaban las solicitudes de autorización.
    Una locura total.
    Fue alrededor de 2010, y en ese momento Stripe no estaba disponible en Canadá.

  • La prevención de fraude de Stripe es pésima, y es intencional.
    Están trasladando descaradamente a sus clientes el costo de gestión de riesgo. Es obsceno.
    Trabajo en prevención de fraude con tarjetas de crédito, y ni siquiera diría que soy especialmente bueno en eso, pero nuestro equipo de 3,5 personas construyó y mantuvo fácilmente sistemas para detener este tipo de ataques de carding.
    La principal forma en que un comercio evita ataques de carding es volverse un poco más molesto que el siguiente objetivo.
    A mi parecer, Stripe considera aceptable seguir siendo la gran red más fácil de atacar porque puede trasladarles el dolor y el costo a sus usuarios.
    Stripe podría evitar fácilmente este daño con un costo muy bajo.
    Está eligiendo dejar que sus usuarios sufran para ahorrarse unos centavos.

    • Stripe quiere cobrar por cualquier detalle mínimo y hacer que pagues por Radar.
      Stripe Taxes y su pésimo tipo de cambio siguen exactamente la misma estrategia.
      Al principio no prestan bien el servicio y, al final, te das cuenta de que el costo de transacción de Stripe sube hasta representar un porcentaje de dos dígitos del precio total.
  • Soy Edwin, de Stripe. Quisiera agregar que este artículo es una copia de un texto viejo de hace un mes (https://piotrmierzejewski.com/p/card-networks-exploitation)
    Desde entonces corregimos la mayor parte de este problema. Este tipo de pruebas de tarjetas ha disminuido, y ahora Radar debería detectar estos ataques
    En cuanto a los contracargos, también los odiamos y queremos reducirlos tanto como sea posible
    De hecho, estamos trabajando en varias cosas que ayudarán con esto
    Los bancos cobran comisiones por contracargos de distintos montos, y el promedio se refleja como una comisión de 20 dólares
    No es una comisión exclusiva de Stripe, y no obtenemos ganancias con los contracargos
    Acabamos de terminar los planes de la empresa para lo que queda del año, y reducir este tipo de fraude es máxima prioridad
    Si crees que estás pasando por algo similar, puedes escribirme a edwin@stripe.com

    • No debería ser que “Radar ahora debería detectar estos ataques”, sino que las funcionalidades integradas deberían detectarlos
      Lo digo en serio, como cliente de ustedes
  • El año pasado trabajé en una empresa de e-commerce en un rol donde me encargaba de sistemas, CI, infraestructura y software
    Esto era realmente común, y pasaba al menos un día por semana identificando y bloqueando nuevos patrones
    Los atacantes estaban verificando tarjetas de crédito con nuestro sistema
    Al final bloqueamos casi todos los ataques del carrito y del checkout, pero las solicitudes seguían llegando
    Más tarde, mientras revisaba logs por un problema no relacionado de PHP, un ingeniero de software me comentó que había muchísimo tráfico hacia una página donde se guardaban métodos de pago para más adelante
    La plataforma hacía un cargo de 1 dólar para comprobar si la tarjeta era real, y los atacantes lo usaban para seguir probando tarjetas
    Los ladrones de tarjetas de crédito son realmente ingeniosos

  • Una vez escuché el consejo de que, si quieres detectar fraude con Stripe, realmente quieres reducirlo y tienes suficiente volumen de transacciones, conviene entrenar tu propio modelo de detección de fraude
    Incluso algo como un clasificador logístico simple puede funcionar
    Stripe Radar no está ajustado a las particularidades de cada negocio, y se pueden incorporar señales adicionales como qué producto se compra o cuánto tiempo pasa desde que se abre el sitio hasta que se realiza la compra
    Las reglas personalizadas de Radar también funcionan hasta cierto punto
    Entiendo que muchos negocios indie no tienen los recursos ni las ganas de hacer algo así
    También hay soluciones que se pueden comprar, pero son caras y por lo general apuntan a comercios con alto volumen de transacciones
    Tal vez algún día Stripe lance un producto Radar que se pueda ajustar con más precisión

  • Otra razón más por la que la industria de las tarjetas de crédito debería desaparecer
    Sus protocolos de seguridad no existen o no se han actualizado desde principios del siglo XXI, y los abusos de los intermediarios son incontables
    El costo de lidiar con estos dolores de cabeza se traslada a los comercios en forma de comisiones de transacción y de contracargo más altas, y al final termina pasando a los consumidores
    Tampoco hay que olvidar que la industria de las tarjetas de crédito fomenta los peores hábitos de consumo entre los consumidores y perpetúa un ciclo interminable de esclavitud por deuda