Stripe如何解決信用卡欺詐? - Patrick

banq發表於2022-12-01

信用卡是一個傳統系統。它們對全球商業極為重要,但表現出路徑依賴。它們的大部分幕後運作都來自50多年前做出的設計, Stripe正在為每個人升級這個關鍵系統。

考慮一下信用卡欺詐的情況。信用卡最初設計的核心動機用例是:
”一個商務旅行者,在遠離家鄉的城市,想給一家他們永遠不會再走進去吃飯的餐館付錢。"

設計師們無法預測透過網際網路進行的無卡交易。它當時還不存在。
當年的一個設計決定是:企業在執行你的信用卡時,有可能會反饋一個錯誤資訊,
  1.  "04:取卡 "
  2. "07:取卡,特殊情況"。


這兩種情況都指示企業會實際扣押你的卡,並將其退回給髮卡銀行。
第一種是在卡片過期或丟失的情況下;第二種是暗中向企業通風報信,說銀行懷疑該卡被人冒用。

這些都是針對1960年代的威脅模式的良好決定。有人可能搶劫信用卡使用者並偷走他們的信用卡。如果我們知道這種情況發生了,那麼我們就需要把那塊塑膠拿回來。

你知道這個設計中沒有什麼關鍵因素嗎?
沒有設計任何途徑讓餐館向銀行報告:"嘿,實際上,我認為這筆費用可能是欺詐性的。我有塑膠卡,好吧,但有些東西......不對勁。也許你應該看看這個。"
為什麼不這樣設計呢?因為這在當時毫無意義:
洛杉磯的一家小餐館怎麼會比他們的銀行更瞭解來自芝加哥的旅行者的業務?
這是一個不言而喻的愚蠢的概念。銀行有專業人員,有資料,有重要的關係。

在過去的50年裡,信用卡的使用有了很大的發展。越來越多的部分是在網上進行的,即所謂的 "無卡 "情況下。
這是賦予全球經濟的一個重要的基礎設施。它也帶來了新的風險,需要新的解決方案。

其中一項風險是“信用卡測試”。持有信用卡號碼列表的壞人會想在嘗試從中提取價值之前驗證哪些卡仍然可用。
如果你在 1983 年告訴一位銀行職員“有時駭客會從暗網購買數十萬張信用卡”,他們會認為你看過戰爭遊戲太多遍了。
他們會教訓你:“暗網不是現實生活中的東西,孩子。”

2022年,暗網的存在只是信用卡發行程式風險管理的一個殘酷事實。

信用卡測試通常是透過批次執行這些卡來對無辜的另外一方進行的。另外一方受影響最嚴重的是慈善機構。這是因為明智地,他們經常沒有配備齊全的反欺詐行動;誰會試圖透過*給他們錢*來欺騙慈善機構?
信用卡竊賊,就是這樣的人。捐錢對小偷來說完全是偶然的;他們只想知道卡是否仍然有效。慈善機構實際上不會收到這筆錢;交易將被撤銷,慈善機構將支付罰款。

生態系統中幾乎沒有針對卡測試的內建保護。所以 Stripe 站出來建造了一些。

Stripe 使用機器學習模型、啟發式方法和人工欺詐分析師來捕獲整個 Stripe 網路中的卡片測試,包括在慈善機構中進行的測試。當我們檢測到特定組織受到攻擊時,我們可以迅速採取行動保護他們和金融生態系統。
這種保護的一種形式專門針對卡測試的經濟模型。欺詐者大量測試卡,因為他們試圖免費執行信用卡;它們完全可以透過計算機編寫指令碼。
如果且僅當我們有理由相信它們受到積極攻擊時,我們才能戰略性地在慈善機構的捐贈流程或其他購買流程中引入少量摩擦。

對於線上支付來說,即使是很小的摩擦也是不可取的。摩擦會減少發生的商業數量!但是,如果一個人知道自己正在被積極利用,那麼少量的摩擦就會非常非常迅速地破壞攻擊的經濟模型。
這不僅會快速停止卡測試。它可以防止一個組織對拒付負責(因為合法使用者對使用被盜信用卡支付的款項提出異議),節省他們的罰款,並最大限度地減少第三方未來的受害。

在 2022 年 2 月至 2022 年 8 月期間,Stripe 追蹤了信用卡欺詐的激增,其中不良行為者用數百萬美元或零美元的交易淹沒了商家。這些“卡測試”攻擊允許犯罪分子驗證被盜信用卡是否仍然有效,並可能削弱業務。在浪潮的高峰期,Stripe Radar ——Stripe 的防欺詐解決方案——每天阻止了超過 2000 萬次卡片測試嘗試。
結果令人鼓舞。今年到目前為止,Radar 又阻止了 4 億筆欺詐交易,將漏掉的銀行卡測試攻擊數量減少了一半——而沒有增加合法交易被誤認為欺詐的比率。
 

相關文章