どんなサイトにも手軽に決済が仕込める昨今、便利になりましたねー。
自分のサイトでモノやチケットなど、手軽に販売できます。
しかし便利になると色んな輩が悪いことをし出します。今日はそんなお話。
不正入手したカード情報で、そのカードが使えるか、先ずは少額の買い物でテストすることを意味します。
例えば、100円のものをカードで決済できた → このカードはまだ漏洩したことに本人が気付いていない → よっしゃ、高額なモノ買っちゃうぜ!という感じですかねー。
先日、実際に被害にあっているクライアントさまから何とかならないか?とご相談がありました。
おいらが構築していない物販サイトなので何ともなのですが、少し調べてみました。
メジャーな Strip というカード決済の仕組みを導入していました。
販売価格ではない、勝手な少額で何故か決済が成功しています。
・まず疑ったのが WordPress に勝手にアドミン作られてない? → 大丈夫でした。
・海外 IP はブロックしてる? → してなかったのでブロックしました。
それでも全然アタック成功されているようなのでもはやページから購入していないですね。
販売価格も無視で、¥2,000 からしかないのに、何故か100円で購入 (決済) されていました。
こうなるともう 3D セキュアだの reCAPTCHA だのを設置しても無駄です。決済 API を直叩きしてる気がします。
何せ数分で100回とかアタックしてるようなのでお手上げです。
なのでやむなく Strip は完全に切り離しました。
Strip のサポートはメールオンリー。最近増えましたね。GMO さんなんかもそうです。
そしてまどろっこしいやり取りの末、何も解決しないというね。
そもそも素人のクライアントさんに reCAPTCHA 仕込めだの追跡スクリプト使えだの言ってくるサポートもどうなの?って。
できるわけないっつーの、ねぇ…
今回はおいらが構築していないので、どこまで介入して良いやら悩みました。
結果、既存サイトは捨てて新規に作り直す?という話になってきています。
こういうのって絶えないんでしょうけどね、例えば近い将来、量子コンピュータでハックするようになると暗号化自体が無意味になるらしいので、この先のセキュリティは大変な時代になると思います。
不正カードリストは所謂ダークウエブってところで売買してるんでしょうね。それを入手して特定の決済システムに自動でアタックを繰り返すのだと思います。
EC サイトを運営するということは、少なくともこういう被害もありうるってことですね。