本报告全面概述了网络欺诈的现状。我们分析了 2019 至 2022 年的数据，包括数百万企业使用 Stripe 进行的数十亿次尝试性支付，并与 Milltown Partners（其与 focaldata 建立了合作伙伴关系）合作对全球九大市场（澳大利亚、加拿大、法国、德国、日本、荷兰、新加坡、英国和美国）的 2500 多名企业领导展开了调查。

结合 Stripe 分析报告和这些调查结果，我们得以确定去年与欺诈相关的几大趋势，比如：2020 年与产品相关的争议增多，以及经常性收入企业尤其关注欺诈所带来的财务影响。基于大数据挖掘，我们还在报告中重点介绍了成功应对这些欺诈趋势的技巧。在报告结尾，我们根据对欺诈行业发展方向的预测，提出了四个总体性的最佳做法。

本报告分为以下四部分：

1. 欺诈增多的原因
   
2. 欺诈在不同地区、国家和公司规模下的差异
   
3. 欺诈对企业的影响
   
4. 我们对欺诈行业的预测
   

执行摘要

• 根据我们的调查，全球 64% 的企业领导表示自从疫情爆发后，企业防范欺诈变得更加困难。我们认为这一定程度上是因为欺诈类型和欺诈总量增加。
  
• 在疫情初期，我们注意到与产品相关的争议在短期内增长了 156%，比如“没有收到产品”和“对产品不满意”等争议原因代码。我们推测，卖方因为供应链中断需要花费数周甚至数月的时间才能履行订单，这导致客户纷纷要求撤单。
  
• 我们还发现，有超过 40% 的企业经历了尝试性银行卡测试攻击。疫情期间，有数千家新的电商企业成立，我们认为正是这股增长势头给欺诈者创造了可乘之机。
  
• 世界各地企业所遭受的欺诈攻击都在增长，然而拉丁美洲的企业无论过去还是现在都特别容易受到欺诈攻击。我们注意到，拉丁美洲企业的欺诈率比北美洲企业高 97%，比亚太地区的企业高 222%。各种特定的地区因素造成了这一现象，比如当地运行的支付基础设施。
  
• 经常性收入企业（尤其是 B2C 公司）是欺诈的重灾区。超过 75% 的 B2C 订阅企业反映，去年他们的人工审查工作量增加了，使得他们不得不调动更多资源去打击欺诈。我们认为，这些面向消费者的企业拥有更强烈的品牌意识，他们的产品也更容易转售。因此，欺诈者更有可能将他们锁定为目标。
  
• 欺诈对企业的影响不仅仅是财务损失。Stripe 分析报告发现，对于企业而言，越是试图防范欺诈，越是容易阻挡合法收款，从而导致支付转化率降低。为减少这些误报，企业可以人工审查被标记的支付，但是这会带来额外的运营开支。
  
• 我们预测以下四种方式将帮助企业应对这些趋势：1）3DS 等干预措施将发挥更大的作用；2）更丰富的数据资源将帮助企业更迅速地做出更精确的决定；3）发卡行与企业将开展更多合作，尽可能高效处理争议，减少错误拒付；4）消费者支付偏好将继续转变，从而改变欺诈情势。
  

欺诈增多的原因

新冠疫情期间，电商迎来了历史性的增长浪潮。2021 年，广大企业使用 Stripe 处理了超 6400 亿美元 的支付，比上一年增长了 60%。这些支付来自一个快速增长的企业群体：去年，每天有 1400 家新公司 加入 Stripe。这种增长，特别是新公司的增长，令欺诈者有机可乘。

许多人是第一次创业，他们缺乏工具或资源去应对欺诈，或者他们更注重建立业务、实现盈利，而不是制定欺诈预防战略。但是这些挑战并非专属于新创企业，即使是成熟企业也已发现，比起疫情前，欺诈形式变得更复杂，欺诈数量变得更多，他们防范欺诈的难度也增加了。

同时，欺诈者也变得更加狡猾。他们经常组成团伙，联系其他欺诈者并分享“最佳实践”，发现针对企业的新方式。

2020 年与产品相关的争议比 2019 年翻了一番

从 2020 年 3 月到 2020 年 5 月，Stripe 分析报告发现，可能导致非欺诈性相关原因代码（比如“未收到产品”和“对产品不满意”等争议）的支付超出了 2019 年的两倍。我们推测，卖方因为供应链中断需要花费数周，甚至数月的时间才能履行订单，这导致客户撤单请求增多。

拉丁美洲的与产品相关的争议率似乎最低，但我们认为这一结果是由发卡行行为所致。在墨西哥，上报争议时缺少原因代码的可能性是所有国家/地区整体情况的 7 倍；在西班牙，争议以欺诈为原因代码上报的可能性高出 50%。

防范产品相关争议的最佳做法：

超过 40% 的企业遭遇过银行卡测试攻击

银行卡测试攻击通常是指有人试图确认盗取的银行卡信息是否有效，是否能让他们进行购物。欺诈者可能会购买被盗取的信用卡信息，然后尝试去验证信用卡的有效性，或者用这些信用卡进行购物来确定仍然有效的信用卡。

在疫情发生的第一年，我们发现遭遇银行卡测试攻击的企业比例激增了 40%。这种攻击既发生在新创企业也发生在成熟企业，但新创企业（在 Stripe 上注册不超过 90 天）在所有遭遇银行卡测试的企业中占比更高。

银行卡测试攻击会在多个方面给企业带来负面影响。因银行卡测试攻击而涌入的交易会导致更高的支付处理成本和故障停机的风险（如果企业不能应付增加的流量，他们的网站可能会崩溃）。另外，如果银行卡测试攻击成功则会损害全球金融生态系统。企业更可能处理来自被盗取的银行卡的支付，最终导致更多的争议。由于给金融生态系统带来风险，企业可能因为允许发生银行卡测试攻击而受到发卡行以及卡组织的处罚。

防范银行卡测试攻击的最佳做法：

不同区域、国家与公司规模的欺诈差异

打击欺诈的重要性不言而喻：我们调查的领导中有 90% 认为防范电商欺诈对他们的业务很重要。但是，根据公司所处行业和地域的不同，欺诈活动也有所差异，这表明情况很复杂。

按区域和国家划分的欺诈

在 Stripe 所掌握的支付量数据中，来自北美企业的相关数据占比最高，因此在本节的分析中，我们将以北美作为其他地区的基准。

所有线上企业必须管理欺诈，然而我们的 Stripe 分析报告表明，拉丁美洲的企业尤为容易受到不断增长的欺诈率的影响。

我们的数据显示，在我们所研究的时间范围内，拉丁美洲的银行卡欺诈率位居全球首位：比北美地区高 97%，比亚太地区高 222%。当地运行的支付基础设施和较低的信用卡使用频率，意味着银行使用的反欺诈模式在该地区所能发挥的作用会比其他地区更弱。在争议处理流程中，现存规则也倾向于持卡人，导致企业更容易受到欺诈的影响。除了这些当地因素，市场正不断转移到线上交易（2021 年我们发现在 Stripe 上新开户的拉丁美洲企业激增 518%），给欺诈者创造了更多的攻击机会。

欧洲、中东和非洲企业的欺诈率总体上比北美洲企业更低，这可能是由于强客户认证 (SCA) 法规要求企业在结账流程中增添双重验证所带来的结果。

国家/地区间差异也很大。比如，法国的欺诈率几乎是德国的两倍，新加坡的欺诈率是整个亚太地区的一半。不同国家/地区之间的欺诈差异给全球企业打击欺诈带来更大的困难。因此，管理欺诈从来不存在一个“一刀切”的办法。

按公司规模和商业模式分类的欺诈

企业领导对欺诈风险的认识因公司规模和商业模式而异。比如，我们的调查显示，欺诈预防随着企业规模的扩大而变得更加重要，而且可以肯定的是，相比小型企业，大型企业拥有更多可以投入到欺诈预防战略中的资源。然而，单靠资源并不能防范欺诈。根据我们的调查，拥有大型风控团队的企业领导更可能面临欺诈管理的运营挑战，而且更可能上报高额的欺诈损失。

这些趋势可能会给小型企业带来机会：现在，成长型企业可能会选择在规模较小时，开发一种深度的反欺诈战略，做到防患于未然。然而，调用时间和资源去打击欺诈可能会牺牲企业的成长速度，小型企业应该小心权衡，在两者之间寻求平衡。

我们还根据商业模式分析了调查结果，将企业分为下述几类：

• 软件即服务 (SaaS)
  
• B2C 订阅
  
• 交易市场和平台
  
• 电商
  

我们发现经常性收入企业最关注欺诈带来的财务影响。相比我们调查的其他商业模式，经常性收入企业的风控团队领导更担心因为欺诈损失资金，并且更有可能认为相较疫情之前，他们在 2021 年因为欺诈而损失的收入比例更高。造成这些担忧的原因可能在于他们的商业模式：因为他们按照固定的时间表（比如每月或每季度）产生收入；还因为他们在去年经历了欺诈率的上涨，他们更有可能认为这一趋势只会随着他们的业务增长而持续下去。

尤其是 B2C 订阅企业，他们承受的与处理欺诈相关的运营负担更重。更多的 B2C 订阅企业反映，2021 年他们的人工审查工作量增加了，使得他们不得不调动更多资源去打击欺诈，并且为了管理欺诈而不得不延迟执行投资计划或扩展计划。

我们认为，B2C 企业遭受了更多欺诈，因为他们的品牌更加家喻户晓，这让欺诈者可以更轻松地盗窃其产品或服务并进行转售（例如利用盗窃的信用卡购买数字订阅产品，然后低价转售）。

欺诈对企业的影响

欺诈的代价非常昂贵。实际上，59% 的调查对象预计他们的企业今年因欺诈损失的收入会比去年更多。

欺诈性争议以及防范欺诈的努力都会给企业带来资金损失。比如，如果您的企业在争议中败诉，则您要负责赔偿比原始交易金额更多的资金。欺诈经常导致撤单费用（与银行撤回银行卡支付相关的费用），而且争议还会带来更高额的卡组织费用。

然而，我们的调查发现，欺诈对企业的影响不仅仅是财务损失。很多企业不得不扩大其风控团队规模，或者调用产品和工程资源去管理运营开支，将珍贵的资源从核心产品中转移出来。

支付转化率更低

在 Stripe 分析报告中，我们发现企业越是试图防范欺诈，越是容易阻挡合法收款。
误报或错误拒付是指阻止合法客户的购买尝试。错误拒付不仅会影响企业的毛利润，还会打击企业的声誉。实际上，33% 的消费者表示如果在一个商家遇到错误拒付的情况，他们就不会再去这个商家购物了。

您需要在防范更多争议与减少受阻的合法客户数量之间进行权衡。当您防范的欺诈增多，受阻的合法客户数量也将增加。另一方面，遭错误阻挡的合法客户数量的减少通常可能会让更多真正的欺诈者有可乘之机。这种权衡也取决于您的反欺诈解决方案：如果您采用静态的反欺诈解决方案，而且没有持续投入资源进行优化，那么您必须一直管理这种权衡。另一方面，如果您的反欺诈解决方案模型会根据欺诈媒介而不断地调整和改变，那么这种权衡也会变得更轻松。

鉴于防范争议与阻止合法支付之间的权衡，为实现利润最大化，企业可以设定阻止支付的阈值。当所防范欺诈的成本与受阻挡的合法利润之间的差值最大时，这就是利润最大化点。

企业需要根据其利润、增长状况和其他因素来管理这种权衡。如果企业的利润小（比如您在线上销售食品），一笔欺诈性交易的成本可能需要数百笔良性交易才能冲销，这使得每次漏报都会带来非常昂贵的代价。在尝试阻止潜在欺诈行为时，此类企业可能倾向于广撒网。另一方面，如果企业的利润高，比如说 SaaS 企业，那么情况就会正好相反。一个受阻的合法客户所带来的收入损失可能就会超过欺诈增加产生的成本。还有很重要的一点值得注意，企业可以选择如何优化欺诈率至某一特定点：如果欺诈达到某一水平，卡组织将收取费用并施加罚款。

运营开支

为减少误报，企业可以人工审查被标记的支付，来确认它们是否真的具有欺诈性。这相当耗费人力。企业需要组建一个欺诈分析师团队，根据交易详情和客户历史等各种因素评估风险。

我们发现大型企业更可能采用人工审查，但规模越大，他们审查的交易比例越小。比如，去年交易量超过 10 万笔的企业中，超过 20% 的企业采用了人工审查，但是他们审查的比例不足总交易量的 1%。大型企业有人工审查交易的资源，但是他们把这些人工审查资源留给了高风险交易。

减少运营开支的建议：

我们对欺诈行业的预测

欺诈随着时间推移而不断演变，2021 年也不例外。实际上，欺诈者在去年更是变得愈发狡猾，他们使用新的方式瞄准了线上企业。我们在这份报告中提到了一些挑战，但这些对您的企业意味着什么呢？我们认为企业应该采用以下四种方式来应对当前的欺诈情势：

1. 干预措施（如 3DS）将发挥重要作用

干预措施让您可以更有把握地阻止或允许交易。当您觉得交易非常可疑时，可以让客户进行一项“验证”操作（比如要求他们输入通过短信发送的一次性代码）。

干预措施可以有多种形式，包括：

• 3DS，要求客户在支付时需要先完成双重验证。它是欧洲用来满足强客户认证 (SCA) 要求的主要银行卡认证方式，也是企业用来请求 SCA 豁免的关键机制。
  
• 身份认证，比如要求客户扫描政府颁发的身份证来验证身份。
  
• 银行卡扫描，确认客户在交易时持有他们的实体卡。
  
• CAPTCHA 工具，要求网站访客解决简单的谜题，比如从变形的图像中转录一系列数字或字母。
  

干预措施已经越来越普及。我们分析了 2021 年 Stripe 业务中一项具体干预措施活动，即 3DS，发现 3DS 的采用率全面提高，其中北美以外地区的增长势头最为强劲。正如所料，欧洲企业的 3DS 采用率增幅最大（这是因为去年几乎所有符合条件的欧洲国家/地区都全面执行了 SCA 要求）。类似 SCA 的法规也在欧洲以外的地区开始普及，其中印度增长最快。

在一项试验中， Stripe 发现降低触发 3DS 的阈值，可使其欺诈性争议率减少 74%。另外，相比彻底阻止收款，3DS 仍可让大多数支付成功完成（所有风险级别中成功率为 67%，高风险级别中成功率为 5%）。然而， 3DS 的表现在不同发卡行之间会有所差异。

未来，我们预计干预措施的使用率会继续增加。企业将在更多交易中使用干预措施，使用更多不同类型的干预措施，特别是减少结账流程中的阻力因素的措施。

使用干预措施的技巧：

2. 更广泛的数据来源将有助于企业制定更快、更准确的决策

欺诈管理过去高度依赖人力，需要分析师团队审查每一笔交易。今天，大多数企业采用某些等级的机器学习模型，自动大规模打击欺诈，另外会在需要时使用人工审查（这种混合方式因行业和商业模式的不同而有所差别）。机器学习模型学习如何从潜在的欺诈性交易中分辨出合法交易，一些模型甚至可以自我训练，使其更具可扩展性、更加高效。

机器学习模型曾一度被视为打击欺诈的前沿科技，但现在它们已经成为入场筹码。实际上，单靠机器学习能力已不足以减少不断演变的欺诈风险。我们的调查对象认同一点：超过一半的调查对象（他们的审查流程大多支持自动化）表示，欺诈类型和数量日新月异，企业难以及时跟进。

我们认为，欺诈管理演变的下一阶段将侧重于为反欺诈模式提供更加丰富的数据。如今收集信息的工具和技术丰富多样，但它们往往是独立且完全不同的系统。例如，企业可能会使用不同的工具去验证身份和识别生物特征。我们预测，未来企业将能够利用更好的技术和集成方式，将这些信息整合到一处，提供一体化的方式让反欺诈模式更加高效。

通过查看来自用户旅程的相关数据（包括行为生物识别信息，与电话号码、邮箱地址、未开发的发卡行数据库相关的丰富的第三方数据，乃至社交网站平台），企业能将欺诈检测精准度提高至全新级别。

尽管这种级别的数据对改进反欺诈模式非常有用，但企业在收集和存储这些信息时必须谨慎，确保遵守全球数据安全和隐私法律。

3. 发卡行与企业需要更加紧密地合作，高效处理争议，减少错误拒付

客户在您的网站完成购买时，您的支付服务商获取收款详情后，会将这些信息作为支付请求，通过 Visa、Mastercard 或中国银联等卡组织发送给发卡银行（客户的银行）。在授权阶段，诸如大通银行 (Chase)、花旗银行 (Citi) 和巴克莱银行 (Barclays) 等发卡银行是决定批准还是拒绝交易的最终决定者。他们根据授权阶段收到的信号计算欺诈风险，然而这些信号非常有限。

另一方面，企业拥有充足的客户和交易数据，比如客户的邮箱和账单地址。将这些数据与发卡行掌握的信息相结合，可以提高交易的接受率。

提高授权率和反欺诈率让双方受益。通过减少客户对错误拒付的质询量，发卡银行可以减少欺诈损失，节省运营成本，提高交易量。同时，企业能够提高支付转化率和客户保留率。然而，大多数企业仍未与发卡行共享这些数据，因此而导致的信息不对称在 2021 年带来了 4430 亿美元的错误拒付损失。

如今，我们发现发卡行正在转向投资建立增强型授权 API，比如 Capital One 的增强型决策性数据 API，以及 Amex 的增强型授权 API 等。对于一些大型企业来说，授权率每提高一个百分点就意味着数百万美元，他们也明白数据合作关系的重要性，并正在着手投资推进与发卡行的集成。然而，摆在数以百万计的其他企业面前的是一道难以逾越的鸿沟，他们没有技术能力或可观的支付量来实现定制发卡行集成的投资回报率 (ROI)。对于这些企业，我们希望金融合作伙伴（如 Stripe 及其他支付服务商）能够利用自身规模和内部的发卡行合作关系，帮助他们促成与发卡行的数据交流。

4. 消费者支付偏好将继续转变，带来欺诈趋势的演变

多种支付方式正在兴起，比如先买后付、数字钱包，以及卡上没有印刷卡号的加密银行卡（比如 Gemini 信用卡）。先买后付服务的采用率增长尤为迅速：有超过一半的美国客户使用先买后付服务，而且它是 2020 年印度和英国增长最快的支付方式。

线上交易使用的所有支付方式都存在某种程度的欺诈风险，无卡支付方式也不例外。比如，虽然先买后付等支付方式的交易欺诈风险很低，但一方面极易遭受到新账户欺诈，即欺诈者在注册流程中创建新身份来开设欺诈账户，这将令人防不胜防；另一方面还会带来账户盗用的影响，即恶意第三方获取客户的账户访问权限，并使用这些支付信息进行欺诈性购买行为。

但是，如果在客户生命周期初期就制定欺诈预防战略，企业将可以减少这些风险。与其关注交易过程，企业不如未雨绸缪，在客户初期就筛查各种欺诈性行为，甚至在欺诈者未购买前就进行评估。比如，在注册期间确认客户的身份，是否有重复账户，并在登录时进行身份验证措施（比如双重验证）。

Stripe 能提供什么帮助

Stripe 是一套完全集成的支付产品，可为线上和实体零售商、订阅企业、软件平台和交易市场及其间各类服务提供支付技术支持。从打击欺诈到验证身份，数以百万计使用 Stripe 的企业获享以下优势：

优化结账体验

• 结账时收集更多相关信息：要求客户在结账时提供更多相关信息，将帮助您更好地验证其合法性。比如，确保收集客户的姓名和邮箱地址。这些附加信息会传送给 Stripe RadarRadar，从而更好地通过机器学习来检测欺诈，如果发生争议，还能让您有更多可提交的证据。
  
• 探索其他支付方式：正确的支付方式可以给客户提供灵活性，并减少欺诈风险。Apple Pay 或Google Pay 等数字钱包会要求客户进行额外验证（如生物识别、SMS 或密码等）才能完成支付，从而可使争议率保持在较低水平。与之类似，大多数银行借记（您从客户的银行账户直接提取资金）需要客户同意授权或者验证账户的所有权，如此一来，既可增添一层额外的安全保护，又能减少发生争议的可能性。
  

在结账过程中防范欺诈

• 利用机器学习检测欺诈：基于规则的欺诈检测按照“如果 x 发生，就执行 y”的逻辑运行，其在设计上完全不适用于现代网络业务，并可能会导致收入损失。Stripe Radar 由自适应性机器学习提供支持，利用算法评估每笔交易并给定风险得分，再根据欺诈风险阻止或允许交易。Radar 的算法可快速适应不断变化的欺诈形式以及您独特的业务特征。
  
• 凭借与发卡行的合作关系防范欺诈并提高授权：Stripe 的发卡行合作关系会在可能的情况下分享选定的风险数据，帮助发卡行在批准合法交易的同时阻止欺诈性交易。与发卡行集成为持卡人和企业创造价值：客户可以更安心地购物，同时企业会有更多获得批准的交易，且不会增加欺诈性争议。
  
• 动态应用双重验证：在持卡人的银行有此类要求或怀疑存在欺诈时，Stripe Checkout 可以处理欧洲 SCA 要求，并且动态应用 3DS 等验证。Stripe Checkout 还支持使用预填充的 SAQ A 这种最简单的 PCI 验证方式，且仅在我们怀疑有银行卡测试攻击时才触发 CAPTCHA，从而保护您免受欺诈。
  

与您的团队一起管理欺诈

• 创建自定义欺诈规则：您可以使用 Radar 风控团队版创建自定义规则，管理企业收款处理方式，阻止任何您觉得可疑的支付或对其进行审查。比如，您可以降低触发人工审查所要求的风险得分，或者审查来自新客户的大额订单。Radar 风控团队版也提供对特别支付的风险洞察，帮助您了解导致高风险得分的最重要因素。您可以使用这些信息去创建更多、更具针对性的规则。
  
• 人工审查高风险支付：Radar 风控团队版包含一个额外的审查流程，允许您标记某些需要审查的付款（尽管这些支付仍在处理中并且已从信用卡上扣款）。虽然大型组织通常都在使用 Radar 风控团队版，但是不论您的企业规模，人工审查付款的能力依然有用武之地（尽管小型企业会发现人工审查对他们尤为有用）。人工审查可疑支付能够帮助您在潜在争议发生前，更准确地采取行动。比如，如果您在审查时对一笔付款感到不确定，您可通过手机或邮件联系客户。或者，如果您怀疑一笔付款是欺诈性的，您可以退款。
  

更多欺诈预防技巧

• 获得欺诈趋势的深度洞察：Stripe Sigma 允许您通过在 Stripe 管理平台上的预定义或自定义 SQL查询，快速分析您的 Stripe 数据。回答您的复杂商业问题，从了解客户支付争议原因到您提出的争议比例。您可以使用 Stripe Data Pipeline 发送最新的 Stripe 数据给您的 Snowflake 或 Amazon Redshift 数据仓库。它还允许您将 Stripe 欺诈风险得分与其他欺诈数据轻松结合，以获得内容更详实的欺诈报告。
  
• 验证全球客户： Stripe Identity 可让您程序化地确认全球用户的身份，从而减少欺诈者攻击，更容易让合法用户通过验证。
  
• 优化转化并获得更多收入回报： Stripe 卡图像验证有助于减少遭错误阻挡的交易数量。其不会阻止潜在的高风险交易，而是让用户有机会确认他们的确如他们所说拥有银行卡，确认方法是让用户扫描一张银行卡的图片（2022 年推出）。
  

想进一步了解 Stripe Radar 如何协助您的企业抵御欺诈？请联系我们的销售团队或注册账户。

更多资源

以下是更多能够帮助您管理欺诈、保护企业的资源：

• 线上付款简介
  
• 防范欺诈的最佳做法
  
• 用于欺诈检测的机器学习基础知识
  
• Radar 风控团队版：防欺诈规则入门
  
• 关于 Stripe Radar
  
• 关于 Radar 风控团队版
  

研究方法

Stripe 分析了数百万家企业从 2019 年到 2021 年间的数十亿次尝试性支付。基于这些支付和企业信息，我们对争议及其原因、机器学习模型的预测结果、3DS 使用情况以及企业的人工审查活动等展开了研究。针对国家级欺诈率，我们的分析报告未将 2021 年支付量少于 10000 次的国家/地区纳入考虑范围内，原因在于此类对象的交易数据过少，难以提供可靠的欺诈率计算结果。

2022 年初，Stripe 还与 Milltown Partners（其与数据提供商 Focaldata 建议了合作伙伴关系）合作，对全球九大市场（澳大利亚、加拿大、法国、德国、日本、荷兰、新加坡、英国和美国）的 2500 多名企业领导（按照他们的估计，其所在企业的收入至少有 10% 来自线上销售）展开了调研。