Meio de Pagamento sendo floodado

Bom dia, a empresa para qual eu trabalho e estou há 3 meses entrou em um declínio de venda desde setembro. Até aí tudo bem, muita coisa pode ter influenciado isso, porém de março pra cá, percebi que estávamos sofrendo uma espécie de ataque, onde dezenas de vendas enchiam as transações e estranhamente, esses dias que isso acontecia, minhas vendas reduziam muito, mas ok, poderia ser apenas coincidência, até porque não sabia a relação causa/efeito disso.

Agora em abril, os ataques se intensificaram, ou seja, minha venda caiu mais e comecei a investigar e reparei que isso está acontecendo desde o dia 01/09/22, ou seja, foi quando as vendas do site caíram 50% em relação a agosto e isso continuou e aparentemente ninguem suspeitou.

Mesmo usando todos os meios para evitar fraude, ataques e etc, isso continua e o que ficavam em transações, de fato começaram a virar pedido na OMS, todas as barreiras da VTEX estão ativas (Recaptcha, antifraude, tudo o que está no manual de boas práticas).

O ataque tem um padrão, sempre é um email do gmail, por exemplo ThiagoAntonio123@gmail.com e todos sempre com a bandeira VISA.

Alguem aqui já passou por algo parecido? Ou ouviu falar dessa situação e tem alguma luz do que possa ser feito?

Já tenho uma chamado na VTEX e também estão tentando analisar essa situação por lá.

OBS: Olhei o meu histórico de implementações, até falando com funcionários antigos, e ninguem se lembra de algo ter ocorrido entre Agosto e Setembro.

Abraços

Também estou enfrentando esse flood no checkout. Se alguém tiver uma luz, vai ajudar bastante.

O recaptchaValidation no checkout está como always? Ou seja, o reCaptcha sempre aparece? Normalmente isso faz com que os bots parem de funcionar.

Sim, ta como Always e mesmo assim continua.
Com o hotjar, peguei o comportamento, é estranho, o site ele fica aberto fazendo algumas ações, entrando em categorias e rolando a página, como se tivesse um script rodando, porém, não existe a ida até o checkout na navegação.

Tô em contato com a equipe da VTEX e estão, aparentemente, quebrando a cabeça pra achar o motivo

@felipemagna você chegou a analisar as transações onde ocorreram essas operações?

Geralmente nos detalhes das transações gera um erro pelo Antifraude e eles podem ajudar nessa constatação de possível fraude.

Sugiro alguns tópicos que podem te apoiar nessa análise das transações.

• Buscar transações no Pagamentos
• Visualizar detalhes da transação em Pedidos
• Verificar erros ou problemas em uma transação
• Filtrar transações na seção de Pedidos
• Visualizar transações de pagamentos
• Obter o IP de um pedido
• Como funciona a retentativa do gateway de pagamentos?

Sobre o problema que você menciona do site, você tem o link da loja?

Realmente o Hotjar não vai capturar eventos de compra por questão de informações privadas. Se eu não me engano precisa ter uma autorização sobre isso.

Mas sugiro ainda verificar essa parte de transações e puxar com o Antifraude para fazer uma uma comparação de padrões.

Espero que estas informações te ajude.

Abs,
Estevão.
PO ENEXT

Bom dia @estevao_santos , tudo bem? Primeiramente obrigado pela atenção aqui na postagem. Esse é um ticket que tenho aberto na VTEX há mais de 2 semanas e não encontramos ainda um causador do problema.
Minha loja é a Cori, www.cori.com.br

Quantos aos pontos que voce colocou, já observamos tudo, acredito eu. Estavamos com a Cielo como gateway, tive reunião com eles e vimos que as tentativas de compra era recusamos em sua maioria pelo cartão estar inativo, ou seja, provavelmente é cartão roubado que foi bloqueado pelo cliente. O antifraude que usávamos, era a Konduto até ontem, porém, esse pedidos era bloqueados pela própria Cielo devido ao erro no cartão, pois eram em sua maioria, cerca de 90% tentativas de transações, não chegava a gerar um pedido pois tinha esse erro do cartão que mencionei.

Quanto a virar pedido, tive dias que cerca de 40 pedidos vazaram, que sujaram meu OMS, mas foram em 2 momentos.

Os Ips são variados, padrão não se repete, já analisei os pedidos que caem, e Estavao, se fossem um, dois, 5 pedidos num dia, até tudo bem, acontece com todo mundo, mas para voce ter ideia, anteontem tiver cerca do 80 tentativas em um dia. E realmente, o Hotjar não pega o checkout, mas o fato de ver que tem alguem conectado, sei que já atrapalha minha métricas de usuarios/sessões.

Ontem começamos com a Stone, mesmo assim tiveram tentativas de fraude seguindo o mesmo padrão que falei ao abrir o topico.

Abraços!

Entendi @felipemagna

Dei uma olhada no site e não vi nenhuma suspeita de inject JS por exemplo via console ou network ou algo que esteja simulando algum acesso como se fosse um bot, por exemplo.

Eu verifiquei que você também está protegido pelo PCI Standards VTEX PCI Certificate

Eu imagino que você tem 2 trilhas para mitigar o problema:

Segurança de acessos ao site:

Procurar alguma configuração de regra no DNS de vocês. O servidor pode ajudar nesse monitoramento.

Ou ainda, ferramentas específicas de monitoramento especialistas em Segurança na Web:

1. Palo Alto
2. Cisco
3. Fortinet
4. Symantec
5. Check Point

ANTIFRAUDE

Na questão de pagamentos você pode conversar com o seu conector para analisar as possibilidades como você já está fazendo.

CONCLUSÃO

A VTEX possui tecnologias próprias com segurança de ponta a ponta, por exemplo, relacionado a comunicação de APIs, módulos e consulta de informações privadas. Acho muito difícil ser algo relacionado a isso.

Você pode consultar por exemplo sobre isso aqui Security Practices - VTEX

A VTEX não tem o papel mitigador de acessos ou tipos de bloqueios ao seu site. Ela é uma ferramenta como meio mesmo de conclusão de compra. Inclusive, a questão do pagamento, que faz toda a validação é um parceiro externo (Gateway).

Portanto, para ter eficiência nisso eu imagino que você irá precisar mesmo fazer ações externas como ferramentas de seguranças que mencionei.

Espero que essas informações te ajude neste processos.

Abs,
Estevão.

Olá @felipemagna. Realmente é intrigante o reCaptcha sempre estar aparecendo e mesmo assim estão criando dezenas de transações de IPs diferentes. Será que acharam um jeito de bular o reCaptcha do Google? Acredito que o time de Segurança da VTEX deva estar analisando.

@felipemagna estou com o mesmo problema! Tanto que fomos até bloqueado no nosso adquirente por conta disso. A principio disseram ser uma falha na segurança do site, mas como vi que está ocorrendo em mais lojas, creio ser uma falha da estrutura do IO mesmo.

Você conseguiu chegar em alguma solução? Aqui testamos mudar pra Cielo, PagSeguro e nada surtiu efeito, continuamos sofrendo com os ataques de pedidos, sempre com cartão Elo ou MasterCard.

Saito, talvez viu? Recaptcha ja existe há muito tempo, não deve ser dificil burlar. Agora nem a própria VTEX sabe lidar. Agora que to vendo mais gente com problema, de alguma forma me anima a achar essa solução

Ainda nada @soupaulogomes. A Pagar.Me que ta me dando um suporte, tentando algumas alternativas que assim que eu aplica-las, posso colocar aqui. Mas tudo o que foi falado, ainda de nada adiantou.

A questão da empresa de cybersegurança, to verificando isso ainda. Por favor, se achar algo que ajude, qualquer coisa, poe aqui pra gente.

Vou compartilhar esse post com a pessoa que ta me atendendo dentro da VTEX.

@felipemagna aqui tem um arquivo e fala sobre um recurso chamado “Defense mode”.

Já chegou a ver se existe isso para você?

Eu falo mesmo no sentido de mitigação.

Caso encontre alguma outra opção mando aqui.

Abs,
Estevão.

Fala Estevão, tudo bem? Nenhum solução até agora. Tudo o que foi tentado, foi em vão.
O proximo passo meu será fechar um pacote da CloudFlare para tentar melhorar a proteção do DNS. Não vejo outra saida, realmente está tudo indo de mal a pior no site. As vendas sendo afetadas e gateway de pagamento querendo sair.

Olá!

Li sua mensagem sobre o problema de “Meio de Pagamento sendo floodado” e gostaria de compartilhar uma solução que pode ajudar. Para desativar a opção de senha dentro da autenticação da conta do lojista no VTEX Admin, você pode seguir estes passos:

1. Faça login na sua conta VTEX Admin.
2. No painel de controle, clique na opção “Configurações” ou “Settings” (dependendo da versão).
3. Em seguida, selecione “Autenticação” ou “Authentication”.
4. Procure pela opção “Senha” ou “Password” e desative-a. Isso pode envolver um simples interruptor para ligar/desligar ou uma configuração mais detalhada.
5. Salve as alterações e saia do painel de controle.

Após desativar a opção de senha, verifique se o problema de inundação de meios de pagamento persiste. Essa solução funcionou para o meu cliente, que relatou a resolução do problema após 3 dias.

Lembre-se de que os passos podem variar um pouco dependendo da versão específica do VTEX Admin que você está utilizando, mas a ideia geral é encontrar as configurações de autenticação e desabilitar a opção de senha.

Espero que isso seja útil e que ajude a resolver o problema. Se você tiver alguma dúvida adicional, por favor, me avise. Estou à disposição para ajudar!

@galegodeveloper qual o racional por trás disso ajudar a resolver o problema?

Fala @galegodeveloper isso foi feito logo de cara por ser uma padrão de defesa, quebrar a forma de autenticação, mas nada adiantou.

O que “funcionou” foi usar o combate à bots da CloudFlare e bloqueando IP de fora do Brasil. Não sei por quanto tempo vai funcionar.

Pedi para a VTEX olhar o servidor e nosso site, pois temos métodos de pagamento sendo negados por questão de segurança, então não descarto ter um malware por tras disso tudo

Bloquear IP resolver as fraudes, mas talvez não tenha solucionado a causa disso tudo, que é minha missão, pois a queda de venda desde que começou isso, foi gigante e ainda não retornou

George bom dia,
a VTEX não soltou nada ou não tem nada a dizer sobre esta situação?
eu também tive o meu pv bloqueado pela rede devido à este ataque. o robô cria centenas de logins aleatórios e realiza pedido.

@caiofrx recomendo consultar as atualizações e recomendações mais recentes sobre uso de reCAPTCHA no Checkout:

• https://help.vtex.com/pt/announcements/a-api-do-checkout-agora-suporta-recaptcha-v3--1buRTScMhlis0LESr7g8Rt

• https://help.vtex.com/pt/announcements/melhoria-de-seguranca-na-primeira-compra-do-cliente--3RBko0KXi8eOm4nKARgReD

• https://help.vtex.com/pt/announcements/validacao-recaptcha-agora-seguira-a-configuracao-do-orderform-para-todas-as-solicitacoes--3SLXk0n8neXgWxaLaIgAC7

Se você já estiver seguindo todas as melhores práticas, abra um ticket para o suporte da VTEX com mais detalhes sobre o cenário específico da sua loja para analisarmos no detalhe.

Fala Caio, bom dia.
Cara, a VTEX não vai conseguir te ajudar. Tentaram me ajudar, mas a resposta do ticket começou a ficar mais escasso, até que chegou no momento que não me respondem mais. Pedi uma analise no servidor deles, para ver se poderia ter alguma malware, já que não consigo ter esse acesso, mas até agora nada, tem quase 2 semanas.

@georgebrindeiro essas soluções de tutorial não rolam nesse problema. E desculpa, mas o ticket de nada ajudou.

@caiofrx o melhor caminho é esse da CloudFlare, na sexta, ainda tive 4 tentativas da fraude, vejo algumas compras testes sendo feitas, provavelmente essa quadrilha tentando driblar a segurança, ou seja, não é só um script jogado, tentativas de driblar isso, estão sendo feitas.

Mas até agora to bem satisfeito com a CloudFlare, assinei o plano pró, me ajuda no combate aos bots. Eu tive até um problema de excesso de combate, que até o bot do Google estava impedindo de ler o site, mas fiz alguns ajustes, procurei o forum deles e consegui chegar numa configuração básica e ta surtindo bastante efeito.

Conta comigo se precisar de algumas ajuda quanto a isso.

Abraços

@felipemagna chegou a algum resultado?
Comecei a sofrer com isto em algumas lojas.