- लेखक ने कंपनी के Stripe account पर card testing attack का पता लगाया, जहाँ auto-generated नामों और अजीब email domains वाले users की failed charges दिखीं.
- इसी तरह की समस्या Twitter पर अन्य लोगों ने भी रिपोर्ट की, जिससे यह एक आम समस्या होने का संकेत मिला.
- लेखक ने कुछ निश्चित failed attempts के बाद transactions को block करने के लिए Stripe Radar और temporary rules लागू किए.
- हमलावरों ने मुख्य रूप से एक ही bank, एक ही funding source, और अमेरिका से प्रति मिनट अधिकतम चार cards test किए.
- लेखक को Telegram channels मिले जहाँ valid credit card numbers बनाने के लिए credit card parameters और tools साझा किए जा रहे थे.
- अनुमान है कि हमलावर एक अंडरग्राउंड नेटवर्क का हिस्सा हैं, जो private Discord servers या Telegram channels में manually attacks शुरू करते हैं.
- ऐसे online tools मौजूद हैं जो Stripe Checkout के ज़रिए auto-generated card lists चलाने की प्रक्रिया को automate करते हैं.
- लेखक को हमले के बाद की स्थिति संभालनी पड़ी, refunds और charge reversals करने पड़े, और chargebacks स्वीकार करने पड़े.
- अमेरिकी banks गलत जानकारी होने पर भी management checks को लचीले ढंग से लागू करते हुए transactions को अनुमति दे देते हैं.
- रोकथाम के तरीकों में Stripe Radar के custom rules और failed payment attempts पर limits सेट करना शामिल है.
- fraud की लागत businesses उठाते हैं और अंततः यह ग्राहकों पर डाल दी जाती है.
- payment networks का दुरुपयोग किया जा सकता है, और जब तक banks अधिक ज़िम्मेदारी नहीं लेते, businesses को failed charge rates monitor करनी चाहिए और prevention strategies साझा करनी चाहिए.
1 टिप्पणियां
Hacker News राय