WooCommerce ストアを詐欺から守る方法
数週間前、WPTavern は、WooCommerce Web サイト上の Stripe を介した支払い詐欺が最近急増していることを強調しました。この問題自体は新しいものではありませんが、この投稿は、クライアントの Web サイトが同様のインシデントの影響を受けていることに気づいた数人の開発者による、Advanced WordPress Facebook グループでのディスカッションがきっかけでした。
そして彼らは一人ではありません。
Statista が分析したデータによると、オンライン決済詐欺による電子商取引の損失は、世界全体で 2021 年の 200 億米ドルから 2022 年には 410 億米ドルへと倍増しました。これらの傾向に基づく現在の予測では、その額はなんと 480 億米ドルと推定されています。 2023年に。
支払い詐欺を理解する
簡単に言えば、「詐欺」とは自分のものではないものを盗むことを意味しますが、オンライン決済詐欺は決して単純なものではありません。
支払い詐欺とは何ですか?
支払いが不正な取引、つまりカードまたは銀行口座の所有者の承認なしに行われた場合、それは支払い詐欺として知られています。
よくある支払い詐欺の種類
支払い詐欺にはさまざまな種類があり、その手口は非常に巧妙で、被害者が騙されたことに気づくまでに時間がかかります。
カードのテスト
デビット カードまたはクレジット カードの詳細を盗んだ詐欺師は、カードの詳細が有効であることを確認するためにいくつかの少額の買い物をします。これは通常、カード テストまたはカード クラッキングとして知られています。
詐欺師は多くの場合、任意の金額を支払うことができる Web サイト (Pay-how-you-wand) や、少額の寄付を受け入れる非営利 Web サイトを探します。そうでない場合は、無防備な販売者のウェブサイトをランダムに特定し、安価な商品を購入して、盗まれたカードがまだ有効であることを確認します。
この混乱に加えて、詐欺師が自動化されたスクリプトやボットを使用できるほどの技術的スキルを持っている場合、非常に短期間に膨大な数のそのような取引が発生する可能性があります。多くの場合、影響を受ける販売者や実際のカード所有者がこれらの異常な取引に気づき、止めようとした時にはすでに手遅れになっています。
三角測量詐欺
この連鎖を追跡するのは非常に難しいため、この種の詐欺は完全な悪夢となる可能性があります。通常は次のようになります。
- 詐欺師は、商品を完備したマーケットプレイス (e-Bay や Amazon など) に偽の店頭を設置します。
- 本物の顧客が詐欺師の店を訪れ、商品を購入します。
- 次に、詐欺師は盗んだクレジット カードを使用し、顧客の配送先住所を指定して正規の販売者にその製品を注文します。
- 顧客は、本物のカードの詳細を使用して、注文したものを正確に受け取るため、異常には気づきません。
- 盗まれたカードの所有者が請求書の請求を見て支払いに関する異議を申し立てた場合、チャージバックに対する違約金を支払わなければならないのは何も知らない販売者です。実際に商品代金を支払った人(詐欺師ではあるが)に商品がすでに配達されているため、販売者は配達された商品やその代金を取り戻す方法がありません。さらに、チャージバックに対する違約金も支払うことになります。
- 本物の販売者がそのような不正取引を積極的に阻止しなければ、損失は急速に増大する可能性があります。
フレンドリー詐欺
フレンドリー詐欺 (誤ったチャージバックとも呼ばれる) とは、顧客がオンライン小売業者から自分の有効なカードを使用して何かを購入した後、銀行にチャージバックを請求し、返金を要求することです。これは、購入者が後悔しているか、販売者に連絡して友好的に解決することをためらっているためである可能性があります。
代替返金
これは、トリックスターが盗んだカードを使用して、Web サイト (通常は非営利団体または希望額の寄付を受け入れる Web サイト) に多額の金額を支払う場合です。その後、彼らはウェブサイトに連絡し、意図した以上の金額を送金したと主張し、代わりのカード (自分の) への一部返金を要求し、再び元の支払いに使用したカードの有効期限が切れていると虚偽の主張を行います。
ハッキングや支払い詐欺を防ぐための簡単なアクション
公平を期すために言うと、決済ゲートウェイの処理業者は悪意のある行為者を排除するために最善を尽くしていますが、それだけでは十分ではありません。
実際、Stripe は、この最近のカード テスト攻撃の急増に対する対応を詳しく説明したメモを公開しました。これによって不正行為の減少には貢献したかもしれませんが、成功した不正行為の規模を考慮すると、まだ小さな減少にすぎません。
したがって、WordPress ウェブサイトを安全に保つ責任を負い、できる限りのことを行うことが最善です。
簡単にできる5つの方法をご紹介します!
1. 強力なログインプロセスを強制する
Web サイトの安全性は、最も弱いパスワードによってのみ確保されます。強力なパスワードを強制することは、ハッカーが Web サイトにアクセスするのを防ぐためにできる最低限のことです。ただし、パスワードが複雑すぎて人間が覚えられない場合は、怠けて安全でない場所にパスワードを書き留めてしまう可能性があります。あるいは、覚えやすいものであれば、ハッキングされるのも簡単である可能性があります。
強力なパスワードだけに依存するのではなく、ログイン プロセスにもう 1 つの手順を追加して、セキュリティ層を追加することを強くお勧めします。それを行うためのいくつかの方法 –
- WordPress プラグインを使用して 2 要素認証を強制する
- 生体認証パスキーを有効にしてパスワードを完全に回避します
2. 支払いを定期的に監視する
異常な顧客パターン、奇妙な電子メール ID、請求先住所と IP アドレスの場所の不一致などに注意してください。これを手動で行うことも、以下にリストされているもののような WooCommerce 支払いプラグインを使用することもできます。
ここでは、詐欺防止のために特別に設計されたいくつかの WooCommerce WordPress プラグインを紹介します。
SyncTrack 自動追加 Paypal
これは、2022 年 5 月にリリースされた、比較的あまり知られていない無料プラグインです。その目的は素晴らしいものです。Paypal と統合し、支払い追跡情報を伝達することで、不正な注文に関連する紛争やチャージバックからユーザーを保護します。
ただし、このプラグインはリリース以来更新されておらず、最新の WordPress バージョンでテストされているため、使用には注意が必要です。
WooCommerce Eye4Fraud
Eye4Fraud が承認したアカウントで顧客がチャージバックを申請した場合、全額返金することを約束することで、文字通りチャージバック保護を保証します。これ以上に素晴らしいものはないと思います。
ただし、これを機能させるには Eye4Fraud アカウントを取得する必要があり、注文金額の一定の割合が手数料として請求されます。ウェブサイトには価格情報がありません。個別の見積もりについては問い合わせることができます。
YITH WooCommerce 不正防止
このプラグインは、支払いプロセス中に不審な動作を自動的に検出し、注文をブロックします。たとえば、IP アドレス、地理的位置などのパラメータの不一致などです。
また、リスクしきい値、不審なドメインからのメール、異常に高額な注文金額 (金額を指定可能) などの条件に基づいて注文をブロックするルールを構成することもできます。
OPMC による Woocommerce 不正防止
この人気のある不正防止 WordPress プラグインを使用すると、予想される顧客の行動に基づいてさまざまなルールやアラートを設定できます。これに準拠しない注文は強調表示されるため、より詳しく調べることができます。
このプラグインは次の機能も備えています。
- 各支払いに関連するリスクを評価し、リスクの高い支払いについて警告します
- reCAPTCHA を使用した速度攻撃に対する保護を提供します
- QuickEmailVerification と統合して電子メール アドレスを検証します
3. ゲスト注文を無効にする (顧客登録なし)
注文する前にユーザーに Web サイトへの登録を強制することを検討してください。また、新規ユーザーにメール アドレスの検証を強制するか、登録フォームにキャプチャを追加する (あるいはその両方) ことによって、追加のチェックを追加することもできます。
まだキャプチャしていない場合は、チェックアウト ページにキャプチャを追加することも検討してください。迅速かつスムーズなチェックアウト体験を求める実際の顧客を悩ませるかもしれませんが、それでも価値があるかもしれません。
ただし、これは、ボットによるランダムな存在しないメール ID を使用して少額の複数の注文が行われるカード テスト攻撃の可能性を減らすのに役立つ可能性があります。
4. レート制限を有効にする
YITH の WooCommerce Anti-fraud プラグインを使用すると、指定した期間内のユーザーごとの注文数を制御できます。これにより、詐欺師が同じ顧客 ID を使用して自動的に大量の注文を行うことを防ぎます。もちろん、これで完全に防げるわけではありませんが、少しでも役に立ちます。
5. すでに持っているものを活用する
すでに使用している可能性のあるリソースを最大限に活用するように努める必要があります。ホスティング、Cloudflare (または同様のセキュリティプロバイダー)。
例えば:
- Cloudflare の Bot Fight モードを有効にすると、典型的なボット トラフィック パターンが検出されるたびに、それらが Cloudflare によってブロックされます。
- ホスティング プロバイダーにも、そのような試みに対処するのに役立つツールやファイアウォールが提供されているかどうかを確認してください。
また、すでに WooCommerce Payments プラグインを使用している場合は、各取引について評価されたリスク レベルが「通常」または「高」として強調表示されます。これは、Stripe の RADAR 詐欺防止ツールとの統合に基づいています。
詐欺を防ぐために可能な限りあらゆる手段を使用する必要がありますが、依然として詐欺的な注文が通過する可能性があります。
損害を最小限に抑える最善の方法は、常に警戒を怠らず、Web サイト上の異常な購入パターンに迅速に対応することです。
少額の複数の取引が立て続けに発生した場合は、詳細を確認し、取引を調査するまで直ちにブロックする必要があります。
警戒を怠らず、安全を保ってください!