信用卡是一个传统系统。它们对全球商业极为重要,但表现出路径依赖。它们的大部分幕后运作都来自50多年前做出的设计, Stripe正在为每个人升级这个关键系统。
考虑一下信用卡欺诈的情况。信用卡最初设计的核心动机用例是:
”一个商务旅行者,在远离家乡的城市,想给一家他们永远不会再走进去吃饭的餐馆付钱。"
设计师们无法预测通过互联网进行的无卡交易。它当时还不存在。
当年的一个设计决定是:企业在运行你的信用卡时,有可能会反馈一个错误信息,
- "04:取卡 "
- "07:取卡,特殊情况"。
这两种情况都指示企业会实际扣押你的卡,并将其退回给发卡银行。
第一种是在卡片过期或丢失的情况下;第二种是暗中向企业通风报信,说银行怀疑该卡被人冒用。
这些都是针对1960年代的威胁模式的良好决定。有人可能抢劫信用卡用户并偷走他们的信用卡。如果我们知道这种情况发生了,那么我们就需要把那块塑料拿回来。
你知道这个设计中没有什么关键因素吗?
没有设计任何途径让餐馆向银行报告:"嘿,实际上,我认为这笔费用可能是欺诈性的。我有塑料卡,好吧,但有些东西......不对劲。也许你应该看看这个。"
为什么不这样设计呢?因为这在当时毫无意义:
洛杉矶的一家小餐馆怎么会比他们的银行更了解来自芝加哥的旅行者的业务?
这是一个不言而喻的愚蠢的概念。银行有专业人员,有数据,有重要的关系。
在过去的50年里,信用卡的使用有了很大的发展。越来越多的部分是在网上进行的,即所谓的 "无卡 "情况下。
这是赋予全球经济的一个重要的基础设施。它也带来了新的风险,需要新的解决方案。
其中一项风险是“信用卡测试”。持有信用卡号码列表的坏人会想在尝试从中提取价值之前验证哪些卡仍然可用。
如果你在 1983 年告诉一位银行职员“有时黑客会从暗网购买数十万张信用卡”,他们会认为你看过战争游戏太多遍了。
他们会教训你:“暗网不是现实生活中的东西,孩子。”
2022年,暗网的存在只是信用卡发行程序风险管理的一个残酷事实。
信用卡测试通常是通过批量运行这些卡来对无辜的另外一方进行的。另外一方受影响最严重的是慈善机构。这是因为明智地,他们经常没有配备齐全的反欺诈行动;谁会试图通过*给他们钱*来欺骗慈善机构?
信用卡窃贼,就是这样的人。捐钱对小偷来说完全是偶然的;他们只想知道卡是否仍然有效。慈善机构实际上不会收到这笔钱;交易将被撤销,慈善机构将支付罚款。
生态系统中几乎没有针对卡测试的内置保护。所以 Stripe 站出来建造了一些。
Stripe 使用机器学习模型、启发式方法和人工欺诈分析师来捕获整个 Stripe 网络中的卡片测试,包括在慈善机构中进行的测试。当我们检测到特定组织受到攻击时,我们可以迅速采取行动保护他们和金融生态系统。
这种保护的一种形式专门针对卡测试的经济模型。欺诈者大量测试卡,因为他们试图免费运行信用卡;它们完全可以通过计算机编写脚本。
如果且仅当我们有理由相信它们受到积极攻击时,我们才能战略性地在慈善机构的捐赠流程或其他购买流程中引入少量摩擦。
对于在线支付来说,即使是很小的摩擦也是不可取的。摩擦会减少发生的商业数量!但是,如果一个人知道自己正在被积极利用,那么少量的摩擦就会非常非常迅速地破坏攻击的经济模型。
这不仅会快速停止卡测试。它可以防止一个组织对拒付负责(因为合法用户对使用被盗信用卡支付的款项提出异议),节省他们的罚款,并最大限度地减少第三方未来的受害。
在 2022 年 2 月至 2022 年 8 月期间,Stripe 追踪了信用卡欺诈的激增,其中不良行为者用数百万美元或零美元的交易淹没了商家。这些“卡测试”攻击允许犯罪分子验证被盗信用卡是否仍然有效,并可能削弱业务。在浪潮的高峰期,Stripe Radar ——Stripe 的防欺诈解决方案——每天阻止了超过 2000 万次卡片测试尝试。
结果令人鼓舞。今年到目前为止,Radar 又阻止了 4 亿笔欺诈交易,将漏掉的银行卡测试攻击数量减少了一半——而没有增加合法交易被误认为欺诈的比率。