El mundo subterráneo del abuso de las redes de tarjetas de crédito

 (chargebackstop.com)
3 puntos por GN⁺ 2023-08-03 | 1 comentarios | Compartir por WhatsApp
  • El autor detectó un ataque de prueba de tarjetas en la cuenta de Stripe de su empresa, con cargos fallidos de usuarios con nombres generados automáticamente y dominios de correo electrónico extraños.
  • Otras personas reportaron problemas similares en Twitter, lo que indicaba que se trataba de un problema generalizado.
  • El autor implementó Stripe Radar y reglas temporales para bloquear transacciones después de cierto número de fallos.
  • Los atacantes probaban principalmente tarjetas del mismo banco, con la misma fuente de fondos y desde Estados Unidos, a un ritmo de hasta cuatro tarjetas por minuto.
  • El autor encontró un canal de Telegram que compartía parámetros de tarjetas de crédito y herramientas para generar números de tarjetas válidos.
  • Se presume que los atacantes forman parte de una red clandestina que lanza ataques manuales desde servidores privados de Discord o canales de Telegram.
  • Existen herramientas en línea que automatizan el proceso de ejecutar listas de tarjetas generadas automáticamente a través de Stripe Checkout.
  • El autor tuvo que limpiar las consecuencias del ataque, realizar reembolsos y cancelaciones de cargos, y aceptar contracargos.
  • Los bancos de Estados Unidos aplican con flexibilidad las verificaciones administrativas, permitiendo transacciones incluso con información incorrecta.
  • Entre las formas de prevención están las reglas personalizadas de Stripe Radar y establecer límites para los intentos de pago fallidos.
  • El costo del fraude lo asumen las empresas y, al final, se traslada a los clientes.
  • Las redes de pago pueden ser explotadas y, hasta que los bancos asuman más responsabilidad, las empresas deben monitorear la tasa de fallos en los cargos y compartir estrategias de prevención.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2023-08-03
Opiniones en Hacker News
  • Un autor usó ChatGPT para escribir scripts de procesamiento de pagos aun sin tener habilidades técnicas.
  • En Estados Unidos, el fraude con tarjetas de crédito está socializado porque el consumidor no asume la responsabilidad.
  • Los bancos y los procesadores de pago priorizan transacciones rápidas y fáciles, lo que termina elevando los precios para las empresas.
  • Visa ofrece productos como Rapid Dispute Resolution y Order Insight para evitar contracargos.
  • Estados Unidos está rezagado en banca frente a otros países por no contar con medidas como Chip and PIN y transferencias bancarias instantáneas.
  • Stripe recibe críticas por externalizar a sus clientes los costos de una mala prevención del fraude y gestión de riesgos.
  • Cloudflare cuenta con herramientas para bloquear el envío de formularios y frena los ataques de manera efectiva.
  • El fraude con tarjetas de crédito es común, y hay atacantes que buscan y explotan distintos patrones.
  • Se recomienda que las empresas que se toman en serio la prevención del fraude entrenen modelos personalizados de detección de fraude.
  • La falta de medidas de seguridad en la banca de Estados Unidos facilita que los estafadores realicen transacciones.