MAISON CODE .
/ Security · Fraud · Risk · Payments

Analisi delle frodi: apprendimento automatico contro il cartello

Come rilevare carte di credito rubate, IP proxy e reti di criminalità organizzata al dettaglio utilizzando Shopify Shield e modelli ML personalizzati.

AB
Alex B.
Analisi delle frodi: apprendimento automatico contro il cartello

Arriva un ordine da € 5.000. Indirizzo di spedizione: Miami (spedizioniere). Indirizzo di fatturazione: Nigeria. Indirizzo IP: Kansas (VPN). È una frode? Probabilmente. E se si trattasse di un legittimo diplomatico nigeriano nell’elenco di un mittente di Miami? Se lo annulli, perdi \ € 5k. Se lo spedisci, riceverai uno storno di addebito e pagherai \ € 5k + \ € 15 di commissione. L’Analisi delle frodi è l’arte della probabilità.

Perché Maison Code ne parla

In Maison Code Paris, agiamo come la coscienza architettonica dei nostri clienti. Spesso ereditiamo stack “moderni” costruiti senza una comprensione fondamentale della scala.

Discutiamo di questo argomento perché rappresenta un punto di svolta critico nella maturità ingegneristica. Implementarlo correttamente differenzia un MVP fragile da una piattaforma resiliente di livello aziendale.

I segnali

Shopify fornisce “fraud_analysis” su ogni ordine.

  • avs_code: sistema di verifica dell’indirizzo (lo zip corrisponde alla banca?).
  • cvv_code: valore di verifica della carta.
  • ip_distance: distanza tra IP e indirizzo di fatturazione.

Flussi di lavoro automatizzati (Shopify Flow)

Non esaminiamo manualmente ogni ordine. Impostiamo le regole di Shopify Flow.

  • Bandiera rossa: Se Livello di rischio = Alto -> Annullamento automatico.
  • Bandiera gialla: Se Livello di rischio = Medio AND Valore > \€500 -> Trattieni per revisione. Invia avviso Slack.
  • Bandiera verde: pagamento con acquisizione automatica.

3D Sicuro (3DS)

La disposizione. Se attivi 3D Secure (Verified by Visa), la responsabilità passa alla Banca. Anche se la carta viene rubata, tu tieni i soldi. La Banca si mangia la perdita. Tuttavia, il 3DS riduce la conversione del 5% circa. Strategia: attiva 3DS solo per ordini ad alto rischio. (Vedi Pagamenti mobili per Apple Pay che è effettivamente 3DS).

Impronta digitale del dispositivo

I truffatori professionisti cancellano i cookie. Utilizziamo il Device Fingerprinting (ad esempio Sardine, Sift). Guarda:

  • Livello della batteria.
  • Risoluzione dello schermo.
  • Caratteri installati. Se vediamo 50 ordini con nomi diversi ma esattamente lo stesso hash del dispositivo, si tratta di un bot ring. (Vedi Mitigazione dei bot).

Frode amichevole

“Non l’ho ordinato io.” (Cliente bugiardo). Questo è difficile da battere. Difesa:

  • Firma alla consegna (FedEx).
  • Prova di consegna fotografica.
  • Generatore di prove di controversia: automatizza l’esportazione in PDF dei registri di accesso che mostrano l’IP dell’utente e l’accesso e-mail al momento dell’acquisto.

6. Controlli di velocità (l’autovelox)

Gli esseri umani acquistano lentamente. I bot acquistano velocemente. Un utente non può effettuare 10 ordini in 1 minuto. Velocity Checks blocco in base al tempo.

  • “Massimo 1 ordine ogni 5 minuti per IP”.
  • “Massimo 3 carte di credito diverse all’ora per Sessione”. Ciò impedisce gli attacchi “Card Testing”, in cui un ladro acquista articoli da € 1 per verificare se le carte rubate funzionano. (Vedi Limitazione della velocità).

7. Frode sui rimborsi (The Silent Killer)

“Ho restituito la scatola.” (Era vuoto). “Non ho mai ricevuto il rimborso.” (L’hanno preso due volte). Questo è più difficile da rilevare perché avviene dopo l’acquisto. Difesa:

  1. Controllo del peso: verifica che il peso del pacco di reso corrisponda al peso in uscita.
  2. Giudicazione del rimborso: non rimborsare automaticamente gli articoli di valore elevato. Richiede ispezione umana.
  3. Lista nera: se un utente rimborsa > 50% degli ordini, licenzia il cliente.

9. Il dashboard di revisione umana

Non puoi automatizzare tutto. A volte, il modello dice “50% di frode”. Hai bisogno di un essere umano che lo guardi. Realizziamo Dashboard di riorganizzazione personalizzate per i team di rischio. Vedono:

  • Mappa dell’IP rispetto all’indirizzo di fatturazione.
  • Ricerca sui social media (automatizzata tramite Clearbit).
  • Cronologia degli ordini passati a livello globale. Un clic: “Approva” (Captures Stripe) o “Rifiuta” (Voids Auth). Ciò consente al tuo team CS di prendere decisioni basate sui dati.

10. Apprendimento automatico: chargeback vs vendita

Le regole standard si comportano in questo modo: “Se > €500, blocca.” ML si comporta come segue: “Se > € 500 E l’e-mail contiene numeri E l’IP è VPN, la probabilità è del 92%”. Addestriamo modelli personalizzati sui tuoi dati storici. Forniamo “Riaddebiti” come etichette positive e “Ordini riusciti” come etichette negative. Il modello apprende modelli che non sapevi esistessero. “Gli ordini di scarpe taglia 11 da Brooklyn alle 2 del mattino sono frodi all’80%.“

11. Il triangolo del riaddebito

Quando avviene un chargeback, tre parti litigano.

  1. La Banca: Vuole proteggere il titolare della carta (il suo cliente).
  2. Il Commerciante (Tu): Vuole trattenere i soldi.
  3. Il sistema di carte (Visa): determina le regole. Per vincere, è necessario fornire “prove convincenti” (Visa Comelling Evidence 3.0). Ciò comporta il collegamento della cronologia delle transazioni precedenti. “Sì, l’utente X ha denunciato una frode, ma qui ci sono 10 ordini precedenti dallo stesso IP e ID dispositivo.” Automatizzare l’invio di prove tramite Stripe API aumenta le percentuali di vincita dal 20% al 60%.

12. Giudizio sul rimborso 2.0

Non tutti i rimborsi sono uguali. Un VIP che restituisce una taglia M per acquistare una taglia L è “Good Churn”. Un nuovo utente che restituisce una PS5 è “Bad Churn”. Utilizziamo la logica di rimborso basata sul rischio.

  • VIP: “Rimborso istantaneo” (denaro in banca in 5 minuti).
  • Nuovo Utente: “Rimborso previo controllo” (Denaro in banca in 7 giorni). Questo attrito scoraggia il “guardaroba” (acquisto per un evento e restituzione).

13. Frode sull’identità sintetica

Questa è la nuova frontiera. I truffatori combinano dati reali (SSN di un bambino) con dati falsi (Indirizzo, Telefono). Crea una “identità Frankenstein”. I controlli tradizionali passano perché il SSN è valido. Difesa: Biometria comportamentale. Come digita l’utente? Fanno copia-incolla del numero di telefono? (Le persone vere lo digitano). Esitano nel campo “Cognome”? (Le persone vere no). Integriamo strumenti come Forter o Sardine che analizzano i dati di movimento del mouse/touchscreen per rilevare questi profili sintetici.

12. Perché Maison Code?

Noi di Maison Code abbiamo difeso cadute multimilionarie. Conosciamo il panico provocato da un attacco “Card Testing” alle 3 del mattino. Non facciamo affidamento sulle impostazioni predefinite di Shopify (che sono troppo vaghe). Costruiamo motori di rischio personalizzati. Sovrapponiamo Cloudflare (rete), Shopify Flow (regole) e ML di terze parti (Sardine) per creare una “cupola di ferro” per i tuoi pagamenti. Ci assicuriamo che tu mantenga le tue entrate e che il tasso di riaddebito rimanga inferiore allo 0,5%.

14. Anatomia di un tester di carte

Il “Card Testing” avviene quando un bot prova 10.000 carte di credito per vedere quali funzionano. Non comprano la tua giacca da 500 dollari. Provano a comprare un adesivo da € 1. Se funziona, vendono la carta sul dark web come “Live”. Impatto su di te:

  1. Commissioni per lo stripe: paghi \€ 0,30 per ogni autenticazione non riuscita. 10.000 tentativi = \€ 3.000 di commissione.
  2. Reputazione: Visa contrassegna il tuo conto commerciante come “ad alto rischio”. Difesa: Captcha alla cassa. Se i luoghi IP > 3 ordini non riusciti, richiedono hCaptcha. Ciò uccide l’efficienza del bot (ROI < 0).

15. Il protocollo di revisione manuale

A volte l’intelligenza artificiale non è sufficiente. Hai bisogno di un protocollo umano. Lista di controllo per un ordine sospetto:

  1. Chiama il cliente: “Ciao, sto solo verificando la taglia.” (Se il numero è morto -> Frode).
  2. Dominio email: john.doe@gmail.com (Normale) vs af3289@tempmail.com (Frode).
  3. Prova sociale: “John Doe” esiste su LinkedIn a “Miami”?
  4. Street View: l’indirizzo di spedizione è una casa o un magazzino in una zona industriale? Un’indagine di 2 minuti fa risparmiare € 2.000.

16. La lista di controllo antifrode (pre-volo)

Prima di raggiungere i 10 milioni di dollari di GMV, assicurati di avere questi 20 controlli:

  1. Corrispondenza CVV forzata: rifiuta se CVV non corrisponde.
  2. AVS Match Enforced: rifiuta se il Zip non corrisponde (rilassamento graduale per internazionali).
  3. Velocity Check 1: massimo 3 carte per sessione.
  4. Velocity Check 2: massimo 5 ordini per IP al giorno.
  5. Velocity Check 3: massimo € 2000 per checkout ospite.
  6. Età email: il dominio deve avere più di 30 giorni (tramite API).
  7. Proxy IP: blocca gli IP Tor/VPN al momento del pagamento.
  8. Distanza: avvisa se l’IP è > 500 miglia dalla fatturazione.
  9. Alto valore: revisione manuale per ordini > € 1000.
  10. Velocità SKU: avvisa se 50 unità di articoli ad alta rivendita vengono vendute in 10 minuti.
  11. 3D Secure: attiva su rischio elevato.
  12. Convalida telefono: invia SMS OTP per ordini sospetti.
  13. Normalizzazione indirizzo: utilizza l’API di Google Places per verificare che l’indirizzo esista.
  14. Lista nera: database condiviso di noti truffatori.
  15. Limite di rimborso: blocco automatico dell’utente dopo una percentuale di reso del 30%.
  16. Avviso di riaddebito: utilizza Ethoca/Verifi per ricevere avvisi prima che si verifichi il riaddebito.
  17. Formazione dei dipendenti: il team CS sa come si svolge il “test delle carte”.
  18. Monitoraggio webhook: monitora eventuali anomalie di order.created.
  19. Ghosting: CAPTCHA silenzioso per comportamenti simili a quelli dei bot.
  20. Note legali: chiari “Termini di servizio” relativi alle indagini sulle frodi.

17. Conclusione

La frode è un costo per fare affari. Se il tuo tasso di frode è pari allo 0%, i tuoi filtri antifrode sono troppo rigidi (stai rifiutando buoni clienti). Puntare allo 0,5%. Ma non lasciare mai che il “Cartello” vinca. Automatizza la difesa. Dormi profondamente.

Troppi storni di addebito?

Implementiamo motori decisionali automatizzati sul rischio.

Proteggi le mie entrate. Assumi i nostri architetti.