การฉ้อโกงการชำระเงินมีหลายรูปแบบ และส่งผลกระทบทางการเงินอย่างมาก ความสูญเสียทางธุรกิจที่เกิดจากการฉ้อโกงการชำระเงินออนไลน์คาดว่าจะสูงเกิน 3.62 แสนล้านดอลลาร์สหรัฐทั่วโลกภายในปี 2028
การจัดการการฉ้อโกงการชำระเงินที่ดีคือการสร้างระบบที่ตรวจจับและบล็อกการโจมตีได้โดยไม่สร้างความยุ่งยากมากจนทำให้ลูกค้าจริงปฏิเสธการทำรายการ ซึ่งรวมถึงการควบคุมแบบแบ่งชั้น การตรวจจับที่ผ่านการปรับแต่ง และวงจรคำติชมซึ่งจะเพิ่มความแม่นยำเมื่อเวลาผ่านไป
ด้านล่างนี้ เราจะกล่าวถึงวิธีการทำงานของการตรวจจับการฉ้อโกง กลยุทธ์การป้องกันใดบ้างที่ช่วยลดความเสี่ยง และเทรนด์การฉ้อโกงการชำระเงินที่ธุรกิจควรทราบ
ประเด็นสำคัญ
การจัดการการฉ้อโกงที่มีประสิทธิภาพคือการผสานการทำงานของการตรวจจับตามกฎเข้ากับแมชชีนเลิร์นนิง เพื่อตรวจจับทั้งรูปแบบการโจมตีที่เป็นที่รู้จัก และกลยุทธ์ใหม่ๆ ที่กฎแบบปกติอาจตรวจไม่พบ
เมื่อปริมาณธุรกรรมเพิ่มขึ้น การทำงานอัตโนมัติและวงจรคำติชมจะกลายเป็นรากฐานของการดำเนินการด้านการฉ้อโกง และจะใช้การตรวจสอบด้วยเจ้าหน้าที่สำหรับกรณีที่คลุมเครือจริงๆ เท่านั้น
เครื่องมือที่ผสานการทำงานภายในผู้ให้บริการชำระเงิน (PSP) แพลตฟอร์มของบุคคลที่สาม และระบบภายในแต่ละแบบจะเหมาะกับโปรไฟล์ธุรกิจที่แตกต่างกันไป ตัวเลือกที่เหมาะสมจะขึ้นอยู่กับปริมาณธุรกรรม ทรัพยากรภายใน และความเสี่ยงในการถูกฉ้อโกงโดยรวม
การจัดการการฉ้อโกงการชำระเงินคืออะไร
การจัดการการฉ้อโกงการชำระเงินคือชุดกลยุทธ์และระบบที่ธุรกิจใช้ตรวจจับ ป้องกัน และตอบสนองต่อธุรกรรมที่เป็นการฉ้อโกง ในสภาพแวดล้อมการชำระเงินดิจิทัล การฉ้อโกงการชำระเงินมักเกิดจากข้อมูลประจำตัวที่ถูกขโมย สัญญาณระบุตัวตนที่ถูกดัดแปลง หรือการละเมิดกระบวนการโต้แย้งการชำระเงินที่ถูกต้อง
หมวดหมู่ที่พบบ่อย 4 ประเภทสำหรับธุรกิจที่ดำเนินการการชำระเงินออนไลน์มีดังนี้
การฉ้อโกงบัตร: กรณีนี้จะเกิดขึ้นเมื่อมีผู้ใช้รายละเอียดของบัตรที่ถูกขโมยเพื่อทำการซื้อโดยไม่ได้รับอนุญาต จากนั้นธุรกิจจัดส่งสินค้าหรือให้บริการก็จะพบกับเหตุการณ์ดึงเงินคืนเมื่อเจ้าของบัตรตัวจริงสังเกตเห็น
การทดสอบบัตร: เป็นการโจมตีเชิงปริมาณ โดยอาชญากรที่ได้รายการหมายเลขบัตรที่ถูกขโมยมาจะพยายามขอการอนุมัติยอดเงินจำนวนเล็กน้อยหลายสิบหรือหลายร้อยครั้งในการชำระเงินรายการเดียวเพื่อดูว่าบัตรใดยังใช้งานได้ ซึ่งธุรกิจจะเป็นผู้รับผิดชอบค่าธรรมเนียมการอนุมัติ หากการโจมตีมีขนาดใหญ่พออาจทำให้อัตราการปฏิเสธการชำระเงินพุ่งสูงจนสร้างความเสียหายต่อความสัมพันธ์ระหว่างธุรกิจกับสถาบันผู้รับบัตรได้
การฉ้อโกงโดยการยึดบัญชี (ATO): เป็นการที่ผู้โจมตีเข้าควบคุมบัญชีลูกค้าจริงและใช้วิธีการชำระเงินที่บันทึกไว้เพื่อซื้อสินค้า เนื่องจากธุรกรรมมาจากบัญชีที่รู้จักซึ่งมีประวัติที่เชื่อถือได้ กฎง่ายๆ จึงมักจะตรวจไม่สามารถพบการพยายามยึดบัญชี
การฉ้อโกงด้วยความเป็นมิตร: เป็นการโต้แย้งการชำระเงินที่ส่งโดยเจ้าของบัตรตัวจริงที่ได้รับของที่สั่งซื้อไปแต่กลับอ้างว่าไม่ได้รับ เพื่อที่จะได้รับเงินคืนโดยไม่ต้องคืนสินค้า ธุรกิจอาจได้รับผลกระทบเหมือนกับการฉ้อโกงบัตร แต่ข้อแตกต่างคือตัวตนของผู้กระทำการฉ้อโกง
ตรวจจับการฉ้อโกงการชำระเงินได้อย่างไร
การตรวจจับจะเกิดขึ้นหลายจุดในวงจรธุรกรรม ทั้งก่อนการอนุมัติ ระหว่างการอนุมัติ และหลังการชำระเงิน ระบบการจัดการการฉ้อโกงหลายระบบจะใช้วิธีการหลายแบบซ้อนกัน เพื่อครอบคลุมรูปแบบการโจมตีที่แตกต่างกัน
การตรวจจับมีอยู่ 2 ประเภทหลักๆ คือ
การตรวจจับตามกฎ: กฎแบบคงที่และแบบไดนามิกจะทำการแจ้งเตือนถึงธุรกรรมที่ตรงกับรูปแบบการฉ้อโกงที่รู้จัก (เช่น ประเทศสำหรับการเรียกเก็บเงินไม่ตรงกับที่อยู่ IP, มีการใช้งานบัตรมากกว่าห้าครั้งในหนึ่งชั่วโมง, ช่วงหมายเลขประจำตัวของธนาคาร (BIN) มีประวัติอัตราการฉ้อโกงสูงใน) โดยกฎจะทำงานทันทีและให้คุณสามารถควบคุมได้โดยตรง แต่จะขาดความยืดหยุ่น ซึ่งกลยุทธ์การฉ้อโกงก็เปลี่ยนแปลงเร็วกว่าการคอยอัปเดตชุดกฎเอง และการมีกฎที่กว้างเกินไปจะกลายเป็นการปิดกั้นลูกค้าจริงได้
การตรวจจับด้วยแมชชีนเลิร์นนิง (ML): โมเดล ML จะประเมินสัญญาณหลายร้อยรายการพร้อมกันเพื่อให้คะแนนความเสี่ยงแก่ธุรกรรมแต่ละรายการ โมเดลเหล่านี้แตกต่างจากกฎแบบคงที่ตรงที่จะอัปเดตอย่างต่อเนื่องเมื่อได้รับข้อมูลใหม่ ซึ่งหมายความว่าโมเดลจะปรับตัวเมื่อกลยุทธ์การฉ้อโกงเปลี่ยนแปลง
ระบบตรวจจับการฉ้อโกงในสภาพแวดล้อมจริงจำนวนมากจะรวมทั้งสองรูปแบบนี้เข้าด้วยกัน โดยกฎจะจัดการกับกรณีที่ชัดเจน ส่วน ML จะจัดการกับกรณีที่คลุมเครือ ซึ่งเป็นกรณีที่มีสิ่งผิดปกติแต่ยังไม่สามารถฟันธงได้ การเรียกใช้ทั้งสองระบบร่วมกันจะช่วยเพิ่มความแม่นยำและช่วยให้คุณกำหนดเกณฑ์ที่แตกต่างกันตามกลุ่มความเสี่ยงได้
กลยุทธ์การป้องกันใดบ้างที่ช่วยลดความเสี่ยงในการถูกฉ้อโกงการชำระเงิน
การป้องกันจะหยุดการฉ้อโกงได้ก่อนที่จะเกิดขึ้น การตรวจจับและการป้องกันจะทำงานได้ดีที่สุดเมื่อใช้เป็นชั้นการทำงานที่เสริมประสิทธิภาพกันเอง โดยแต่ละชั้นจะทำงานในจุดที่ต่างกันในขั้นตอนการทำธุรกรรม
กลยุทธ์การป้องกันการฉ้อโกงมีดังนี้
การควบคุมก่อนทำธุรกรรม: การจำกัดความเร็วของการดำเนินการใช้บัตรต่อเซสชัน, CAPTCHA, การตรวจสอบเอกลักษณ์ของอุปกรณ์เมื่อสร้างบัญชี และการยืนยันที่อยู่อีเมลระหว่างการชำระเงินล้วนช่วยลดความเสี่ยงได้ก่อนที่จะมีการส่งธุรกรรม หากปรับตั้งกฎอย่างหละหลวมเกินไป การฉ้อโกงก็อาจหลุดรอดการตรวจจับไปได้ แต่หากปรับตั้งเข้มงวดเกินไป คุณก็อาจไปปิดกั้นลูกค้าจริงได้
3D Secure (3DS): เมื่อธุรกรรมได้รับการตรวจสอบสิทธิ์ผ่าน 3DS แล้วมีการโต้แย้งการชำระเงินในภายหลัง ความรับผิดในการดึงเงินคืนจะตกไปสู่บริษัทผู้ออกบัตรแทนที่จะเป็นธุรกิจของคุณ ขอแนะนำให้เลือกปรับใช้กฎเฉพาะบางกรณีแทนที่จะใช้กับทุกกรณี เนื่องจากจะเป็นการเพิ่มขั้นตอนในการชำระเงิน และอาจลดคอนเวอร์ชันของธุรกรรมที่มีความเสี่ยงต่ำได้
การตรวจสอบหลังการอนุมัติ: การตรวจสอบธุรกรรมหลังการอนุมัติแต่ก่อนการดำเนินการตามคำสั่งซื้อจะทำให้คุณมีเวลาในการยกเลิกคำสั่งซื้อที่น่าสงสัยได้ ซึ่งสำคัญมากสำหรับสินค้าที่จับต้องได้ที่มีมูลค่าสูง
การจัดการการดึงเงินคืน: การโต้แย้งการชำระเงินสำหรับการดึงเงินคืนที่เป็นการฉ้อโกงด้วยหลักฐานจะส่งผลโดยตรงต่ออัตราการดึงเงินคืนและความสัมพันธ์ระหว่างคุณกับสถาบันผู้รับบัตร ธุรกิจที่มีอัตราการดึงเงินคืนเกินเกณฑ์ที่บริษัทผู้ออกบัตรกำหนดจะมีค่าใช้จ่ายสำหรับธุรกรรมผ่านบัตรระหว่างธนาคารที่สูงขึ้น หรือถูกจัดให้อยู่ในโปรแกรมการตรวจสอบการฉ้อโกง ซึ่งทำให้ปัญหานี้เป็นทั้งปัญหาทางการเงินและปัญหาด้านการดำเนินงาน
เทรนด์การฉ้อโกงการชำระเงินใดที่ธุรกิจควรติดตาม
รูปแบบการฉ้อโกงเปลี่ยนแปลงอยู่ตลอดเวลา ตัวอย่างเทรนด์การฉ้อโกงการชำระเงินล่าสุดบางส่วนที่ส่งผลกระทบต่อธุรกิจมีดังนี้
การฉ้อโกงที่ไม่ใช้บัตร (CNP): เนื่องจากธุรกรรมออนไลน์ไม่ต้องใช้บัตรจริง จึงสามารถนำหมายเลขบัตรที่ขโมยมาใช้ได้จนกว่าจะถูกยกเลิก ซึ่งทำให้การฉ้อโกงแบบ CNP เป็นปัญหาที่พบได้บ่อยสำหรับธุรกิจที่ดำเนินการการชำระเงินออนไลน์
การทดสอบบัตรที่ขับเคลื่อนด้วยบอท: ผู้โจมตีจะใช้เครือข่ายบอทแบบกระจายศูนย์ที่มีการสลับที่อยู่ IP และปลอมแปลงเอกลักษณ์ของอุปกรณ์เพื่อทำการโจมตีด้วยการทดสอบบัตรที่ดูเหมือนเป็นการใช้งานจริง หากบอทแต่ละตัวมีพฤติกรรมอยู่ในเกณฑ์ปกติของแต่ละอุปกรณ์ การใช้กฎความเร็วเพียงอย่างเดียวมักจะไม่สามารถตรวจจับได้
การโต้แย้งการชำระเงินจากการฉ้อโกงด้วยความเป็นมิตร: อัตราการโต้แย้งการชำระเงินในสินค้าดิจิทัลเพิ่มสูงขึ้นเนื่องจากผู้บริโภคคุ้นเคยกับขั้นตอนการดึงเงินคืนมากขึ้น บางส่วนเกิดจากความสับสนจริงเกี่ยวกับวิธีการยกเลิกการสมัครใช้บริการ แต่ส่วนใหญ่ไม่ได้เป็นเช่นนั้น ไม่ว่าจะเป็นกรณีใด ข้อมูลนี้จะปรากฏในอัตราการดึงเงินคืนของคุณ
การฉ้อโกงจากผู้ซื้อในแพลตฟอร์มในการซื้อตอนนี้ จ่ายทีหลัง (BNPL): เมื่อ BNPL ขยายขอบเขตมากขึ้น กรณีที่ผู้บริโภคใช้ผลิตภัณฑ์ BNPL โดยไม่สุจริตก็เพิ่มขึ้นเช่นกัน ผู้บริโภคจะซื้อสินค้าโดยไม่ได้ตั้งใจจะชำระเงินคืน หรือจะอ้างว่าไม่ได้รับสินค้าทั้งที่มีการดำเนินการตามคำสั่งซื้อแล้ว ซึ่งเป็นกรณีที่การฉ้อโกงและความเสี่ยงด้านเครดิตทับซ้อนกัน และต้องใช้มาตรการควบคุมที่แตกต่างจากการฉ้อโกงผ่านบัตร
การจัดการการฉ้อโกงการชำระเงินมีการทำงานในขอบเขตกว้างอย่างไร
กลไกการจัดการการฉ้อโกงจะเปลี่ยนแปลงเมื่อปริมาณธุรกรรมเพิ่มขึ้น ธุรกิจที่ขยายไปยังภูมิภาคใหม่ๆ ก็จะพบกับรูปแบบใหม่ๆ ของการฉ้อโกง กฎของเครือข่ายบัตร และอัตราการโต้แย้งการชำระเงินที่แตกต่างกันไปตามตลาด การดำเนินการด้านการฉ้อโกงในขอบเขตที่กว้างมักจะแยกการจัดการกฎ การตรวจสอบ และการวิเคราะห์ออกจากกัน การรวมทั้งสามอย่างไว้ให้มีบทบาทเดียวกว้างๆ จะไม่สามารถขยายขอบเขตได้ และทำให้ไม่สามารถดูแลรักษาได้อย่างเหมาะสม
ในขอบเขตขนาดใหญ่ จะมีเป้าหมายเป็นการปรับให้ทำงานอัตโนมัติ คิวการตรวจสอบโดยเจ้าหน้าที่ซึ่งจัดการธุรกรรมที่น่าสงสัยเพียงไม่กี่ร้อยรายการต่อสัปดาห์จะกลายเป็นงานค้าง คุณจะต้องทำให้การตัดสินใจเหล่านี้ดำเนินโดยอัตโนมัติสำหรับกรณีที่ชัดเจน และส่งเฉพาะธุรกรรมที่คลุมเครือจริงๆ ให้เจ้าหน้าที่ตรวจสอบเท่านั้น ซึ่งต้องอาศัยความเชื่อมั่นในความแม่นยำของโมเดล ซึ่งต้องลงทุนในการฝึกและการติดตามตรวจสอบอย่างต่อเนื่อง หากธุรกรรมที่โมเดลของคุณอนุมัติกลายเป็นการดึงเงินคืนภายในหกสัปดาห์ต่อมา ต้องเพิ่มผลลัพธ์ดังกล่าวลงในชุดข้อมูลการฝึกด้วย นอกจากนี้โมเดลของคุณยังต้องฝึกกับผลบวกลวงด้วย หากไม่มีขั้นตอนนี้ ประสิทธิภาพของโมเดลจะลดลงเมื่อรูปแบบการฉ้อโกงมีการเปลี่ยนแปลง
เครื่องมือใดบ้างที่รองรับการจัดการความเสี่ยงจากการฉ้อโกงการชำระเงิน
ธุรกิจจำนวนมากมีตัวเลือกหลักเครื่องมือการจัดการการฉ้อโกงสามตัวเลือก ตัวเลือกใดจะเหมาะสมนั้นขึ้นอยู่กับปริมาณธุรกรรม ทรัพยากรภายใน และความซับซ้อนของความเสี่ยงในการถูกฉ้อโกงของคุณ
เครื่องมือป้องกันการฉ้อโกงในตัวของ PSP: เครื่องมือเหล่านี้จะผสานการทำงานกับการประมวลผลการชำระเงินของคุณในตัว ทำให้สัญญาณการฉ้อโกงและข้อมูลการชำระเงินอยู่ในระบบเดียวกัน ซึ่งจะจะไม่มีเวลาหน่วงในการโอนข้อมูลและไม่ต้องผสานการทำงานเพิ่มเติม ข้อเสียคือคุณจะต้องใช้เครื่องมือของแพลตฟอร์มเดียว ซึ่งอาจไม่สามารถครอบคลุมปัญหาเฉพาะได้ทุกกรณีที่ธุรกิจของคุณต้องพบเจอ
แพลตฟอร์มป้องกันการฉ้อโกงจากภายนอก: แพลตฟอร์มจากภายนอกที่เชี่ยวชาญเฉพาะด้านจะทำงานอยู่บนสแต็กการชำระเงินของคุณและมีความสามารถในการปรับแต่งได้มากกว่า บางแพลตฟอร์มก็มาพร้อมกับโมเดลการรับประกันการดึงเงินคืน แพลตฟอร์มเหล่านี้เหมาะสำหรับธุรกิจที่มีความเสี่ยงในการถูกฉ้อโกงสูงหรือมีความซับซ้อน ซึ่งต้องใช้การควบคุมระดับสูงกว่าเครื่องมือในตัวของ PSP แต่การผสานการทำงานและการกำหนดเส้นทางข้อมูลจะเพิ่มความซับซ้อนมากขึ้น
ระบบป้องกันการฉ้อโกงภายในองค์กร: ระบบเหล่านี้สร้างขึ้นโดยแพลตฟอร์มขนาดใหญ่และมาร์เก็ตเพลสที่มีปริมาณธุรกรรมเพียงพอ และมีรูปแบบการฉ้อโกงเฉพาะทางที่จะคุ้มค่ากับการลงทุนด้านวิศวกรรม ระบบนี้ให้คุณสามารถควบคุมสัญญาณ เกณฑ์ และวงจรคำติชมได้อย่างสมบูรณ์ แต่ต้องใช้ความทุ่มเทด้านวิศวกรรมอย่างต่อเนื่อง ไม่ใช่การสร้างเพียงครั้งเดียวแล้วเสร็จ
Stripe Radar สร้างขึ้นจากโมเดล ML ที่ถูกฝึกโดยใช้ข้อมูลจากเครือข่าย Stripe ทั้งหมด ซึ่งก็คือธุรกรรมจากธุรกิจหลายล้านแห่งทั่วโลก ความครอบคลุมของข้อมูลการฝึกนี้สำคัญมาก โมเดลนี้มีข้อมูลรูปแบบการฉ้อโกงจากอุตสาหกรรม ภูมิภาค และประเภทธุรกิจต่างๆ ในรูปแบบที่ระบบป้องกันการฉ้อโกงของธุรกิจแบบเดี่ยวไม่มี คุณสามารถตั้งกฎเพื่อบล็อก อนุญาต หรือตรวจสอบธุรกรรมได้ตามเกณฑ์คะแนน และสามารถเขียนกฎได้โดยไม่ต้องพึ่งพาทีมวิศวกรทุกครั้งที่ต้องการปรับเปลี่ยนเกณฑ์
Stripe Radar ช่วยอะไรได้บ้าง
Stripe Radar ใช้โมเดล AI ในการตรวจจับและป้องกันการฉ้อโกง โดยฝึกด้วยข้อมูลจากเครือข่ายทั่วโลกของ Stripe ระบบจะอัปเดตโมเดลเหล่านี้ตามแนวโน้มการฉ้อโกงล่าสุด เพื่อให้ธุรกิจได้รับการปกป้องเมื่อการฉ้อโกงพัฒนาซับซ้อนขึ้น
Stripe ยังมี Radar for Fraud Teams ซึ่งช่วยให้ผู้ใช้เพิ่มกฎที่กำหนดเองเพื่อจัดการกับสถานการณ์การฉ้อโกงเฉพาะสำหรับธุรกิจของตนและเข้าถึงข้อมูลเชิงลึกเกี่ยวกับการฉ้อโกงที่ล้ำสมัย
Radar ช่วยธุรกิจได้ดังนี้
ป้องกันการสูญเสียจากการฉ้อโกง: Stripe ประมวลผลการชำระเงินมากกว่า 1 ล้านล้านดอลลาร์ต่อปี ซึ่งปริมาณเงินขนาดนี้จะช่วยให้ Radar ตรวจจับและป้องกันการฉ้อโกงได้อย่างแม่นยำ และช่วยประหยัดเงินให้คุณ
เพิ่มรายรับ: โมเดล AI ของ Radar ฝึกด้วยข้อมูลการโต้แย้งการชำระเงินที่เกิดขึ้นจริง ข้อมูลลูกค้า ข้อมูลการเรียกดู และอื่นๆ ซึ่งทำให้ Radar ค้นหาธุรกรรมที่มีความเสี่ยงและลดผลบวกเท็จได้ และส่งผลให้คุณมีรายรับเพิ่มขึ้น
ประหยัดเวลา: Stripe มี Radar ในตัวและไม่ต้องใช้โค้ดในการตั้งค่า คุณยังติดตามตรวจสอบประสิทธิภาพในการจัดการการฉ้อโกง เขียนกฎ และอื่นๆ อีกมากมายได้ในแพลตฟอร์มเดียว ซึ่งจะช่วยเพิ่มประสิทธิภาพ
ดูข้อมูลเพิ่มเติมเกี่ยวกับ Stripe Radar หรือเริ่มใช้งานเลยวันนี้
เนื้อหาในบทความนี้มีไว้เพื่อให้ข้อมูลทั่วไปและมีจุดประสงค์เพื่อการศึกษาเท่านั้น ไม่ควรใช้เป็นคําแนะนําทางกฎหมายหรือภาษี Stripe ไม่รับประกันหรือรับประกันความถูกต้อง ความสมบูรณ์ ความไม่เพียงพอ หรือความเป็นปัจจุบันของข้อมูลในบทความ คุณควรขอคําแนะนําจากทนายความที่มีอํานาจหรือนักบัญชีที่ได้รับใบอนุญาตให้ประกอบกิจการในเขตอํานาจศาลเพื่อรับคําแนะนําที่ตรงกับสถานการณ์ของคุณ