La risposta di Stripe a un'ondata di attacchi di testing delle carte

Lead image 3 (higher res)

Tra febbraio e agosto 2022, Stripe ha rilevato un'ondata di frodi tramite carte di credito durante la quale i malintenzionati hanno inondato gli esercenti con milioni di transazioni di importo minimo o nullo. Questi attacchi di "testing delle carte" permettono ai criminali di verificare il funzionamento delle carte di credito rubate e possono paralizzare le aziende. Al culmine dell'ondata, la soluzione per la prevenzione delle frodi Stripe Radar ha bloccato oltre 20 milioni di tentativi di testing delle carte al giorno.

L'ondata estiva rientra in una tendenza più ampia. Negli ultimi anni il testing delle carte ha registrato un'accelerazione legata all'aumento progressivo del numero di aziende che si spostano online. Molte di queste aziende non padroneggiano le complessità dell'e-commerce e si sono rese vulnerabili ai malintenzionati. Di conseguenza, i tentativi di testing delle carte sono aumentati di oltre 100 volte dal 2019.

Card testing sent to Stripe vs baseline v4b OL

Verifica delle carte rubate

Il testing delle carte svolge un ruolo determinante nel processo utilizzato dai malintenzionati per estrarre valore dai dati delle carte di credito rubate. Quando viene acquistato un elenco di dati di carte di credito, non è possibile sapere quali carte sono ancora attive: alcune potrebbero essere state annullate, altre potrebbero essere scadute. Questo rende difficile determinare il valore reale dell'elenco.

È qui che entra in gioco il testing delle carte.

I tester di carte creano programmi che tentano di eseguire in modo automatico un piccolo pagamento per ogni carta di un set o di salvarla su un sito come origine di pagamento convalidata. Le carte utilizzate o salvate con successo sono rivendibili ad altri malintenzionati che possono utilizzarle per effettuare acquisti più consistenti o per produrre carte contraffatte.

"In generale, la frode si configura come un ecosistema con attori diversi che svolgono compiti diversi nella catena del valore per realizzare un guadagno", ha dichiarato Will Megson, product lead di Radar.

Danni per gli esercenti

Il testing massivo delle carte comporta un problema per venditori e piattaforme, che va oltre il ruolo di favoreggiamento delle frodi. I venditori pagano commissioni di rete per ogni transazione. Si tratta di importi modesti per le singole transazioni, ma che si sommano quando un sito viene improvvisamente utilizzato per migliaia o addirittura milioni di test di carte. I piccoli esercenti possono andare in bancarotta in poche ore a seguito del testing delle carte.

E questo è solo l'inizio. Anche i piccoli addebiti relativi al testing delle carte possono essere contestati da un titolare di carta, con conseguenti storni che comportano una serie di costi per gli esercenti, come le commissioni di contestazione, di risoluzione e d'interscambio, oltre alle ore di lavoro necessarie per risolvere il problema. Di conseguenza, i circuiti delle carte possono inserire gli esercenti in categorie a rischio elevato, come il Programma di monitoraggio delle frodi di Visa o il Programma di monitoraggio delle frodi EFM (Excessive Fraud Merchant) di Mastercard, che comportano un aumento delle commissioni di elaborazione e delle riserve applicate agli esercenti.

"Sebbene questi programmi offrano controlli di protezione, possono però risultare punitivi", ha dichiarato Megson.

La risposta di Radar

La buona notizia è che le aziende possono reagire con uno sforzo minimo: Radar fa il lavoro al posto loro.

In risposta all'ondata di testing delle carte, gli ingegneri di Stripe hanno ottimizzato il flusso di dati dalla rete di Stripe a Radar. Ciò ha reso possibile il lancio di modelli aggiornati nell'arco di un'ora, accelerando un processo che in precedenza richiedeva uno o due giorni e consentendo a Radar di adattarsi alle tendenze delle frodi in rapida evoluzione.

"Sfruttando il machine learning e le regole antifrode personalizzate di Stripe, abbiamo registrato una diminuzione dei tassi di frode e di storno", ha dichiarato Lourdes García, product manager del negozio di ottica online Ben & Frank.

Stripe ha creato anche un nuovo modello di machine learning per il testing delle carte a livello di transazione. Ciò ha richiesto lo sviluppo di nuovi metodi per etichettare accuratamente le transazioni del testing delle carte, andando oltre l'attuale stato dell'arte: un passaggio prima proibitivo, dal momento che i circuiti di carte non forniscono etichette di alcun tipo per il testing delle carte.

Oltre a questi miglioramenti del machine learning, Stripe ha introdotto decine di nuovi limitatori di volumi, per imporre un tetto al numero di richieste elaborate dall'API di Stripe in un breve periodo di tempo. Questa misura, da sola, ha bloccato quasi 40 milioni di transazioni di testing di carte quest'anno.

"Stiamo diventando molto più scaltri nel monitorare come gli script di testing delle carte interagiscono con gli esercenti", ha dichiarato Megson.

Blocco di un numero maggiore di attacchi

I risultati sono stati incoraggianti. Finora, quest'anno, Radar ha bloccato altri 400 milioni di transazioni fraudolente, dimezzando il numero degli attacchi di testing delle carte, senza aumentare il tasso di transazioni legittime erroneamente identificate come frodi.

"Eravamo sul punto di perdere la capacità di elaborare i pagamenti a causa dell'elevato numero di transazioni fraudolente. Abbiamo quindi iniziato a utilizzare Radar, che ci ha permesso di combattere le frodi in modo programmatico e di stabilire modalità precise per contrastare i tester di carte", ha dichiarato Matt Maier, CEO di AdBlock.

Stripe continua a investire su Radar, combinando le innovazioni del machine learning con quanto appreso dalla lotta contro il testing delle carte nel mondo reale: con il progredire del testing delle carte, anche Radar si evolverà parallelamente.