Meio de Pagamento sendo floodado

Bom dia, a empresa para qual eu trabalho e estou há 3 meses entrou em um declínio de venda desde setembro. Até aí tudo bem, muita coisa pode ter influenciado isso, porém de março pra cá, percebi que estávamos sofrendo uma espécie de ataque, onde dezenas de vendas enchiam as transações e estranhamente, esses dias que isso acontecia, minhas vendas reduziam muito, mas ok, poderia ser apenas coincidência, até porque não sabia a relação causa/efeito disso.

Agora em abril, os ataques se intensificaram, ou seja, minha venda caiu mais e comecei a investigar e reparei que isso está acontecendo desde o dia 01/09/22, ou seja, foi quando as vendas do site caíram 50% em relação a agosto e isso continuou e aparentemente ninguem suspeitou.

Mesmo usando todos os meios para evitar fraude, ataques e etc, isso continua e o que ficavam em transações, de fato começaram a virar pedido na OMS, todas as barreiras da VTEX estão ativas (Recaptcha, antifraude, tudo o que está no manual de boas práticas).

O ataque tem um padrão, sempre é um email do gmail, por exemplo ThiagoAntonio123@gmail.com e todos sempre com a bandeira VISA.

Alguem aqui já passou por algo parecido? Ou ouviu falar dessa situação e tem alguma luz do que possa ser feito?

Já tenho uma chamado na VTEX e também estão tentando analisar essa situação por lá.

OBS: Olhei o meu histórico de implementações, até falando com funcionários antigos, e ninguem se lembra de algo ter ocorrido entre Agosto e Setembro.

Abraços

Também estou enfrentando esse flood no checkout. Se alguém tiver uma luz, vai ajudar bastante.

O recaptchaValidation no checkout está como always? Ou seja, o reCaptcha sempre aparece? Normalmente isso faz com que os bots parem de funcionar.

Sim, ta como Always e mesmo assim continua.
Com o hotjar, peguei o comportamento, é estranho, o site ele fica aberto fazendo algumas ações, entrando em categorias e rolando a página, como se tivesse um script rodando, porém, não existe a ida até o checkout na navegação.

Tô em contato com a equipe da VTEX e estão, aparentemente, quebrando a cabeça pra achar o motivo

@felipemagna você chegou a analisar as transações onde ocorreram essas operações?

Geralmente nos detalhes das transações gera um erro pelo Antifraude e eles podem ajudar nessa constatação de possível fraude.

Sugiro alguns tópicos que podem te apoiar nessa análise das transações.

• Buscar transações no Pagamentos
• Visualizar detalhes da transação em Pedidos
• Verificar erros ou problemas em uma transação
• Filtrar transações na seção de Pedidos
• Visualizar transações de pagamentos
• Obter o IP de um pedido
• Como funciona a retentativa do gateway de pagamentos?

Sobre o problema que você menciona do site, você tem o link da loja?

Realmente o Hotjar não vai capturar eventos de compra por questão de informações privadas. Se eu não me engano precisa ter uma autorização sobre isso.

Mas sugiro ainda verificar essa parte de transações e puxar com o Antifraude para fazer uma uma comparação de padrões.

Espero que estas informações te ajude.

Abs,
Estevão.
PO ENEXT

Bom dia @estevao_santos , tudo bem? Primeiramente obrigado pela atenção aqui na postagem. Esse é um ticket que tenho aberto na VTEX há mais de 2 semanas e não encontramos ainda um causador do problema.
Minha loja é a Cori, www.cori.com.br

Quantos aos pontos que voce colocou, já observamos tudo, acredito eu. Estavamos com a Cielo como gateway, tive reunião com eles e vimos que as tentativas de compra era recusamos em sua maioria pelo cartão estar inativo, ou seja, provavelmente é cartão roubado que foi bloqueado pelo cliente. O antifraude que usávamos, era a Konduto até ontem, porém, esse pedidos era bloqueados pela própria Cielo devido ao erro no cartão, pois eram em sua maioria, cerca de 90% tentativas de transações, não chegava a gerar um pedido pois tinha esse erro do cartão que mencionei.

Quanto a virar pedido, tive dias que cerca de 40 pedidos vazaram, que sujaram meu OMS, mas foram em 2 momentos.

Os Ips são variados, padrão não se repete, já analisei os pedidos que caem, e Estavao, se fossem um, dois, 5 pedidos num dia, até tudo bem, acontece com todo mundo, mas para voce ter ideia, anteontem tiver cerca do 80 tentativas em um dia. E realmente, o Hotjar não pega o checkout, mas o fato de ver que tem alguem conectado, sei que já atrapalha minha métricas de usuarios/sessões.

Ontem começamos com a Stone, mesmo assim tiveram tentativas de fraude seguindo o mesmo padrão que falei ao abrir o topico.

Abraços!

Entendi @felipemagna

Dei uma olhada no site e não vi nenhuma suspeita de inject JS por exemplo via console ou network ou algo que esteja simulando algum acesso como se fosse um bot, por exemplo.

Eu verifiquei que você também está protegido pelo PCI Standards VTEX PCI Certificate

Eu imagino que você tem 2 trilhas para mitigar o problema:

Segurança de acessos ao site:

Procurar alguma configuração de regra no DNS de vocês. O servidor pode ajudar nesse monitoramento.

Ou ainda, ferramentas específicas de monitoramento especialistas em Segurança na Web:

1. Palo Alto
2. Cisco
3. Fortinet
4. Symantec
5. Check Point

ANTIFRAUDE

Na questão de pagamentos você pode conversar com o seu conector para analisar as possibilidades como você já está fazendo.

CONCLUSÃO

A VTEX possui tecnologias próprias com segurança de ponta a ponta, por exemplo, relacionado a comunicação de APIs, módulos e consulta de informações privadas. Acho muito difícil ser algo relacionado a isso.

Você pode consultar por exemplo sobre isso aqui Security Practices - VTEX

A VTEX não tem o papel mitigador de acessos ou tipos de bloqueios ao seu site. Ela é uma ferramenta como meio mesmo de conclusão de compra. Inclusive, a questão do pagamento, que faz toda a validação é um parceiro externo (Gateway).

Portanto, para ter eficiência nisso eu imagino que você irá precisar mesmo fazer ações externas como ferramentas de seguranças que mencionei.

Espero que essas informações te ajude neste processos.

Abs,
Estevão.

Olá @felipemagna. Realmente é intrigante o reCaptcha sempre estar aparecendo e mesmo assim estão criando dezenas de transações de IPs diferentes. Será que acharam um jeito de bular o reCaptcha do Google? Acredito que o time de Segurança da VTEX deva estar analisando.

@felipemagna estou com o mesmo problema! Tanto que fomos até bloqueado no nosso adquirente por conta disso. A principio disseram ser uma falha na segurança do site, mas como vi que está ocorrendo em mais lojas, creio ser uma falha da estrutura do IO mesmo.

Você conseguiu chegar em alguma solução? Aqui testamos mudar pra Cielo, PagSeguro e nada surtiu efeito, continuamos sofrendo com os ataques de pedidos, sempre com cartão Elo ou MasterCard.

Saito, talvez viu? Recaptcha ja existe há muito tempo, não deve ser dificil burlar. Agora nem a própria VTEX sabe lidar. Agora que to vendo mais gente com problema, de alguma forma me anima a achar essa solução

Ainda nada @soupaulogomes. A Pagar.Me que ta me dando um suporte, tentando algumas alternativas que assim que eu aplica-las, posso colocar aqui. Mas tudo o que foi falado, ainda de nada adiantou.

A questão da empresa de cybersegurança, to verificando isso ainda. Por favor, se achar algo que ajude, qualquer coisa, poe aqui pra gente.

Vou compartilhar esse post com a pessoa que ta me atendendo dentro da VTEX.

@felipemagna aqui tem um arquivo e fala sobre um recurso chamado “Defense mode”.

Já chegou a ver se existe isso para você?

Eu falo mesmo no sentido de mitigação.

Caso encontre alguma outra opção mando aqui.

Abs,
Estevão.