六种支付欺诈类型及防范方法

Radar
Radar

借 Stripe 强大网络之力打击欺诈。

了解更多 
  1. 导言
  2. 什么是支付欺诈?
  3. Types of payment fraud
  4. 支付欺诈的类型
    1. 网络钓鱼
    2. 银行卡盗刷 (Skimming)
    3. 身份盗窃
    4. 撤单欺诈
    5. 商业电子邮件诈骗
    6. 无卡欺诈
  5. 欺诈防护的好处

支付欺诈可能威胁企业财务和客户隐私,因此防御策略必须像欺诈者的手段一样复杂灵活。

支付欺诈形式多样,从盗取信用卡号码到发送恶意虚假邮件。例如,Tessian 的 2021 年研究显示,美国员工平均每年收到 14 封诈骗邮件,鼓动他们进行财务欺诈。某些行业的这一数字更高,零售员工每年平均收到 49 封诈骗邮件。

网络钓鱼是最常见的支付欺诈之一,占 2020 年所有数据泄露的 44%。而银行卡盗刷(欺诈者在 ATM 机或支付终端扒窃银行卡信息)行为每年让企业损失大约 10 亿美元。根据 FTC 的统计,身份盗窃则占据了 2021 年接近 600 万起欺诈报告的24%。这些只是企业需要抵御的部分支付欺诈类型。

支付欺诈威胁巨大,但企业可以通过多种有效的防御措施来减轻风险。以下是关于常见支付欺诈类型、其运作方式及保护措施的必要信息。

目录

  • 什么是支付欺诈?
  • 支付欺诈的类型
  • 欺诈防护的好处

什么是支付欺诈?

支付欺诈是一种金融欺诈,涉及使用虚假或盗用的支付信息来获取资金或商品。支付欺诈形式多样,通常包括盗用信用卡或银行账户信息、伪造支票、或利用被盗的身份信息进行未经授权的交易。

Types of payment fraud

There are several methods that fraudulent actors use to commit payment fraud. Here are some of the most common tactics:

Most common types of payment fraud - Icons representing ten different types of payment fraud

支付欺诈的类型

欺诈者采用多种手段实施支付欺诈。以下是几种常见的手段:

网络钓鱼

定义:
网络钓鱼是一种社交工程攻击——即通过心理操控的方式进行欺骗。欺诈者利用虚假邮件、短信或网站,诱骗个人泄露敏感信息,如登录凭证和信用卡信息。

网络钓鱼攻击通常通过伪装成银行或知名电商发出的邮件进行,邮件会要求收件人点击链接更新账户信息、验证近期交易或领取奖品。当收件人点击链接时,会被引导至一个假冒网站,在此输入登录凭证、信用卡信息或其他敏感数据。

网络钓鱼攻击还可以通过短信(称为“短信钓鱼”)或社交媒体平台(称为“网络农场”)实施。这些情况下,攻击者发送信息或链接至伪装成合法网站的虚假网站,以窃取个人信息或感染设备恶意软件。

防范措施:
为防范网络钓鱼攻击,点击不明或可疑来源的链接和附件时要谨慎。留意欺诈者的常用手法,如紧迫或威胁性语言、拼写错误或可疑链接。使用防病毒软件也有助于抵御网络钓鱼攻击。

如同其他支付欺诈类型一样,网络钓鱼骗局随着时间推移会变得更复杂,且更具伪装性。个人和企业应自我教育,并对员工进行网络钓鱼的识别和预防培训。

银行卡盗刷 (Skimming)

定义:
银行卡盗刷是一种欺诈行为,欺诈者使用名为“读卡器”(skimmer) 的设备盗取信用卡或借记卡信息。欺诈者将读卡器安装在 ATM 或 POS 终端(如加油站、自助结账通道及其他支付终端)上。读卡器会捕获卡片磁条数据,这些数据可被用来制作伪造卡片或进行欺诈性消费。

除读卡器外,欺诈者还可能使用微型摄像头或覆盖物安装在 ATM 或支付终端的键盘上,以捕获客户的 PIN。这些信息会和盗取的卡片数据一起用于未经授权的提现或消费。

防范措施:
银行卡盗刷难以察觉,因为读卡设备通常体积小巧且不显眼,但也并非无法发现。一些迹象可能表明存在窃取设备,例如松动或损坏的读卡器,终端上出现不寻常的或额外的设备,或设备与其他支付终端外观不同。

在使用支付终端和 ATM 时要小心,检查设备有无改动迹象。输入 PIN 时遮挡键盘也可防止摄像头盗取。

定期监控银行和信用卡账单,发现任何可疑交易及时向银行或信用卡公司报告。

使用数字钱包EMV 芯片卡也能防范窃取信息,这类技术比磁条卡更安全。确保企业接受这些安全支付方式,是防止信息窃取的有力措施。

身份盗窃

定义:
身份盗窃是一种支付欺诈,欺诈者窃取他人的个人信息(如姓名、社保号或信用卡号)并用于未经授权的消费,或以受害者名义开立账户。身份盗窃可能对受害者造成严重的财务和法律影响,带来巨大压力和焦虑。

身份盗窃包含多种欺诈手法,例如网络钓鱼攻击就是一种身份盗窃。数据泄露也是身份盗窃的方式之一,黑客可入侵公司数据库并窃取大量个人信息。其他方式还包括盗取邮件、翻找垃圾桶,或盗窃钱包或手提包。一旦获得个人信息,欺诈者可能会开立新的信用卡账户、申请贷款,甚至提交虚假税表。

防范措施:
企业可以采取多项措施预防身份盗窃。首先,确保客户数据安全存储,使用加密及其他安全措施防止未经授权的访问。限制员工对客户数据的访问权限,仅限于工作需要,并要求所有含有客户数据的账户和系统设置强密码和多因素认证。

员工培训对于防范身份盗窃也很重要,培训内容应包括如何识别钓鱼邮件和创建强密码等安全最佳实践。

监控客户账户的可疑活动,例如未经授权的登录或账户信息更改,可以帮助企业尽早发现身份盗窃并减少损失。选择合适的支付技术堆栈可避免欺诈检测和防护过度消耗时间和资源。Stripe Radar 是一项集成于所有 Stripe 支付产品中的高级欺诈检测和防护技术,包括 Terminal。

此外,企业应制定应对数据泄露的预案,包括通知受影响的客户并提供身份盗窃保护服务。

撤单欺诈

定义:
撤单欺诈——也称“善意欺诈”——是指客户对合法交易提出争议,声称未进行该笔交易,或未收到支付的产品或服务。在某些情况下,客户可能在获得退款后依然保留产品或服务,导致企业财务损失。撤单欺诈会给企业带来重大财务影响:不仅会失去该笔交易的收入,还需支付撤单费用和罚款。

撤单欺诈的发生方式有多种。撤单欺诈最常见的方式是顾客在完成合法购买后,却向信用卡公司提出争议,声称物品不符合描述或从未收到。另一种方式是顾客故意使用被盗信用卡进行购买,随后声称该笔消费未经授权。

防范措施:
防止撤单欺诈,企业应验证顾客身份,确保他们是使用该信用卡的合法持有人。这可以包括要求签名或在无卡交易中要求 CVV 码,或使用欺诈检测工具如地址验证或 IP 地理定位。企业还应制定清晰的退款和退货政策,并建立处理撤单争议的流程。保持所有交易的清晰记录,包括收据、运输信息和客户交流,以备撤单争议时提供证据。

商业电子邮件诈骗

定义:
商业电子邮件诈骗 (BEC) 付欺诈,欺诈者通过伪装的电子邮件诱使员工将资金转入虚假账户。在 BEC 诈骗中,欺诈者通常通过网络钓鱼或社交工程策略获取公司邮箱账户,并使用该邮箱向员工或供应商发送邮件,请求汇款或其他支付。

BEC 诈骗形式多样,常见的是欺诈者冒充高级主管或供应商,发出紧急付款请求。邮件通常看起来真实,带有公司品牌和熟悉的邮箱地址。但是,如果员工按照电子邮件中的指示进行操作,他们会将钱转入由欺诈行为者控制的银行账户。

BEC 骗局可能很难被发现,因为它们通常涉及利用人类对权威的信任的社会工程策略。但是,有一些迹象表明存在 BEC 骗局,例如:

  • 紧急付款请求
  • 不寻常的付款指示
  • 包含异常语法或拼写错误的电子邮件

防范措施:
防止 BEC 诈骗涉及许多已有的最佳实践,如教育员工识别并报告可疑邮件,实施双重认证和加密等安全协议。教育员工如何识别和报告可疑电子邮件,并实施强大的电子邮件安全协议,例如双因素身份验证和加密。

企业还应该有一个明确的付款审批流程,包括通过二级渠道(如电话或面对面交谈)验证付款指令。特别是涉及资金转移的内部请求时,明确的指引至关重要。

最后,与所有欺诈行为一样,定期监控银行账户是否存在可疑活动,制定应对 BEC 诈骗的计划,包括联系执法机构和通知可能受影响的客户或合作伙伴。

无卡欺诈

定义:
无卡支付 (CNP)欺诈指欺诈者使用盗窃的信用卡信息进行非现场消费,通常是在线或电话购买。随着电子商务的兴起,无卡支付欺诈日益普遍,可能给企业带来严重财务损失,因企业需承担撤单费用或虚假交易损失。

无卡支付欺诈通常发生在欺诈者通过数据泄露等方式获取盗窃的信用卡信息并进行未经授权的购买。另一种方法是欺诈者使用社会工程策略(例如网络钓鱼)直接从受害者那里获取银行卡信息。

防范措施:
企业可以采取多种措施防止无卡支付欺诈,包括:

  • 使用地址验证或 IP 地理定位等欺诈检测工具验证顾客身份并检测可疑活动
  • 实施强身份认证协议,包括双重认证和令牌化,以保护卡片信息
  • 保留所有交易的清晰记录,包括运输信息和客户交流,以备撤单争议
  • 制定详细的退款和退货政策,清晰传达给客户,并制定处理撤单和欺诈交易的流程

欺诈防护的好处

欺诈保护措施可以为企业提供安心,保护其财务资产和客户数据,提升客户的信誉,并增加其合规性。但这些好处远不止于此。以下是企业实施欺诈保护措施可以获得的关键好处概述:

  • 保护财务资产
    欺诈保护有助于保护企业的财务资产。虽然支付欺诈可能在个别事件中造成高昂的成本,但随着公司规模的扩大,欺诈的潜在威胁也会更加严重。通过实施欺诈保护措施,企业可以降低财务损失的风险,并更可靠地规划未来。

  • 保护客户数据
    企业投资强大的欺诈检测和预防措施时,不仅是在保护自己——也是在保护客户。支付欺诈通常涉及盗窃客户数据,如信用卡号码和个人信息。通过实施欺诈保护措施,企业可以保护客户数据,建立客户的信任和忠诚度。

  • 撤单缓解
    对于企业来说,撤单不仅意味着收入和商品的损失,还可能产生额外费用和处罚——更别提整理混乱所浪费的时间和精力。欺诈保护措施通过检测和防止欺诈交易,识别撤单趋势和漏洞,帮助防止撤单。

  • 维护声誉和客户忠诚度
    采取一切可能的步骤减少欺诈,有助于增强客户对企业的信任。即使是偶尔发生的支付欺诈也可能损害企业的声誉,有时甚至是不可修复的。通过实施欺诈保护措施,企业展示了其对安全的承诺。对于平台和交易市场特别如此,因为它们的客户也有自己的客户——以及声誉——需要保护。

  • 遵守法规
    许多行业都受到数据安全和隐私的监管要求。通过实施欺诈保护措施,企业可以遵守这些规定,避免罚款和处罚。

幸运的是,现代接受和处理支付的硬件和软件(包括 Stripe 提供的解决方案)通常都自带强大的欺诈保护。实施这些措施的成本通常低于支付支付欺诈可能带来的潜在费用。

欲了解更多有关如何通过 Stripe Radar 利用来自全球数百万家商家的数据智能地应对欺诈,请点击此处

本文中的内容仅供一般信息和教育目的,不应被解释为法律或税务建议。Stripe 不保证或担保文章中信息的准确性、完整性、充分性或时效性。您应该寻求在您的司法管辖区获得执业许可的合格律师或会计师的建议,以就您的特定情况提供建议。

准备好开始了?

创建账户即可开始收款,无需签署合同或填写银行信息。您也可以联系我们,为您的企业定制专属支付解决方案。
Radar

Radar

借 Stripe 强大网络之力打击欺诈。

Radar 文档

用 Stripe Radar 保护您的业务,远离欺诈。