欺诈给商家带来的损失不仅仅是商品丢失。事实上,在美国金融服务业,每发生 1.00 美元的支付欺诈,平均会造成 5.75 美元的损失。这些成本是多层次的:交易争议会侵蚀利润,且欺诈调查会消耗员工时间。欺诈管理的开销可能会严重限制增长。欺诈风险管理框架为您提供了一种结构化的方式来最大程度地降低这些成本。它使您能够了解您的风险敞口,优先处理最重要的风险,并在攻击模式发生变化时实施能经受住考验的控制措施。
在下文中,我们将讨论什么是欺诈风险管理、四个阶段的周期在实践中是如何运作的,以及如何建立一个适合您商家的框架。
要点
欺诈风险管理通常遵循识别、评估、缓解和持续监控的周期。
往往对在线商家打击最大的欺诈类型(即无卡 (CNP) 欺诈、账户接管和友好欺诈)利用了远程数字交易留下的漏洞。
欺诈风险管理政策只有在包括明确的所有权、定义的风险偏好以及从一开始就内置的审查节奏时才能发挥作用。
什么是欺诈风险管理?
欺诈风险管理是识别、评估和应对您的商家可能被利用以获取财务利益的方式的流程。它在一个重要方面有别于一般的风险管理:欺诈涉及意图。您正在防范那些积极试图规避您的控制措施的人的行为。
欺诈风险管理是如何运作的?
欺诈风险管理周期分为四个阶段:识别、评估、缓解和持续监控。每一个都建立在前一个的基础之上。
欺诈风险识别
从您的攻击面开始:您的交易流是什么样的,人类在哪里与之互动,以及它在哪里是自动化的。CNP 交易量高的商家面临着与亲自接受支付的商家不同的攻击媒介。历史欺诈数据是一个起点,但它只告诉您已经见过的欺诈。模式分析和业务模式映射有助于在漏洞被利用之前揭示它们。
欺诈风险评估
并非所有欺诈风险都是平等的,您不能以同样的方式对待它们。从可能性和影响两个维度对每种风险进行评分。可能性反映了某种欺诈类型在像您这样的商家中发生的频率。例如,CNP 欺诈在电子商务中很常见,而第一方滥用在订阅和贷款产品中更为普遍。影响包括财务损失、交易争议费用、补救成本和客户体验下降。高可能性、高影响的风险应立即得到关注并采取专门的控制措施。
欺诈风险缓解
缓解措施将您的评估转化为三个层面的控制措施。预防性控制可以在欺诈发生前将其阻止。检测性控制在欺诈进行中或发生后不久将其捕获。响应程序定义了确认欺诈后发生的情况,例如暂停账户、收集用于争议的证据,并在必要时升级到执法部门。仅仅依赖预防会使您在出现新的攻击媒介时毫无准备。
持续的监控和审查
欺诈模式会发生变化,六个月前有效的控制措施今天可能就不管用了。欺诈者分享技术,新的产品特性会产生新的漏洞,并且攻击媒介的发展速度超过了年度审查周期的追踪能力。季度审查是一个合理的基准,由于交易争议率的重大变化、新产品发布或确认的欺诈事件会触发临时审查。
如何进行欺诈风险评估?
欺诈风险评估是对您的风险敞口进行的结构化审计。以下是所涉及的步骤:
定义范围: 确定您是要评估整个商家、特定产品线还是特定交易类型。范围决定了您的资产清单中包含的内容以及需要参与的人员。
构建交易映射: 记录交易流中可能发生欺诈的每一个点。在电子商务商家中,这包括结账、账户创建、支付方式存储、退款和争议。每一个都是潜在的攻击面。
识别欺诈场景: 在每个接触点,询问欺诈者可能会做什么(例如结账时的银行卡测试攻击、登录时的账户接管、争议阶段的友好欺诈),以及他们会获得什么。明确具体的场景可以使评估和缓解变得更加容易。
对可能性和影响进行评分: 使用历史数据、行业基准以及来自您的支付服务商的输入。可能性评分应反映您的实际交易量和客户情况,而不是通用的行业平均水平。影响评分应考虑到直接财务损失、交易争议费用、补救成本和客户体验下降。
确定优先级并分配所有权: 高优先级的风险需要有特定的人员或团队负责控制。没有所有权,控制措施就不会得到实施,审查也不会进行。
记录并设置审查日期: 欺诈风险评估的输出是一份动态文件,需要从一开始就附上审查节奏。
哪些欺诈风险对电子商务和金融平台最为重要?
通常对在线商家打击最大的欺诈类型都利用了缺乏物理验证的漏洞。它们包括以下内容:
CNP 欺诈
CNP 欺诈发生在被盗或受损的银行卡凭证用于在银行卡没有实际出现的任何渠道(在线结账、电话订单、定期开单和应用内购买)进行购物时。银行卡本身从不转手,如果不进行分层验证就很难被发现。CNP 欺诈率往往在大型数据泄露事件后达到顶峰,当时会有新的凭证集进入暗网市场。
账户盗用欺诈
撞库攻击(一种在多个网站上测试被盗用户名和密码组合的自动攻击)的运行成本很低,这使得账户接管欺诈成为一种常见威胁。欺诈者利用泄露的用户名和密码组合访问客户账户,然后更改发货地址、添加新的支付方式或耗尽已存储的价值。这尤其具有破坏性,因为即使商家做出正确回应,它也会削弱客户的信任。
友好欺诈
友好欺诈,也称为交易争议欺诈(有时被归为第一方欺诈的更广泛类别),发生在合法的持卡人进行购买后与其银行针对该扣款产生争议。他们声称自己从未收到货物或没有授权该交易。高于交易量约 1% 的争议率是一个常见的警告信号,尽管阈值因支付服务商和商家类别而异。
政策滥用
介于欺诈和合法客户行为之间的政策滥用包括退款欺诈、促销代码叠加和推荐滥用。这并不总是有组织的犯罪分子的杰作。有时,只是普通的客户在利用您政策中的漏洞。无论哪种方式,财务影响都是真实的,且相关控制措施与支付欺诈防范有重叠。
欺诈风险管理框架如何与您日常使用的工具相关联?
没有执行的欺诈风险管理框架只是一份文件。从策略到日常欺诈防范的转化是通过三类工具实现的:
规则引擎: 这些是基于逻辑的控制措施,允许您阻止来自新账户的高于一定价值的交易,标记开单国家和发货国家不匹配的订单,或要求对高风险产品类别进行额外验证。规则是快速透明的,但是静态的。复杂的欺诈行为会很快适应已知规则,这就是为什么仅靠基于规则的系统是不够的原因。
机器学习模型: 这些模型针对比任何规则引擎都能手动处理的更大特性集来分析交易。一个训练有素的模型可以同时衡量数百个变量并在几毫秒内生成风险得分。代价是缺乏透明度,因为机器学习模型并不总是能清楚地解释交易为何可疑,这可能会使争议解决和客户服务变得复杂。
监控和警报系统: 这些使整个流程形成闭环。实时管理平台、交易争议警报集成和自动报告会告诉您何时发生变化。如果没有监控,您将无法在审查周期之间发现漏洞。
Stripe Radar 将这三层整合到了 Stripe 的支付基础设施中。Radar 的机器学习模型是在整个 Stripe 网络的交易数据上进行训练的,这意味着它受益于您的商家单独无法生成的信号。您可以在其之上叠加自己的自定义规则,并对某些交易类型要求进行 3DS 验证,或者为符合已知欺诈模式的订单增加阻力。网络级情报和特定于商家的规则会协同工作,而不是孤立运行。
如何为您的商家制定欺诈风险管理政策?
欺诈风险管理政策使您的框架正规化。它定义了您要保护的内容、由谁负责保护它以及在出现问题时会发生什么。
以下是关于如何创建该政策的逐步指南:
定义政策的范围和目标: 要具体。“保持在行业标准的欺诈和争议阈值以下”是一个有用的目标。而“减少欺诈”则不是。
制定明确的风险偏好声明: 这有助于您的团队做出一致的决定。“在升级控制措施之前,我们最多接受银行卡交易中 0.1% 的欺诈率”是一个明确的声明。而“我们认真对待欺诈”则不是。
列出您实施的具体控制措施: 包括它们旨在防范什么以及归谁所有。它不需要详尽无遗,但应该足够具体,以便新的团队成员可以通过阅读它来了解您的防范姿态。
建立升级程序: 定义触发升级的条件、超过欺诈阈值时通知谁,以及已确认事件的响应时间线。当事情发展迅速且没有时间从零开始学习流程时,这些程序最为重要。
设置您的审查节奏: 何时对政策进行审查,是什么引发了周期外的审查?请预先定义这一点,否则可能就不会发生。
Stripe Radar 如何提供帮助
Stripe Radar 使用基于 Stripe 全球网络数据训练的 AI 模型检测和预防欺诈。随着欺诈手段的不断演变,Stripe Radar 会根据最新欺诈趋势不断更新模型,从而保护您的业务。
Stripe 还提供 Radar 风控团队版,支持用户针对业务特有的欺诈场景,添加自定义规则,并获取更深入的欺诈洞察。
Radar 可以帮助您的企业:
避免欺诈损失:Stripe 每年处理超过 1 万亿美元的支付交易。这种交易规模赋予了 Radar 独特的能力,使其能够精准检测并预防欺诈,为您避免经济损失。
增加收入:Radar 的 AI 模型基于真实的争议数据、用户信息、浏览数据等多维度信息进行训练。赋予 Radar 识别高风险交易并减少误报的能力,从而增加您的收入。
节省时间:Radar 内置在 Stripe 中,无需编写任何代码即可启用。您还可以在同一个平台上监控反欺诈表现、编写规则等,从而提高效率。
本文中的内容仅供一般信息和教育目的,不应被解释为法律或税务建议。Stripe 不保证或担保文章中信息的准确性、完整性、充分性或时效性。您应该寻求在您的司法管辖区获得执业许可的合格律师或会计师的建议,以就您的特定情况提供建议。