Como a Fraude de Teste de Cartão Afeta a Entregabilidade de E-mail (E Como Preveni-la)

Atualizado: Aviso ao Leitor
LinkedIn
Resumir:ChatGPTPerplexity
Ver Markdown

Se você aceita pagamentos por meio de formulários do WordPress, há uma conexão importante entre a segurança de pagamentos e a entregabilidade de e-mails que você deve conhecer.

A fraude de teste de cartão é uma prática comum realizada por cibercriminosos, que usam bots automatizados para validar cartões de crédito roubados em seus formulários de pagamento. Esses ataques de teste de cartão não são apenas ruins para a segurança, mas também podem afetar sua reputação como remetente de e-mail de maneiras que afetam suas comunicações comerciais legítimas.

Veja por quê: Cada envio de formulário de pagamento geralmente aciona uma notificação por e-mail. Durante um ataque de teste de cartão, centenas ou milhares de tentativas fraudulentas podem gerar um pico repentino no volume de seus e-mails de saída. Esse padrão pode sinalizar aos provedores de e-mail que algo incomum está acontecendo com seu domínio, afetando potencialmente como seus e-mails são entregues.

Mas não há motivo para pânico! Com as medidas preventivas corretas em vigor, você pode proteger seus formulários de pagamento e sua infraestrutura de e-mail. 

Corrija seus e-mails do WordPress agora

Vamos explorar como funciona a fraude de teste de cartão e as etapas práticas que você pode tomar para proteger seu site WordPress.

O que é Fraude de Teste de Cartão?

A fraude de teste de cartão (também chamada de “carding” ou “card checking”) ocorre quando criminosos validam números de cartão de crédito roubados fazendo pequenas compras de teste em seu site. 

Os fraudadores compram listas de dados de cartão de crédito roubados na dark web, às vezes milhares de números de cartão de uma vez. Mas eles não sabem quais cartões ainda estão ativos, quais foram cancelados e quais acionarão alertas de fraude. Então, eles os testam.

Eles usam bots automatizados para enviar rapidamente pequenas transações, geralmente entre US$ 0,50 e US$ 5,00, por meio de formulários de pagamento que aceitam pagamentos variáveis (formulários de doação são um alvo comum).

Esses valores são baixos o suficiente para evitar sistemas de detecção de fraude, abaixo do limite que alertaria os titulares do cartão, e rápidos de processar, permitindo centenas de testes por hora.

Assim que um cartão processa com sucesso uma transação, o fraudador sabe que ele é válido. Esses números de cartão verificados são então vendidos com um prêmio na dark web ou usados para compras grandes antes que o titular do cartão perceba.

fraude de teste de cartão

Por que os sites WordPress são alvos principais?

  • Participação de mercado: O WordPress alimenta 62% de todos os sites com um sistema de gerenciamento de conteúdo, tornando-o a plataforma mais comum na web
  • Níveis de segurança variados: Pequenas empresas geralmente não possuem os sistemas sofisticados de detecção de fraude usados por grandes plataformas de e-commerce corporativo
  • Fácil acessibilidade: Formulários de pagamento são publicamente acessíveis e fáceis de localizar por meio de varredura automatizada

Uma nota sobre a segurança do WordPress:

É importante entender que o WordPress em si é uma plataforma segura e bem mantida. Testes de cartão não são uma vulnerabilidade específica do WordPress, mas sim um desafio que afeta todos os sites com formulários de pagamento, independentemente da plataforma. 

A boa notícia é que o WordPress oferece excelentes ferramentas e plugins especificamente projetados para prevenir esses problemas. Com a configuração adequada, os sites WordPress podem ser altamente seguros contra tentativas de fraude, mantendo uma excelente entregabilidade de e-mails.

Entregabilidade de E-mail e Fraude por Teste de Cartão

É aqui que as coisas ficam ainda mais complicadas para os proprietários de sites: Um único ataque de teste de cartão pode gerar de 500 a 5.000 tentativas de transação por hora, e cada uma delas dispara uma notificação por e-mail do seu site.

Quando fraudadores testam 1.000 cartões de crédito roubados em seu formulário de pagamento em 2 horas, seu site WordPress envia 1.000 e-mails de notificação do seu domínio nessas mesmas 2 horas.

Aumento no Volume de Envio de E-mails Durante um Ataque de Teste de Cartão

Envio normal: 50-100 e-mails por dia

Durante ataque: 500-1.000 e-mails por hora

Resultado: pico de volume súbito de 10x a 20x

Como os Provedores de E-mail Avaliam Padrões de Envio

Provedores de e-mail como Gmail, Outlook e Yahoo usam sistemas automatizados para avaliar o comportamento do remetente. Esses sistemas analisam padrões, incluindo mudanças súbitas no volume de e-mails de um domínio, consistência dos padrões de envio ao longo do tempo, taxas de engajamento e taxas de rejeição, e protocolos de autenticação.

Quando o volume de e-mails de um site aumenta repentinamente em 10-20x (o que pode acontecer durante ataques de teste de cartão), esses sistemas podem sinalizar o padrão como incomum. O desafio é que os sistemas automatizados não conseguem distinguir facilmente entre aumentos de volume legítimos e atividades potencialmente problemáticas.

Entendendo a Reputação do Remetente

Provedores de Serviços de Internet (ISPs) usam a consistência do volume como um dos vários sinais de confiança ao avaliar remetentes de e-mail. Eles geralmente preferem padrões de envio previsíveis.

Fatores de Reputação do Remetente

Quando o volume de e-mails de um domínio aumenta dramaticamente e inesperadamente, os ISPs podem aplicar escrutínio adicional. Isso ocorre porque padrões semelhantes às vezes estão associados a contas de e-mail comprometidas, operações de spam em massa ou problemas de segurança na infraestrutura de envio. Embora essa medida protetora ajude os ISPs a filtrar ameaças genuínas, ela também pode afetar remetentes legítimos que experimentam picos de volume inesperados.

Um ataque de teste de cartão pode potencialmente acionar limitação de taxa, impactar a colocação na caixa de entrada e afetar as métricas de reputação do remetente. A boa notícia é que esses problemas são preveníveis com medidas de segurança adequadas.

Impacto Potencial no Desempenho do E-mail

Quando a reputação do remetente é afetada por padrões de envio incomuns, várias coisas podem acontecer. A entrega de e-mails pode ser atrasada, pois as mensagens são enfileiradas para revisão adicional. Algumas mensagens podem ser filtradas para pastas de spam e as taxas de colocação na caixa de entrada podem diminuir. E-mails transacionais, como confirmações de pedidos e redefinições de senha, podem apresentar problemas de entrega.

Geralmente leva de 8 a 12 semanas para reconstruir totalmente a reputação do remetente após um impacto negativo, e é por isso que a prevenção é tão importante.

A melhor abordagem é implementar medidas de segurança que impeçam ataques de teste de cartão em primeiro lugar, protegendo tanto a segurança do seu pagamento quanto a sua infraestrutura de e-mail.

Picos de Volume vs. Reclamações de Spam: Entendendo a Diferença

A maioria dos proprietários de sites está familiarizada com o impacto das reclamações de spam na entregabilidade de e-mails. Gmail e Yahoo exigem taxas de spam abaixo de 0,3%, e a melhor prática é mirar em 0,1% ou menos. As reclamações de spam geralmente se acumulam gradualmente, dando tempo para identificar e resolver problemas.

taxa de spam baixa vs alta

Picos de volume de ataques de teste de cartão apresentam um desafio diferente porque acontecem repentinamente e afetam diferentes métricas.

Múltiplos fatores de impacto: Em vez de apenas afetar as taxas de reclamação, picos de volume podem influenciar a consistência do padrão de envio, taxas de rejeição (se fraudadores usarem endereços de e-mail inválidos), métricas de engajamento (e-mails de submissão fraudulentos geralmente têm zero aberturas ou cliques) e as proporções gerais de volume para engajamento.

Início rápido: Enquanto as reclamações de spam se acumulam ao longo do tempo, problemas de volume podem surgir em horas durante um ataque ativo. Provedores de Internet (ISPs) usam sistemas automatizados para sinalizar padrões de envio incomuns, o que significa que a intervenção acontece rapidamente, muitas vezes antes que você perceba que há um problema.

Cronograma: Como os Ataques de Teste de Cartão Afetam a Entrega de E-mails

Entender a linha do tempo de um ataque de teste de cartão pode ajudá-lo a reconhecer os sinais precocemente e tomar medidas preventivas. Vamos dar uma olhada em uma linha do tempo típica para ter uma ideia melhor de quão rápido um ataque como este pode afetar sua entregabilidade de e-mail:

Cronograma de ataque de teste de cartão

Estágio 1: O Ataque (Horas 0-3)

11:00 PM: A primeira transação fraudulenta é realizada. Um e-mail de notificação enviado.

11:15 PM: Cinquenta tentativas a mais. Cinquenta e-mails de notificação.

12:00 AM: O bot está em pleno vapor. Quinhentas tentativas na última hora. Seu servidor de e-mail está processando quinhentos e-mails de saída.

1:00 AM: Mais quinhentos. Seu volume diário normal é enviado em uma única hora.

2:00 AM: O limite de taxa é ativado. Seu provedor SMTP começa a limitar a velocidade porque seu padrão de envio agora é indistinguível de spam.

Estágio 2: Impacto no Serviço (Horas 3-24)

Se o ataque continuar sem ser abordado, o serviço de e-mail pode ser afetado. E-mails de redefinição de senha podem ser atrasados, e confirmações de pedido podem sofrer atrasos na entrega devido ao backup da fila. Algumas notificações podem ser filtradas ou atrasadas enquanto os ISPs revisam padrões de envio incomuns, e as taxas de entrega de newsletters podem diminuir temporariamente.

Estágio 3: Efeitos na Reputação (Dias 1-7)

Mesmo após interromper o ataque, o desempenho do e-mail pode continuar a ser afetado:

As métricas de reputação do seu domínio podem mostrar alterações à medida que os ISPs processam o padrão de envio incomum. Ferramentas de monitoramento de e-mail como o Google Postmaster Tools podem mostrar diminuições na pontuação de reputação. As taxas de colocação na caixa de entrada podem ser menores que o normal durante este período.

É por isso que a prevenção é muito mais eficaz do que a remediação.

Estágio 4: Processo de Recuperação (Semanas 1-12)

Se a reputação do remetente foi afetada, reconstruí-la exige uma abordagem metódica. Você deve reconstruir gradualmente sua reputação de envio através de um processo semelhante ao “aquecimento” de um novo endereço IP. Isso envolve um aumento gradual no volume de e-mails ao longo de 15 a 60 dias, começando com seus assinantes mais engajados.

Como Prevenir a Fraude de Teste de Cartão

Uma das maneiras mais eficazes de prevenir fraudes de teste de cartão é definir um preço mínimo em seus campos de pagamento. Essa configuração simples pode impedir milhares de tentativas fraudulentas antes que elas aconteçam.

Por que as Configurações de Preço Mínimo Funcionam

A abordagem é elegantemente simples, mas altamente eficaz. Quando você define um valor mínimo de transação em seus campos de pagamento (como R$ 5, R$ 10 ou R$ 20), qualquer transação abaixo desse limite não será processada.

Como os fraudadores preferem microtransações entre R$ 0,50 e R$ 2,00 (é menos provável que acionem alertas de fraude), definir um preço mínimo torna seu formulário pouco atraente para testes de cartão. Enquanto isso, clientes legítimos não são afetados porque seus produtos ou serviços reais já custam mais do que o mínimo.

Uma observação sobre formulários de doação

Formulários de doação são particularmente vulneráveis a ataques de teste de cartão porque geralmente permitem que os visitantes insiram qualquer valor que escolherem. Se você administra uma organização sem fins lucrativos ou aceita doações através do seu site WordPress, definir um valor mínimo de doação (mesmo que baixo, como R$ 5) pode reduzir significativamente sua exposição a fraudes sem desencorajar doadores legítimos.

Configurando Preços Mínimos

Se você estiver usando o WPForms, veja como configurar preços mínimos em seus campos de pagamento:

  1. Abra seu formulário no construtor de formulários
  2. Navegue até o formulário com campos de pagamento
  3. Selecione seu campo de Item Único de Pagamento
  4. Clique em Opções de Campo
  5. Encontre a configuração "Preço Mínimo"
  6. Insira seu valor mínimo
Formulário de pagamento com preço mínimo

A chave é defini-lo alto o suficiente para dissuadir fraudadores, mas baixo o suficiente para não impactar sua oferta legítima de menor preço. Para formulários de doação onde os visitantes podem inserir valores personalizados, mesmo um mínimo de R$ 5 oferece proteção significativa sem desencorajar doadores genuínos.

A Estratégia Completa de Proteção de E-mail

Prevenir fraudes de teste de cartão requer múltiplas camadas de proteção. Aqui está sua estratégia completa de defesa:

Camada 1: Prevenir o Ataque (Recursos de Segurança do Formulário)

Defina preços mínimos em todos os campos de pagamento como sua primeira linha de defesa. Essa configuração sozinha pode impedir milhares de tentativas fraudulentas. Isso é especialmente importante para formulários de doação onde os visitantes podem inserir qualquer valor.

Adicione CAPTCHA ou uma alternativa aos seus formulários para impedir que bots automatizados sequer cheguem aos seus campos de pagamento. A maioria dos plugins de formulário suporta Google reCAPTCHA v2 e v3.

Para formulários de alto valor, ative a verificação de e-mail para exigir que os usuários verifiquem seus endereços de e-mail antes de enviar. Você também pode usar lógica condicional para mostrar campos de pagamento somente após os usuários preencherem os campos de informação obrigatórios, tornando ataques automatizados mais difíceis.

Se você usa o Stripe para pagamentos, ative o Stripe Radar, o sistema de detecção de fraudes integrado deles que usa aprendizado de máquina em milhões de transações para identificar padrões fraudulentos.

Camada 2: Infraestrutura de E-mail Adequada (WP Mail SMTP)

Aqui está o ponto crítico que a maioria dos proprietários de sites WordPress perde: nunca confie na função padrão wp_mail() do WordPress para e-mails transacionais.

Por quê? Porque wp_mail() usa o servidor de e-mail do seu provedor de hospedagem, que carece de autenticação adequada (SPF, DKIM, DMARC), usa endereços IP compartilhados com reputação ruim, não tem recursos de limitação de taxa ou enfileiramento, não consegue lidar com picos de volume repentinos e não oferece registro ou monitoramento.

Quando um ataque de teste de cartão acontece, wp_mail() tentará enviar todas as notificações imediatamente, sem salvaguardas.

WP Mail SMTP roteia seus e-mails do WordPress através de um provedor de serviço SMTP profissional, oferecendo várias vantagens:

Autenticação adequada através de registros SPF, DKIM e DMARC que provam que seus e-mails são legítimos. Os provedores de internet (ISPs) dão grande peso à autenticação ao calcular a reputação do remetente.

Infraestrutura dedicada significa que seus e-mails são enviados através de servidores de e-mail profissionais com reputações estabelecidas, não do seu servidor de hospedagem compartilhada.

Limitação de taxa e enfileiramento garantem que, quando ocorrem picos de volume, os e-mails são enfileirados e enviados em taxas seguras, em vez de acionar alertas.

Conexões de backup permitem que você use um provedor de e-mail diferente se seu serviço de e-mail principal ficar temporariamente inativo.

Registro de e-mail rastreia cada e-mail enviado do WordPress. Durante um ataque, você pode ver exatamente o que está acontecendo e quantos e-mails foram enviados.

Melhor entregabilidade sob pressão porque os provedores SMTP profissionais são construídos para lidar com flutuações de volume e manter a entregabilidade durante ataques.

Corrija seus e-mails do WordPress agora

Camada 3: Estratégia Inteligente de Notificação

Audite todas as suas notificações de formulário e faça a si mesmo estas perguntas-chave:

Você precisa enviar um e-mail para cada envio? Para formulários de pagamento, considere enviar notificações apenas para pagamentos bem-sucedidos, ignorando notificações para transações recusadas ou usando notificações condicionais para filtrar fraudes óbvias (como não notificar se uma transação for inferior a R$ 1).

Você pode consolidar notificações? Em vez de um e-mail por transação, você pode implementar e-mails de resumo diário de todas as transações, notificações de limite (notificar apenas após 10 transações) ou alertas por SMS para atividades suspeitas em vez de e-mails.

Você está enviando para as pessoas certas? Revise suas configurações de "Enviar para" para remover destinatários desnecessários, use endereços baseados em função em vez de e-mails pessoais e considere enviar para um sistema de tickets em vez de e-mail.

Camada 4: Monitoramento e Alertas

Configure o monitoramento para que você possa detectar ataques precocemente:

Google Postmaster Tools mostra a reputação do seu domínio em uma escala de 4 níveis (ruim, baixa, média/razoável, alta) e alerta sobre reclamações de spam, erros de entrega e problemas de autenticação. Isso é particularmente importante para remetentes de alto volume.

Microsoft SNDS fornece feedback sobre sua reputação com domínios Outlook e Hotmail, enquanto Sender Score oferece uma classificação numérica gratuita de reputação de 0 a 100.

Ative o registro de e-mails do WP Mail SMTP para monitorar o volume de saída e configurar alertas para picos incomuns. Use o gerenciamento de entradas do seu plugin de formulário para observar padrões suspeitos, como envios múltiplos do mesmo IP, nomes semelhantes ou microtransações.

Reconhecendo Atividade de Teste de Cartão Antecipadamente

A detecção precoce de atividades de teste de cartão ajuda você a responder rapidamente e minimizar qualquer impacto. Aqui estão os padrões a serem observados:

Detecção de teste de cartão

Na sua caixa de entrada de e-mail: Observe um fluxo repentino de e-mails de notificação do formulário (dezenas por hora em vez de alguns por dia). As notificações geralmente mostram pequenas quantias (US$ 0,50-US$ 5,00) com nomes e endereços de e-mail diferentes, mas padrões de transação semelhantes. Você pode ver endereços de e-mail internacionais ou endereços que não correspondem aos países de faturamento, com todos os envios agrupados em minutos ou horas.

Nos seus registros de e-mail: Procure um aumento acentuado no volume de e-mails de saída (10 vezes ou mais do que sua taxa normal), com uma alta porcentagem de e-mails provenientes de notificações de formulários de pagamento. Tentativas de entrega falhadas podem estar aumentando junto com uma taxa de rejeição crescente.

No painel do seu processador de pagamentos: Múltiplas transações recusadas em rápida sucessão são um sinal de alerta. Observe diferentes números de cartão, mas o mesmo endereço de entrega, alertas de velocidade (muitas transações por minuto), uma mistura de endereços de faturamento internacionais e cartões sendo testados de países sinalizados por fraude.

Etapas de Recuperação da Entregabilidade de E-mail

Se a sua entregabilidade de e-mail foi afetada por um incidente de teste de cartão, aqui está uma abordagem estruturada para a recuperação:

Ações Imediatas (0-24 Horas)

Interrompa todos os ataques em andamento desabilitando temporariamente os formulários de pagamento ou habilitando imediatamente configurações de preço mínimo em seus campos de pagamento. Adicione reCAPTCHA se ainda não estiver habilitado e bloqueie endereços IP que exibem atividade fraudulenta.

Avalie os danos revisando os registros de e-mail do WP Mail SMTP para contar quantos e-mails foram enviados. Verifique as pontuações de reputação do remetente através do Google Postmaster, Microsoft SNDS e Sender Score. Teste a entregabilidade de e-mail para os principais provedores (Gmail, Outlook, Yahoo) e verifique o status de blacklisting usando ferramentas como MX Toolbox.

Implemente o controle de danos entrando em contato com seu provedor de SMTP imediatamente para explicar o ataque de teste de cartão. Pergunte sobre o status da reputação do IP e quaisquer opções de remediação, e solicite orientação sobre o cronograma de recuperação.

Recuperação de Curto Prazo (Semanas 1-4)

Pause os envios problemáticos e implemente um reaquecimento gradual, começando com volumes mais baixos e aumentando lentamente, priorizando usuários engajados.

Semana 1: Envie apenas para assinantes que abriram e-mails nos últimos 7-10 dias. Reduza o volume em 70-80% do normal, concentre-se nos seus e-mails transacionais de maior valor e monitore as métricas de entregabilidade diariamente.

Semanas 2-3: Expanda para assinantes engajados nos últimos 30 dias. Aumente o volume em 25% por semana, continue monitorando as taxas de rejeição e reclamações de spam, e observe as melhorias nas pontuações de reputação do remetente.

Semana 4: Adicione gradualmente assinantes menos engajados, aproxime-se de 50-70% do volume normal e observe a estabilização nas métricas de entregabilidade.

Prevenção a Longo Prazo (Contínua)

Implemente todas as camadas de proteção mantendo as configurações de preço mínimo habilitadas permanentemente em todos os formulários de pagamento e mantendo o reCAPTCHA em todos os formulários de pagamento. Use infraestrutura SMTP profissional para todos os e-mails do WordPress e realize auditorias de segurança regulares nas configurações dos formulários.

Estabeleça rotinas de monitoramento incluindo verificações semanais das pontuações de reputação do remetente, auditorias mensais de entregabilidade de e-mail, revisões trimestrais de segurança de todos os formulários e alertas automatizados para picos de volume.

Mantenha-se atualizado mantendo seu plugin de formulário atualizado (patches de segurança frequentemente corrigem a prevenção de fraudes), mantendo seu plugin SMTP atualizado, revisando os registros de autenticação de e-mail anualmente e mantendo-se informado sobre novas táticas de fraude.

Seus formulários de pagamento e infraestrutura de e-mail trabalham juntos como parte do sistema de comunicação geral do seu site. Ao proteger um, você geralmente está protegendo o outro.

Definir preços mínimos nos campos de pagamento fornece uma primeira linha de defesa eficaz contra fraudes de teste de cartão, ajudando a prevenir tentativas fraudulentas antes que elas possam gerar e-mails de notificação excessivos.

Usar uma solução SMTP profissional como o WP Mail SMTP garante que seus e-mails legítimos sejam entregues de forma confiável por meio de infraestrutura adequada com autenticação, limitação de taxa e recursos de monitoramento.

Com a configuração e as ferramentas certas implementadas, você pode aceitar pagamentos com confiança, mantendo uma excelente entregabilidade de e-mail.

Corrija seus e-mails do WordPress agora

Em seguida, saiba mais sobre como melhorar a segurança de e-mail do WordPress

Perguntando sobre o quão seguro o WP Mail SMTP realmente é? Ou você apenas quer dar mais um passo para melhorar sua segurança de e-mail como um todo? Nosso guia sobre segurança de e-mail do WordPress irá ajudá-lo.

Pronto para corrigir seus e-mails? Comece hoje mesmo com o melhor plugin SMTP para WordPress. Se você não tem tempo para corrigir seus e-mails, pode obter assistência completa de Configuração White Glove como uma compra adicional, e há uma garantia de devolução do dinheiro em 14 dias para todos os planos pagos.

Se este artigo ajudou você, por favor, siga-nos no Facebook e Twitter para mais dicas e tutoriais do WordPress.

Aviso: Nosso conteúdo é sustentado pelos leitores. Isso significa que, se você clicar em alguns de nossos links, poderemos ganhar uma comissão. Veja como o WPForms é financiado, por que isso importa e como você pode nos apoiar.

Rachel Adnyana

Rachel escreve sobre WordPress há uma década e constrói sites há muito mais tempo. Além do desenvolvimento web, ela é fascinada pela arte e ciência de SEO e marketing digital. Saiba Mais

Experimente nosso plugin gratuito WP Mail SMTP

Use seu provedor SMTP favorito para enviar seus e-mails do WordPress de forma confiável.