Cuando nos metimos a vender por Internet, sabíamos que íbamos a tener que dedicar tiempo y atención al nuevo canal de venta. Así que hay un par de tardes a la semana que nos dedicamos a hacer mantenimientos de artículos, precios stock, banners… en profundidad. Además en la agenda diaria siempre tenemos como mínimo dos visitas a la web para revisar pedidos, consultas, peticiones de presupuestos. Pero lo que no pensábamos era que conforme la tienda fuese siendo conocida, tendríamos otras tareas no previstas.
Llevamos desde mediados del mes de diciembre con la tienda, saturada por spam de compras y presupuestos. Y es algo muy molesto y que nos está haciendo perder muchísimo tiempo e interfiriendo con los clientes reales, que si hacen compras y piden presupuestos de forma normal.
Tenemos varias clases de este tipo de conductas. Así día si y día también tenemos peticiones de presupuestos que llegan de Uganda, de Nigeria, de Mozambique… y otros bonitos países africanos. Algunos son peticiones de presupuestos puras. Otros nos piden un presupuesto para compra de equipos informáticos y nos quieren pagar con transferencias que debemos reenviar una parte, otros son versiones del timo del principe/ministro nigeriano. Claro abre uno la cuenta de correo y nos pasamos más tiempo borrando estos mensajes que leyendo los reales. Cuando no borras uno bueno por error en medio de la maraña de mensajes falsos. Ahora tenemos controlada la situación, porque vamos añadiendo las cuentas a la lista negra de cuentas de spam y van entrando menos. Imagino que hasta que vayan cambiando de cuentas.
Otro tipo de spam es más peligroso todavía. Nos llegan oleadas de compras a la tienda. Intentan pagar con tarjetas de crédito de dudosa procedencia. Tenemos que repetir el mismo proceso que con los presupuestos. Entramos a la aplicación de la tienda y tenemos 15 pedidos falsos, por cada uno real. Hasta ahora era fácil discriminarlos, no eran muy imaginativos con los nombres. Pero estos últimos días la cosa se pone más complicada, porque están usando nombres más españoles y tenemos que ir comprobando uno por uno.
El asunto ha llegado a tal nivel de sofisticación que en un par de ocasiones consiguieron hacer pasar la compra por le TPV virtual. Este módulo no es nuestro, sino que lo aporta el banco con el que trabajamos. Lleva sistema 3-D Secure de Visa y MasterCard y así y todo consiguen acabar la venta. El banco tiene un segundo nivel de seguridad y ahí consiguieron detectar el fraude y avisarnos antes de que enviáramos los productos. Pero esto ha creado una paranoia, que ha provoca que en varias ocasiones nos bloqueen compras correctas. Así que otra vez trabajo multiplicado y clientes que lo han hecho todo bien, y que ven sus pagos rechazados.
Así que me estoy planteando cerrar la compra en la tienda para clientes registrados y controlar el registro primero. Lo que sucede es que este tipo de soluciones no me gustan nada. Porque todo lo que sea hacer más difícil el proceso de la compra va en nuestra contra. Pero ya os digo, hay días que miro todo los pedidos falsos que nos entran y no sé que hacer.
Anterior y Posterior
17 Comentarios
Comentarios Cerrados
Hay algunas tiendas que ponen obligatorio el teléfono del cliente y no envían producto sin haber hecho una llamada y comprovado que la persona es quien dice ser o ha comprado que dice que ha comprado.
Es una lata, se pierde algo más de tiempo, pero es seguro.
Saludos y suerte
En uno de los casos que tuvimos llamamos y nos contesto en perfecto español… que todo OK. Lo hacen muy bien
Bienvenido al mundo de las estafas por Internet.
Si usáis comercio seguro, (bueno, si el banco lo usa), esto en principio debería minimizar vuestro riesgo, y pasa a ser del banco, aunque esto sólo funciona en la teoría. En caso de chargebacks os lo intentarán cargar igualmente.
Deberíais comenzar a pensar en poner filtros a nivel de IP, o como mínimo analizar la procedencia de la misma, en lugar de filtrar usuarios que, a la larga, es un trabajo más arduo. Otros filtros que podrías usar son coincidencia del nombre del destinatario de la mercacía y del titular de la tarjeta, o procedencia de la tarjeta (para esto necesitarías un fichero que os debe proporcionar el banco con rangos de números de tarjeta que indican el país emisor de la misma)… en fin, es todo un mundo, y en función del volumen que tengáis a través de la tienda, deberíais pensar en hacer una inversión en desarrollar sistemas lógicos de análisis de posibles estafas.
Para comenzar la opción de Miquel es lo básico, llamada, y para los más sospechosos que envíen por mail o fax copia del dni y tarjeta con una autorización de cargo firmada.
Saludos
Yo incluso acabo de empezar y estoy recibiendo de tanto en tanto estos emails.
Lo que tenéis que hacer, es lo que han dicho, que el cliente deje un nº de teléfono y le llaméis para confirmar que es un cliente de verdad.
Es una molestia, pero al menos así, os aseguráis que es una venta de verdad y no un timo.
Otra opción, es poner una dirección física y que sólo sea valida en el territorio español, poner un filtro en que si no es de España, se rechace automáticamente y que no deje repetir el proceso con la misma ip y con el mismo email, si el cliente se equivoca, pues que llame por teléfono.
Un saludo.
¿No os habéis planteado permitir el pago mediante paypal? Al menos en cuanto a fraude tengo entendido que es bastante menor, aunque la comisión sea mayor.
¿Las estafas son siempre del extranjero o hay también para envío a España?
Son desde España nombres españolizados direcciones de entrega y telefonos españoles
¿Es viable una lista negra de IPs en lugar de emails? También podéis filtrar los rangos de IPs por países creo… aunque no me hagas mucho caso.
La otra opción es que no sea obligatorio el registro pero tener una tabla con clientes (emails) recurrentes cuyo pedido se procesa inmediatamente y que los pedidos de clientes nuevos vayan a otra cola de proceso en la que hagáis más comprobaciones.
Por curiosidad, si el banco aprueba el pago y después os llama para rectificar ¿se hace responsable de algo o sólo os da una palmadita en la espalda por el trabajo perdido?
La cosa es más divertida. Soy yo (trabajo en el banco por las mañanas) el que me mosqueo. Llamarlo experiencia en tarjetas. Aviso al Departamento de Medios de Pago y al cabo de dos horas nos bloquean los pagos y llaman a mi socio a darle el susto del día. Y podría seguir contanto, pero no puedo.
Podríais tener en cuenta las ip y bloquear preventivamente ciertos rangos de algunos países desde donde venga esto, apartarlos de las peticiones normales y revisarlas cuando tengan tiempo.
yo creo q si el registro fuera mas seguro la gente q de verdad quiere comprar no le va a importar, ademas cuidado con eso de q t respondan q en esto de internet tb hay estafa made in spain.
o si no q solo puedan ir a recogerlo a correos con recibo bancario en mano, mas seguro q eso imposible.
Muchas soluciones pasan por molestar mas a los clientes reales y entorpecer su comodidad de comprar por internet….
y el pago contrareembolso? o transferencia previa?
En muchos sitios online, incluso yo mismo con algunos proveedores, hasta que no pagas, y ven o tienen la pasta, no sueltan la mercancía…
Si usais dedicado o servidor virtual bloquear ips en el iptables, usar las listas dshield y spamhaus.
Otra opcion, limitar el acceso a solo maquinas de españa, el modo complicado es por rangos de ips, algo tedioso y no fiable a mano, el modo facil, con los modulos geoip, maxmind tiene dos bases de datos gratis, una de paises y otra de nivel de ciudad, con el de paises vales, seria poner el mod_geoip para el servidor http (tanto apache como lighttpd lo tienen) o el mod_geoip para php, poner una comprobacion inicial para si la maquina visitante procede de españa –> 200 OK, o si no 403 o un redirect.
El problema es que la mayoría llegan de España. Con direcciones españolas, teléfonos españoles…
Pienso que todo este lio se solucionaba con el registro obligatorio de usuarios para realizar compra. Es lo que usan las “demas” tiendas, lo veo logico, mas aun cuano os interesa “mantener” el cliente, es como mas “familiar”, y para mi, personalmente, prefiero que una web de comercio online me oblige a registrarme para comprar, que una que no lo haga y vaya todo el proceso en “seco”, ademas, a la larga es mas comodo para el cliente pues ya tiene sus datos introducidos en la web, y solo lo tiene que hacer una vez, la primera, de vuestra manera, cada vez que quiera comprar algo tiene que picar los datos una y otra vez si lo hace como “invitado”, como lo teneis vosotros.
No se, es como decir, ¡hey! estoy aqui y voy a comprar, pero acuerdate de mi que voy a venir mas veces.
Yo quitaba pero ya la opcion de invitado.
Prefiero el registro obligatorio.
Saludos y paciencia.
Y si poneis un pequeño descuento para el pago con transferencia , como ya hacen otras webs.
Supongo que a vosotros os dará igual, ya que el descuento será más o menos la comisión que os cobran por pago con tarjeta de crédito, y así eliminais el riesgo en esas operaciones.
Al menos yo, pago por transferencia en todas las webs en que me supone algún ahorro.
Y apoyo también el registro obligatorio, al final es más comodo también para el usuario, al no tener que introducir los datos en el futuro.