Le test de cartes est un problème de la couche paiement
Les fraudeurs valident des numéros de cartes volées en faisant passer de petites transactions ou des transactions rapides par votre paiement. Chaque test réussi devient un chargeback, et une seule campagne peut vous faire entrer dans un programme de surveillance des réseaux de cartes avec des amendes croissantes.
1,1 Md$ de pertes par énumération
Visa estime que les attaques par énumération causent 1,1 milliard de dollars de pertes de fraude annuelles dans le monde.
Chargebacks et frais
Chaque test réussi devient un chargeback : le montant de la transaction, les frais de chargeback et le temps de traitement opérationnel, tout cela à votre charge.
Programmes de surveillance et amendes
Franchissez le ratio d'énumération de 20 % du VAMP de Visa ou le seuil EFM de Mastercard et les amendes augmentent jusqu'à ce que votre capacité à traiter les paiements soit menacée.
Fraude consécutive rapide
33 % des comptes énumérés subissent une fraude dans les cinq jours suivant leur test.
Pourquoi le test de cartes échappe aux défenses du paiement
Les testeurs de cartes passent par des réseaux de proxys résidentiels, de véritables adresses IP de consommateurs sans antécédent de fraude. Elles sont propres selon toutes les mesures de réputation standard, de sorte que le blocage par IP ne se déclenche jamais.
Les agents modernes de test de cartes s'exécutent au sein de Chrome réel, imitent le comportement humain et varient leur timing. Ils ralentissent et répartissent les requêtes entre les sessions pour rester sous les seuils de vélocité conçus pour des bots rapides et scriptés. Lors de tests cside, des ingénieurs ont contourné la détection de bots traditionnelle dans 81 scénarios sur 100.
Les testeurs de cartes privilégient les formulaires de don et les paiements à faible montant minimum, sans parcours de panier ni connexion requise. Un user-agent Chrome réel, une IP résidentielle propre et un montant sous le seuil passent les contrôles de fraude de base, tandis que le véritable titulaire de la carte découvre le test plus tard.
Comment cside détecte le test de cartes
Empreinte de chaque paiement
cside collecte plus de 102 signaux liés à l'appareil, au réseau et au comportement sur chaque tentative de paiement pour construire une identité d'appareil persistante qui tient bon à travers les sessions, la navigation privée, le stockage effacé et les VPN.
- Capturez l'empreinte de l'appareil, la géolocalisation, les VPN/proxies, la configuration du navigateur et le comportement de remplissage des formulaires au moment du paiement.
- Faites ressortir le cycle rapide de cartes et les tentatives répétées de CVV liés au même cluster d'empreintes d'appareil, même à travers des cartes et des IP rotatives.
- Détectez l'utilisation d'un navigateur anti-détection ou d'un framework d'automatisation, et pas seulement la sortie falsifiée qu'il produit.
Bloquez avant le débit
Stoppez une campagne de test de cartes avant la fin de la transaction, le moment qui prévient tous les coûts en aval. Transmettez les signaux à votre moteur de règles pour bloquer, contester ou autoriser chaque tentative en temps réel.
- Envoyez les signaux bruts à votre stack de paiement et de règles via API ou webhook pour scorer chaque paiement avant la soumission.
- Appliquez un challenge tel que le 3DS ou un CAPTCHA comportemental lorsque les signaux sont élevés mais non décisifs, afin que les paiements rapides légitimes passent.
- Bloquez fermement les sessions à forte probabilité qui correspondent à un cluster d'empreintes signalé, avant un chargeback ou une amende de programme de surveillance.
Signaux bruts pour la détection du test de cartes
Accédez aux signaux via une API conçue pour les développeurs ou des webhooks. Protégez les flux de paiement, de checkout et de don.
Conçu pour les plateformes touchées par le test de cartes
eCommerce
Les formulaires de paiement et de don à faibles montants minimums sont des cibles de choix pour valider des cartes volées à grande échelle.
Plateformes de paiement
Les PSP et les passerelles absorbent les attaques par énumération sur chaque marchand qu'ils desservent, ainsi que le risque de programme de surveillance qui s'ensuit.
Plateformes Crypto
Les on-ramps et les exchanges sont fortement cardés car les cartes volées se convertissent directement en actifs difficiles à inverser.
Ressources pour vous aider à stopper le test de cartes bancaires
Pourquoi cside surpasse les outils traditionnels de fraude au paiement
cside ajoute une visibilité au niveau du navigateur que les règles de vélocité, la réputation d'IP et le CAPTCHA ne peuvent pas voir.
| vs. Règles de vélocité | vs. Réputation d'IP | vs. 3DS / CAPTCHA |
|---|---|---|
| Attrape les testeurs qui ralentissent pour rester sous les seuils | Signale les proxys résidentiels propres par l'appareil qui les sous-tend | Détecte les agents IA et les solveurs qui passent le challenge |
| Lit l'environnement du navigateur, pas le débit de requêtes | Voit les navigateurs anti-détection s'exécuter au sein de Chrome réel | Fonctionne passivement, sans aucune friction supplémentaire au paiement |
| Relie le cycle rapide de cartes à travers les sessions rotatives | Capture les signaux côté client invisibles dans les logs serveur | Se déclenche avant la soumission, et non après le chargeback |
Démarrez avec cside
Le plan gratuit inclut 1 000 appels API par mois avec les signaux de base. Passez au plan supérieur pour l'intelligence complète à partir de 99 $/mois pour 50K appels API.
Approuvé par les équipes sécurité et fraude d'entreprise :
“L'évolution des tactiques de fraude et les changements de comportement des consommateurs convergent pour les marchands. En unissant nos forces avec cside, nous proposons des solutions qui répondent aux problèmes concrets auxquels les marchands sont confrontés au quotidien, comme les contestations de type friendly fraud.”
Monica Eaton, CEO of Chargebacks911.
Détection passive sans friction au paiement
cside collecte passivement les signaux de l'appareil et du navigateur pendant qu'un acheteur finalise son paiement. Aucun challenge ni étape supplémentaire pour les acheteurs légitimes, tandis que les testeurs de cartes automatisés et pilotés par l'IA sont signalés par les signaux qu'ils ne peuvent pas dissimuler.
Un seul appareil, de nombreuses cartes
Un testeur de cartes peut faire tourner librement les numéros de cartes volées et les IP résidentielles, mais l'appareil qui exécute la session est rarement renouvelé. Une même empreinte qui parcourt quatorze cartes en une seule séance est un test de cartes à forte probabilité même lorsque chaque transaction individuelle reste sous vos règles de vélocité.
Démarrer avec la prévention du test de cartes
Ajoutez le script cside à vos pages de paiement et de checkout. Le fingerprinting fonctionne immédiatement, les tentatives de paiement sont scorées et votre tableau de bord se remplit de signaux de risque. Ensuite, connectez les signaux à votre flux de paiement pour contester ou bloquer le test de cartes avant la fin de la transaction.
FAQ
Foire aux questions
cside lit plus de 102 signaux liés à l'appareil, au réseau et au comportement pendant l'interaction de paiement elle-même. Il signale les frameworks d'automatisation et les navigateurs anti-détection grâce aux traces qu'ils laissent dans l'environnement d'exécution du navigateur, et relie le cycle rapide de cartes et les tentatives répétées de CVV à un seul cluster d'empreintes d'appareil, même lorsque le testeur fait tourner les cartes et les IP résidentielles.
Les testeurs de cartes par IA utilisent des réseaux de proxys résidentiels à la réputation d'IP propre et varient le timing des transactions pour rester sous les seuils de vélocité. Ils font tourner les sessions à travers différentes IP, empreintes et instances de navigateur. Les contrôles conçus pour des bots rapides et scriptés utilisant des IP connues comme mauvaises n'attrapent pas une opération de test de cartes bien configurée. cside évalue l'environnement du navigateur, que le testeur ne peut pas faire paraître propre.
Les signaux clés incluent le cycle rapide de numéros de cartes, les tentatives répétées de CVV sur la même carte, les parcours de paiement sans contexte d'achat préalable et un timing de remplissage de formulaire hors de la variance humaine. Lorsque ces signaux comportementaux se combinent à un VPN détecté ou à des incohérences d'empreinte, le score de risque grimpe, et une empreinte partagée entre des sessions signalées confirme une campagne coordonnée.
Appliquez un challenge, tel qu'une invite 3DS ou un CAPTCHA comportemental, lorsque les signaux sont élevés mais non décisifs, car la session peut être un paiement rapide légitime. Appliquez un blocage ferme lorsque les signaux sont à forte probabilité et que la session correspond à un cluster d'empreintes signalé ou s'adapte à vos contrôles de fraude. Une réponse graduée réduit les faux positifs sur les paiements rapides réels.
Les tests réussis deviennent des chargebacks, coûtant le montant de la transaction, les frais de chargeback et le temps de traitement. Des taux élevés de chargeback et d'énumération déclenchent des programmes de surveillance des réseaux de cartes comme le VAMP de Visa et l'EFM de Mastercard, qui imposent des amendes croissantes et peuvent restreindre votre capacité à traiter les paiements. Une seule campagne de test peut faire entrer un marchand conforme dans un programme de surveillance, et en sortir demande des mois de volume propre.