I commercianti di e-commerce conoscono i costi in termini di tempo, entrate e inventario degli storni di addebito illeciti.
Per molti venditori, tuttavia, il danno inizia con i nuovi account. I truffatori organizzati possono registrarsi centinaia di volte, utilizzando indirizzi e-mail validi ma falsi.
“Questi account falsi vengono creati per scopi come il test delle carte con transazioni di piccolo valore per vedere se il numero è valido prima di tentare una transazione più grande”, ha affermato Diarmuid Thoma, responsabile della strategia antifrode e dati presso AtData, un servizio di verifica e convalida della posta elettronica.
Riaddebiti
Il rischio principale per i negozi di e-commerce deriva da riaddebiti.
Quando un titolare della carta contesta una transazione fraudolenta, il negozio perde la vendita, il prodotto, i costi di spedizione e spesso deve sostenere costi aggiuntivi da parte dei processori.
Le controversie ripetute possono persino mettere a repentaglio il rapporto dell’azienda con il suo processore di pagamento.
Un venditore può sentirsi impotente, dal momento che responsabile del trattamento autorizzato la transazione in primo luogo, ma ritiene i negozi responsabili dell’accettazione di numeri di carte rubate.
Thoma e altri esperti di frodi via email ritengono che spesso il problema abbia inizio con indirizzi email falsi.
Abuso di coupon
Una seconda forma di frode basata sulla posta elettronica viene spesso rilevata nei dati di marketing dell’e-commerce.
I truffatori utilizzano indirizzi e-mail falsi ma validi per creare account su larga scala per ottenere valore promozionale.
Gli script automatizzati inviano migliaia di iscrizioni, raccolgono sconti di benvenuto e quindi abbandonano gli account una volta riscattato l’incentivo.
“Un coupon ha un valore monetario e, quando lo si fa su larga scala, diventa un’attività altamente redditizia da utilizzare e rivendere”, ha affermato Thoma.
Le perdite derivanti dall’abuso dei coupon sono enormi, fino a 89 miliardi di dollari all’anno, a seconda della fonte, e probabilmente incidono sulla maggior parte delle attività di e-commerce che offrono sconti promozionali.
Conti falsi
Pertanto, gli indirizzi e-mail falsi facilitano il test delle carte di pagamento rubate e la raccolta di promozioni.
Questo tipo di comportamento può essere relativamente difficile da rilevare, perché “circa il 98% (degli indirizzi e-mail utilizzati), anche quelli fraudolenti, saranno validi”, ha affermato Thoma, “perché il truffatore ha bisogno che siano validi” per ricevere un coupon e completare un acquisto.
In altre parole, la fase iniziale di questo tipo di frode e-commerce spesso sembra identica a quella degli acquirenti ben intenzionati. Quando appare il primo chargeback, il danno esiste già da settimane.
Al contrario, offre alle aziende una difesa relativamente semplice: la convalida della posta elettronica.
Modelli di conto
La creazione di account falsi su larga scala inizia con indirizzi e-mail che seguono modelli riconoscibili, consentendo ai truffatori di generare migliaia di varianti aggirando i controlli di convalida di base.
Ad esempio, ecco tre modelli comuni.
cadendo, dove un truffatore riscrive più volte un singolo indirizzo sottostante.
- esempio@esempio.com
- ex.ample@example.com
- esempio@esempio.com
- esempio.ampio+nuovo@esempio.com
Piccole modifiche, come l’aggiunta di caratteri o differenze di formattazione, consentono a ciascuna registrazione di apparire unica pur continuando a instradare i messaggi alla stessa casella di posta.
Il tumbling è particolarmente efficace nell’eludere i controlli sugli account duplicati perché ogni indirizzo supera la convalida standard.
Senza senso le e-mail sono indirizzi generati dalla macchina che appaiono casuali ma seguono strutture coerenti e automatizzate.
I malintenzionati creano questi account in grandi batch entro pochi secondi o minuti l’uno dall’altro. Thoma ha descritto di aver visto molte e-mail senza senso arrivare simultaneamente, nello stesso giorno e ora.
Enumerazione si basa sulla generazione di un gran numero di indirizzi simili, spesso basati su una radice condivisa. “Sono come utente1, utente2, utente3, non necessariamente sempre in sequenza”, ha detto Thoma. “Potrebbe saltare a 10, 15, qualunque cosa.”
Tali indirizzi sono facili da creare automaticamente e difficili da contrassegnare individualmente, soprattutto se distribuiti nel tempo, nei domini o nei commercianti.
Identificazione
Ognuna di queste tecniche produce validi, consegnabile indirizzi e-mail, motivo per cui la convalida di base spesso non riesce a fermarli.
Anche il monitoraggio di questi modelli può produrre falsi positivi. Il comportamento dei consumatori legittimi può apparire automatizzato durante eventi di vendita, lanci di prodotti o onboarding in massa.
Pertanto il rilevamento dei modelli funziona meglio se combinato con segnali aggiuntivi, come l’età dell’account, la coerenza dei nomi, l’allineamento geografico, il comportamento del dispositivo e la cronologia delle transazioni.
L’obiettivo non è bloccare gli account sulla base di un unico indicatore, ma isolare le frodi organizzate prima che le perdite si trasformino in riaddebiti.
Prevenzione
La frode è spesso una questione di scala, il che è positivo per le operazioni di e-commerce molto piccole. I criminali non sono consapevoli o vedono poco potenziale nel furto.
I grandi rivenditori online, tuttavia, potrebbero voler investire nella convalida avanzata della posta elettronica al momento dell’invio. La convalida in questa fase in genere costa pochi centesimi e, se combinata con regole aziendali ragionevoli, dovrebbe ridurre le frodi.
