Read this blog post in French – Lire l’article en français

Is Your Online Donation Form Vulnerable to Fraud?

The simple answer is almost certainly YES! It is very common for criminals with stolen credit card information to use a nonprofit’s donation form to test which cards are still active and can be used to make fraudulent purchases.

Why donation forms?

The primary reason is that donation forms are intentionally made simple to complete and do not require an account or login. This makes it easy for the criminal to write programs that rapidly attempt small transactions (often as little as $1), cycling through their list of cards.

While the non-profit isn’t the primary fraud target, your organization can incur significant costs from both the transactions and the resulting cardholder chargebacks. It can also be time consuming to deal with the fraud. Lastly, your donors may be hesitant to give online in the future, which will hurt your donor retention efforts.

It might seem like it should be easy to implement measures to block this type of fraud, but the fraudsters are sophisticated and will simply adjust their program when they encounter simple measures like a minimum transaction size or the blocking of transactions from a particular IP address or country (most fraud is initiated from servers outside the U.S and Canada). Another common (and generally effective tool) for blocking automated testing is the use of challenge tools like Captcha, but putting that on your donation form will almost certainly reduce visitor conversion rates and thus deter legitimate donors.

How Can Nonprofits Protect Themselves?

The most effective way to protect your nonprofit is with a multi-layered system of security and monitoring processes. Here is what that looks like when you use DonorPerfect’s Online Forms:

Fraud Monitoring & Transaction Blocking

Our SafeSave gateway accounts are set up with a series of fraud monitoring rules that prevent the most common testing schemes we’ve seen. Very importantly, our staff continually monitors processing activity and can activate and adjust the monitoring rules if/when we see fraudulent activity that is not prevented by these basic rules.

In-Product Thresholds

There are also features built directly into our forms that look for suspicious activity and activate additional security, such as Captcha, only when such activity is detected.

Credit Card Options

Requiring CVV can defer card testing since that information is often harder for fraudsters to acquire. Address Verification Service (AVS) is another option, but one that is generally less effective because requiring it will decline some legitimate transactions.

Machine Learning/Artificial Intelligence (ML/AI) – We’ve recently implemented an enterprise level ML/AI solution that we’ve trained to detect and block automated programs (bots) as well as known fraud origins and techniques if/when they target our servers. This has already proven effective in adding yet another layer of protection against this type of fraud attack, which is by far the most costly and disruptive.

Security Infrastructure

Our systems and your data are protected by the highest level of security available through our cloud provider Amazon Web Services (AWS). AWS holds the US Department of Commerce’s National Institute of Standards and Technology (NIST) compliance. These standards afford us to build and secure our solutions and your data with the best technology providers in the world. Some additional security measures we take while building and administering our systems include:

  • Multi-factor authentication (MFA) for administration and development access.
  • Encrypted data in transit within and external to the AWS environment.
  • Annual review and attestation of industry compliance standards held by AWS, such as SOC Type2, DoD, and PCI compliance.

Monitoring Processing Activity

Despite all these measures, it is still possible for fraudulent activity to occur. Ultimately, it is critical for you to have someone in your organization who is responsible for monitoring online donation activity on a daily basis. If they see anything suspicious (a spike in volume, small transactions, a high level of card declines, etc.), they should contact your donation form and merchant account provider ASAP for assistance.

What To Do If You Are Hit With Fraud

  • Contact your form and merchant account provider ASAP.
  • Ensure additional fraud protection measures are activated or deactivate your form.
  • In most cases, you should refund all fraudulent transactions to minimize the potential for chargebacks. Our processing support team can assist you to identify fraudulent transactions and determine which ones should be refunded.
  • If necessary, switch your form solution to one that provides a higher level of fraud protection.

Don’t wait to protect your nonprofit; chances are high fraud attempts will be made on your forms eventually. All donation form tools don’t offer the same level of protection, so ask your donation form provider how many instances of fraud testing they’ve had in the last year, and what measures they have in place to detect and prevent card testing fraud. If they don’t have a truly multi-layered approach, we’re happy to help you get set up with our tools.

Votre formulaire de don en ligne est-il vulnérable à la fraude?

La réponse simple : Oui! Les fraudeurs utilisent très fréquemment les informations de cartes de crédit volées sur des formulaires d’organismes de bienfaisance pour tester quelles cartes sont encore actives et pourraient donc servir à des achats frauduleux.

Pourquoi les formulaires de dons en ligne?

La raison numéro un : les formulaires de don en ligne sont construits intentionnellement pour être simples à remplir et ne nécessitent pas de connexion à un compte. Il est donc facile pour des criminels d’écrire des programmes qui testeront des petites transactions (le plus souvent inférieures à un dollar) avec des listes de numéros de cartes de crédit volées.

Bien que votre organisme ne soit pas visé spécifiquement par cette fraude, votre organisation pourrait avoir à supporter des frais importants de transactions et de rétrofacturation. La gestion de la fraude peut également être très coûteuse en temps. Il ne faut pas non plus oublier l’impact sur vos donateurs, ils pourraient hésiter à donner en ligne dans le futur et réduire ainsi votre taux de rétention.

Il peut sembler facile de mettre en place des mesures anti-fraudes, mais les fraudeurs sont très sophistiqués et ajustent leurs programmes informatiques lorsqu’ils se heurtent à un montant minimum ou un blocage de certaines adresses IP (les fraudes émanent le plus souvent de serveurs situés à l’extérieur de l’Amérique du Nord). Un autre moyen en général efficace pour bloquer les tests automatisés est le Captcha. Cependant placer cet outil sur un formulaire de don en ligne réduira les taux de conversion des visiteurs et fera fuir des donateurs légitimes.

Comment les organismes peuvent-ils se protéger?

Le moyen le plus efficace de protéger votre organisme est de mettre en place un système multi-couches de sécurité et de surveillance des processus. Voici les différentes mesures qui existent sur les formulaire en ligne de DonorPerfect :

Surveillance de la fraude et blocage des transactions

Notre passerelle de paiement SafeSave est paramétrée avec une série de tests de surveillance des fraudes les plus répandues. Et surtout, nos équipes surveillent continuellement les transactions et peuvent activer et ajuster les règles de surveillance lorsque des activités frauduleuses hors normes arrivent.

Mesures de détection internes

Des fonctions internes aux formulaires examinent les activités suspicieuses et déclenchent des mécanismes additionnels de sécurité comme le Captcha en cas d’activité anormale.

Options des cartes de crédit

L’obligation de saisir le cryptogramme visuel peut éviter les fraudes car c’est une information difficile à obtenir pour les fraudeurs. Le contrôle des adresses peut être une autre option mais moins efficace car des transactions légitimes pourraient être déclinées.

Apprentissage automatique / Intelligence artificielle (IA)

Nous avons récemment déployé une solution d’IA que nous entraînons à détecter et à bloquer des programmes robots. Cette solution détecte également des fraudes connues attaquant nos serveurs. Cette solution a déjà joué son rôle et ajoute une couche supplémentaire de protection contre ces types de fraudes coûteuses.

Sécurité des infrastructures

Nos systèmes et vos données sont protégés par le plus haut niveau de sécurité fourni par notre fournisseur Amazon Web Services (AWS). AWS détient une autorisation de conformité du “US Department of Commerce’s National Institute of Standards and Technology (NIST)”. Nous construisons et sécurisons nos solutions et vos données avec les meilleurs standards de technologie au monde. Les mesures additionnelles suivantes sont également en place :

  • Authentification multifacteur (MFA) pour l’accès à l’administration et au développement.
  • Données chiffrées en transit à l’intérieur et à l’extérieur de l’environnement AWS.
  • Examen annuel et attestation des normes de conformité de l’industrie détenues par AWS, telles que la conformité SOC Type2, DoD et PCI.

Surveillance des activités de transaction

Malgré toutes ces mesures, il est encore possible qu’une fraude arrive. Il est très important d’avoir une personne responsable de surveiller les dons en ligne quotidiennement. Dans le cas d’une activité suspecte (hausse soudaine des dons, petites transactions, augmentation du nombre de refus, etc.), la personne responsable devrait contacter le fournisseur des formulaires de don en ligne et du compte marchand immédiatement.

Quoi faire si vous êtes fraudés

  • Contacter votre fournisseur de formulaire et de compte marchand immédiatement.
  • Vérifier que les mesures additionnelles de prévention de la fraude sont mises en place sur vos formulaires ou désactiver votre formulaire.
  • Dans la plupart des cas, vous devriez rembourser les transactions frauduleuses afin de minimiser les charges de rétrofacturation. Notre équipe peut vous aider à identifier les transactions frauduleuses et à les rembourser.
  • Si nécessaire, changer votre solution de don en ligne pour une solution qui offre plus de protection contre la fraude.

N’attendez pas pour protéger votre organisation, à un moment ou un autre des fraudes seront tentées sur vos formulaires. Toutes les solutions n’offrent pas les mêmes garanties. Demandez à votre fournisseur combien de fraudes type test ils ont eus l’an dernier et quelles sont les mesures mises en place pour prévenir ce type de fraude. Si votre fournisseur n’offre pas de sécurité multi-couches, nous sommes là pour vous aider à implanter nos outils.

by Sam Goldenberg

Jul 17 20
No comments yet

Leave a Reply

Note: XHTML is allowed. Your email address will never be published.

Subscribe to this comment feed via RSS