你的收款页面,可能正被脚本一秒一秒地猜
上周三下午,我在家翻 Stripe 后台,突然看见一笔 0.5 美元的退款。当时心里一紧——如果客户卡被拿来试刷,我的小生意能扛住争议吗?
我也卡过这个认知:一直觉得"16 位卡号怎么可能猜得中"。这步我搞错过。后来才明白,卡号前 6 位是发卡行标识(BIN),公开可查;过期日期就 12 个月 × 几个年份;CVV 才 3 位。黑客用脚本同时发几百个并行请求,几分钟就撞开一张卡。
暴力破解是什么 + 谁已经被撞过
这种攻击叫 Card Cracking / Brute Force。原理很简单:拿一张已知前 6 位的卡号段,用自动化脚本批量组合后面的数字 + 过期日 + CVV,往你的收款页面发支付请求。试中了,这张卡就"开门"了。
我朋友小林,做独立电商的,上个月在微信上跟我讲:她 Shopify 店铺连续两天出现 3 笔 1 美元的小额订单,不同卡号,同 IP 段。后来才反应过来这是"敲门单"——黑客在试探她的支付页面有没有速率限制。如果没拦住,下一步就是大额盗刷。
你今天复刻成本
钱:0 元(大部分是支付平台免费设置)
时间:30 分钟
技术门槛:会点后台设置页面就行,不需要写代码
第一步:登录你的支付平台后台,找到"安全设置"或"风控"入口
具体做的事:
1. 开速率限制:限制同一 IP 每分钟最多尝试 3-5 次支付。Stripe 在 Dashboard → Radar 规则里加;支付宝/微信商户在风控管理里找"频率限制"。
2. 开 3D Secure 验证:就是付款时弹银行短信验证码那一步。Stripe 里搜索"3D Secure",开启"要求高风险交易验证"。
3. 设最低金额:把单笔最低金额设到 1 美元/1 元以上,堵住 0.01 元的试探单。
4. 关掉"免 CVV 扣款":有些旧接口允许不填 CVV 就扣款,一定要关。
分人群建议
刚起步:如果你刚开始收款、单量还很少,先开 3D Secure 验证就行,这是最省力的一道墙。其他设置现在不试也没事,别给自己压力。
有 1-2 客户:如果你已经有稳定付费客户,建议把速率限制和最低金额也配上。花半小时,省掉以后跟支付平台扯皮的麻烦。
在扩规模:如果你月流水过万,认真把上面四项全开,并且每周扫一眼退款记录里的异常模式(比如同一 IP 多卡号小额试探)。这时候一次盗刷争议的损失,远超你配置防护的时间成本。
说回来,这工具不是所有人都需要——如果你只收转账、不走在线卡支付,暂时不用操心。但如果你依赖 Stripe、Shopify 这类在线收单,值得花半小时看看。别像我一样,出了异常订单才后知后觉。