Nonprofit Technology & Fundraising Blog
Subscribe to our mailing list
July 17, 2020 |
Read this blog post in French – Lire l’article en français
The simple answer is almost certainly YES! It is very common for criminals with stolen credit card information to use a nonprofit’s donation form to test which cards are still active and can be used to make fraudulent purchases.
The primary reason is that donation forms are intentionally made simple to complete and do not require an account or login. This makes it easy for the criminal to write programs that rapidly attempt small transactions (often as little as $1), cycling through their list of cards.
While the non-profit isn’t the primary fraud target, your organization can incur significant costs from both the transactions and the resulting cardholder chargebacks. It can also be time consuming to deal with the fraud. Lastly, your donors may be hesitant to give online in the future, which will hurt your donor retention efforts.
It might seem like it should be easy to implement measures to block this type of fraud, but the fraudsters are sophisticated and will simply adjust their program when they encounter simple measures like a minimum transaction size or the blocking of transactions from a particular IP address or country (most fraud is initiated from servers outside the U.S and Canada). Another common (and generally effective tool) for blocking automated testing is the use of challenge tools like Captcha, but putting that on your donation form will almost certainly reduce visitor conversion rates and thus deter legitimate donors.
The most effective way to protect your nonprofit is with a multi-layered system of security and monitoring processes. Here is what that looks like when you use DonorPerfect’s Online Forms:
Our SafeSave gateway accounts are set up with a series of fraud monitoring rules that prevent the most common testing schemes we’ve seen. Very importantly, our staff continually monitors processing activity and can activate and adjust the monitoring rules if/when we see fraudulent activity that is not prevented by these basic rules.
There are also features built directly into our forms that look for suspicious activity and activate additional security, such as Captcha, only when such activity is detected.
Requiring CVV can defer card testing since that information is often harder for fraudsters to acquire. Address Verification Service (AVS) is another option, but one that is generally less effective because requiring it will decline some legitimate transactions.
Machine Learning/Artificial Intelligence (ML/AI) – We’ve recently implemented an enterprise level ML/AI solution that we’ve trained to detect and block automated programs (bots) as well as known fraud origins and techniques if/when they target our servers. This has already proven effective in adding yet another layer of protection against this type of fraud attack, which is by far the most costly and disruptive.
Our systems and your data are protected by the highest level of security available through our cloud provider Amazon Web Services (AWS). AWS holds the US Department of Commerce’s National Institute of Standards and Technology (NIST) compliance. These standards afford us to build and secure our solutions and your data with the best technology providers in the world. Some additional security measures we take while building and administering our systems include:
Despite all these measures, it is still possible for fraudulent activity to occur. Ultimately, it is critical for you to have someone in your organization who is responsible for monitoring online donation activity on a daily basis. If they see anything suspicious (a spike in volume, small transactions, a high level of card declines, etc.), they should contact your donation form and merchant account provider ASAP for assistance.
Don’t wait to protect your nonprofit; chances are high fraud attempts will be made on your forms eventually. All donation form tools don’t offer the same level of protection, so ask your donation form provider how many instances of fraud testing they’ve had in the last year, and what measures they have in place to detect and prevent card testing fraud. If they don’t have a truly multi-layered approach, we’re happy to help you get set up with our tools.
La réponse simple : Oui! Les fraudeurs utilisent très fréquemment les informations de cartes de crédit volées sur des formulaires d’organismes de bienfaisance pour tester quelles cartes sont encore actives et pourraient donc servir à des achats frauduleux.
La raison numéro un : les formulaires de don en ligne sont construits intentionnellement pour être simples à remplir et ne nécessitent pas de connexion à un compte. Il est donc facile pour des criminels d’écrire des programmes qui testeront des petites transactions (le plus souvent inférieures à un dollar) avec des listes de numéros de cartes de crédit volées.
Bien que votre organisme ne soit pas visé spécifiquement par cette fraude, votre organisation pourrait avoir à supporter des frais importants de transactions et de rétrofacturation. La gestion de la fraude peut également être très coûteuse en temps. Il ne faut pas non plus oublier l’impact sur vos donateurs, ils pourraient hésiter à donner en ligne dans le futur et réduire ainsi votre taux de rétention.
Il peut sembler facile de mettre en place des mesures anti-fraudes, mais les fraudeurs sont très sophistiqués et ajustent leurs programmes informatiques lorsqu’ils se heurtent à un montant minimum ou un blocage de certaines adresses IP (les fraudes émanent le plus souvent de serveurs situés à l’extérieur de l’Amérique du Nord). Un autre moyen en général efficace pour bloquer les tests automatisés est le Captcha. Cependant placer cet outil sur un formulaire de don en ligne réduira les taux de conversion des visiteurs et fera fuir des donateurs légitimes.
Le moyen le plus efficace de protéger votre organisme est de mettre en place un système multi-couches de sécurité et de surveillance des processus. Voici les différentes mesures qui existent sur les formulaire en ligne de DonorPerfect :
Notre passerelle de paiement SafeSave est paramétrée avec une série de tests de surveillance des fraudes les plus répandues. Et surtout, nos équipes surveillent continuellement les transactions et peuvent activer et ajuster les règles de surveillance lorsque des activités frauduleuses hors normes arrivent.
Des fonctions internes aux formulaires examinent les activités suspicieuses et déclenchent des mécanismes additionnels de sécurité comme le Captcha en cas d’activité anormale.
L’obligation de saisir le cryptogramme visuel peut éviter les fraudes car c’est une information difficile à obtenir pour les fraudeurs. Le contrôle des adresses peut être une autre option mais moins efficace car des transactions légitimes pourraient être déclinées.
Nous avons récemment déployé une solution d’IA que nous entraînons à détecter et à bloquer des programmes robots. Cette solution détecte également des fraudes connues attaquant nos serveurs. Cette solution a déjà joué son rôle et ajoute une couche supplémentaire de protection contre ces types de fraudes coûteuses.
Nos systèmes et vos données sont protégés par le plus haut niveau de sécurité fourni par notre fournisseur Amazon Web Services (AWS). AWS détient une autorisation de conformité du “US Department of Commerce’s National Institute of Standards and Technology (NIST)”. Nous construisons et sécurisons nos solutions et vos données avec les meilleurs standards de technologie au monde. Les mesures additionnelles suivantes sont également en place :
Malgré toutes ces mesures, il est encore possible qu’une fraude arrive. Il est très important d’avoir une personne responsable de surveiller les dons en ligne quotidiennement. Dans le cas d’une activité suspecte (hausse soudaine des dons, petites transactions, augmentation du nombre de refus, etc.), la personne responsable devrait contacter le fournisseur des formulaires de don en ligne et du compte marchand immédiatement.
N’attendez pas pour protéger votre organisation, à un moment ou un autre des fraudes seront tentées sur vos formulaires. Toutes les solutions n’offrent pas les mêmes garanties. Demandez à votre fournisseur combien de fraudes type test ils ont eus l’an dernier et quelles sont les mesures mises en place pour prévenir ce type de fraude. Si votre fournisseur n’offre pas de sécurité multi-couches, nous sommes là pour vous aider à implanter nos outils.
Follow us on social!