โลกใต้ดินของการใช้เครือข่ายบัตรเครดิตในทางที่ผิด
(chargebackstop.com)- บริการ SaaS แห่งหนึ่งติดตามการพุ่งสูงขึ้นของอัตราการปฏิเสธการอนุมัติบัตร และพบ การโจมตีแบบทดสอบบัตร ที่ใช้ชื่อซึ่งสร้างอัตโนมัติและโดเมนอีเมลแปลก ๆ
- การโจมตีนี้ใกล้เคียงกับ การทำด้วยมือหรือระบบอัตโนมัติแบบเบา มากกว่าทราฟฟิกบอตขนาดใหญ่ โดยทดสอบได้สูงสุดราว 4 ใบต่อนาที และบัตรเหล่านี้มีจุดร่วมคือมาจากธนาคารเดียวกัน แหล่งเงินทุนเดียวกัน และออกในสหรัฐอเมริกา
- ในช่อง Telegram สาธารณะและเครื่องมือออนไลน์ มีการแชร์ BIN, CVC, วันหมดอายุ วิธีสร้างหมายเลขบัตรที่มีโอกาสผ่านบนเว็บไซต์เฉพาะ รวมถึง เครื่องมือรัน Stripe Checkout แบบอัตโนมัติ
- ในบรรดาธุรกรรมฉ้อโกงที่สำเร็จ 15% กลายเป็น chargeback และมีการใช้สคริปต์ Python ที่สร้างด้วย ChatGPT สำหรับการยอมรับข้อพิพาท การคืนเงิน การยกเลิกการสมัครสมาชิก และการตรวจสอบ
- คะแนนความเสี่ยงเริ่มต้นของ Stripe Radar ส่วนใหญ่อยู่ในช่วง 0~5 ซึ่งต่ำ และในการป้องกันจริง สิ่งที่มีประโยชน์ที่สุดคือ กฎ Radar แบบกำหนดเอง ที่จำกัดจำนวนความล้มเหลวรายชั่วโมง
การค้นพบการโจมตีแบบทดสอบบัตรและการตอบสนองเบื้องต้น
- เมื่อไม่กี่สัปดาห์ก่อน มีการแจ้งเตือนว่าอัตราการปฏิเสธการอนุมัติบัตรสูงกว่าปกติ
- ในแดชบอร์ดของ Stripe พบ การชำระเงินที่ล้มเหลว จำนวนมากจากผู้ใช้ที่มีชื่อเหมือนถูกสร้างอัตโนมัติและใช้อีเมลโดเมนแปลก ๆ
- บริการจึงมองว่านี่เป็น การโจมตีแบบทดสอบบัตร ตามแบบฉบับ และเปิดใช้ Stripe Radar พร้อมเพิ่มงานใส่ CAPTCHA ในขั้นตอนชำระเงินเข้าไปในแบ็กล็อก
- ในช่วงเวลาใกล้กัน Pieter Levels และ Danny Postma ก็แชร์การโจมตีลักษณะคล้ายกันบน Twitter
- Pieter Levels ระบุว่าเขาได้คืนเงินและยกเลิกคำสั่งซื้อของลูกค้า 240 รายที่ใช้ชื่อ
Jake Smithจาก Philippines และยอดชำระเงินทดสอบบัตรอยู่ที่ $7,000 - Danny Postma ระบุว่ามีการชำระเงินฉ้อโกงโดยใช้ชื่อ
jack smithและ Stripe จำเป็นต้องมีวิธีแก้ที่รวดเร็ว
- Pieter Levels ระบุว่าเขาได้คืนเงินและยกเลิกคำสั่งซื้อของลูกค้า 240 รายที่ใช้ชื่อ
รูปแบบการโจมตีที่เกือบเป็นการทำด้วยมือ
- หลายสัปดาห์ต่อมา มีการแจ้งเตือนอัตราการปฏิเสธการอนุมัติอีกครั้ง และเริ่มรับมือด้วยการเพิ่มกฎ Stripe Radar แบบชั่วคราว
- เมื่อตรวจดูทราฟฟิกอย่างละเอียด พบว่าผู้โจมตีทดสอบบัตรได้สูงสุด 4 ใบต่อนาที และในช่วงเวลาส่วนใหญ่ ความเข้มข้นและความสม่ำเสมอของการโจมตีก็ต่ำกว่านี้
- หากอิงจาก เอกสารป้องกันการทดสอบบัตรของ Stripe การติดตั้งใช้งานของบริการนี้ถือว่าป้องกันได้ค่อนข้างดี
- ผู้ใช้ต้องล็อกอินก่อนเปิดหน้าชำระเงิน
- ใช้ Payment Element และใช้งานสัญญาณบางส่วนอยู่แล้ว
- ตามเอกสารของ Stripe ระดับการป้องกันการทดสอบบัตรควรใกล้เคียง
excellent
- หลังการตรวจสอบเพิ่มเติมและทบทวนร่วมกับเพื่อนร่วมงาน จึงประเมินว่าทราฟฟิกนี้ใกล้เคียงกับ การโจมตีแบบทำด้วยมือ หรือการทำอัตโนมัติที่เบามาก
พารามิเตอร์บัตรและเครื่องมือที่เผยแพร่ในช่องสาธารณะ
- บัตรส่วนใหญ่ที่ใช้ในการโจมตีมีลักษณะร่วมกัน
- ทั้งหมดออกโดยธนาคารเดียวกัน
- มีแหล่งเงินทุนเดียวกัน
- ทั้งหมดออกในสหรัฐอเมริกา
- พารามิเตอร์ของบัตรมีความคล้ายกันมากเกินไป จนเกิดคำถามว่าบัตรเหล่านี้รั่วไหลมาจากธนาคารจริงหรือไม่
- ในช่องทางที่เข้าถึงได้แบบสาธารณะ พบ BIN, CVC, วันหมดอายุของบัตรเครดิต และลิงก์ไปยังเครื่องมือที่สร้างหมายเลขบัตรที่ใช้งานได้จากข้อมูลเหล่านี้
- BIN หมายถึง Bank Identification Number ซึ่งเป็นเลข 6~8 หลักแรกของหมายเลขบัตร
- แหล่งเงินทุนระบุว่าบัตรนั้นเป็น debit, credit หรือ prepaid
- ในช่อง Telegram สาธารณะ ยังมีข้อความแนะนำวิธีได้ Spotify Premium หรือ YouTube Premium อย่างผิดกฎหมาย
- มี ระบบนิเวศใต้ดินแบบเปิดเผย ที่แชร์พารามิเตอร์บัตรซึ่งมีโอกาสได้รับการอนุมัติสูงบนเว็บไซต์เฉพาะ โดยมากเป็นบริการ SaaS
- การโจมตีต่อบริการนี้ก็น่าจะเริ่มจากการโจมตีแบบทำด้วยมือในเซิร์ฟเวอร์ Discord แบบ private หรือช่อง Telegram บางแห่งเช่นกัน แต่ไม่พบต้นทางที่ชัดเจน
- ในช่องสาธารณะมักเห็นข้อความว่าภายในไม่กี่วันจะเปลี่ยนเป็น private และดูเหมือนว่ากิจกรรมจำนวนมากเกิดขึ้นในพื้นที่ที่ไม่สามารถเข้าถึงได้
- ยังมีเครื่องมือออนไลน์จำนวนมากที่รับรายการบัตรที่สร้างอัตโนมัติแล้วนำไปรันกับ Stripe Checkout session ใด ๆ แบบอัตโนมัติ
- เรื่องที่แม้แต่ Stripe Checkout ซึ่ง Stripe เป็นเจ้าของแบบครบวงจรตั้งแต่ต้นจนจบ ก็ยังอาจเสี่ยงต่อการทำอัตโนมัติ ถือเป็นสิ่งที่คาดไม่ถึง
- โค้ดบางส่วนของเครื่องมือเหล่านี้สร้างอีเมล Gmail แบบสุ่มที่ invalid
งานเก็บกวาดหลังเหตุการณ์ที่ลามไปถึงข้อพิพาท การคืนเงิน และการยกเลิกการสมัครสมาชิก
- ผู้โจมตีบางส่วนชำระเงินสำเร็จและซื้อผลิตภัณฑ์จริง ทำให้ต้นทุนการเก็บกวาดหลังเหตุการณ์สูงขึ้น
- เพื่อดูขนาดของปัญหา จึงค้นหาลูกค้าในที่เก็บข้อมูลที่มีการชำระเงินล้มเหลวเกิน 5 ครั้งนับตั้งแต่วันที่ 1 พฤษภาคม
- สร้างสคริปต์ Python ด้วย ChatGPT เพื่อดึง โดเมนอีเมล ของลูกค้าเหล่านั้น
- จากรายการโดเมน จึงคิวรีฐานข้อมูลเพื่อรวบรวมรายการการชำระเงินที่สำเร็จซึ่งสร้างโดยลูกค้าที่ใช้อีเมลโดเมนเดียวกัน
- จากนั้นใช้สคริปต์อีกตัวที่สร้างด้วย ChatGPT เพื่อตรวจว่าการชำระเงินใดอยู่ในสถานะข้อพิพาทแล้ว
- ในบรรดาธุรกรรมฉ้อโกงที่สำเร็จ 15% กลายเป็น chargeback
- อัตรา chargeback: {p:15}
- ตัดสินใจยอมรับข้อพิพาททั้งหมดและรับภาระ ค่าธรรมเนียม £20 ของ Stripe ต่อรายการ
- สร้าง restricted key แบบสิทธิ์ต่ำสุดใน Stripe และใช้ ChatGPT สร้างสคริปต์สำหรับยอมรับ chargeback
- หลังจากนั้นใช้สคริปต์ดึงการชำระเงินในรายการดังกล่าว คืนเงินรายการที่ยังไม่เป็นข้อพิพาท และยกเลิกการสมัครสมาชิกที่ยังใช้งานอยู่ของลูกค้าที่สร้างการชำระเงินนั้น
- แม้แต่กับการชำระเงินที่คืนเงินแล้ว ก็ยังอาจสูญเสีย ค่าธรรมเนียมของ Stripe และเครือข่าย ทั้งในขั้นตอนการชำระเงินสำเร็จและการคืนเงิน
- ด้วยสคริปต์ตรวจสอบขั้นสุดท้าย ได้ยืนยันว่าการชำระเงินทั้งหมดอยู่ในสถานะยอมรับข้อพิพาทหรือคืนเงินแล้ว และไม่มีลูกค้ารายนั้นเหลือการสมัครสมาชิกที่ยังใช้งานอยู่
- ChatGPT แนะนำให้ระมัดระวังในการรันสคริปต์และทดสอบกับตัวอย่างขนาดเล็กก่อน สคริปต์ทั้งหมดได้รับการตรวจทานด้วยตนเอง และไม่มีการแชร์ข้อมูลลูกค้า ID หรือ API key
ภาระที่เกิดจากแนวปฏิบัติการอนุมัติของธนาคารสหรัฐฯ
- มองว่าโลกของการชำระเงินออนไลน์มีความไม่เป็นธรรมต่อผู้ประกอบการอย่างมาก
- โอกาสชนะข้อพิพาทต่ำ
- ตามเกณฑ์ของ Stripe ต้องรักษากิจกรรมข้อพิพาทให้อยู่ต่ำกว่า 0.75%
- ไม่ว่าผู้ประกอบการจะชนะหรือแพ้ ก็ต้องจ่าย £20 ต่อข้อพิพาท
- ขณะเดียวกัน ธนาคาร โดยเฉพาะธนาคารสหรัฐฯ อาจอนุมัติการชำระเงินได้แม้ในเงื่อนไขต่อไปนี้
- ชื่อเต็มไม่ถูกต้อง
- CVV/CVC ไม่ถูกต้อง
- วันหมดอายุไม่ถูกต้อง
- ให้ที่อยู่เรียกเก็บเงินมาเพียงบางส่วน และ ZIP code ก็ไม่ถูกต้อง
- แม้ในเงื่อนไขเช่นนี้ การยืนยันตัวตนด้วย 3D Secure ก็ไม่ได้ถูกทริกเกอร์เสมอไป
- จึงยังมีคำถามว่าทำไมผู้ประกอบการต้องเป็นฝ่ายรับผิดชอบต่อการชำระเงินที่แค่หมายเลขบัตรถูกต้อง
- สำหรับ prepaid card ความสามารถในการตรวจสอบแบบนี้อาจมีข้อจำกัด แต่ก็ยังมองว่าน่าจะปรับปรุงได้
กฎ Stripe Radar ที่ได้ผลจริง
- การตอบสนองเบื้องต้นคือการเปิดใช้ Stripe Radar
- Stripe Radar เป็นโซลูชันที่อิงแมชชีนเลิร์นนิง ออกแบบมาเพื่อให้คะแนนแต่ละการชำระเงินและบล็อกอัตโนมัติเมื่อมีตัวชี้วัดบางอย่างไม่ตรงกัน
- แต่ในกรณีนี้ การตัดสินใจพื้นฐานของ Radar ไม่ได้ช่วยมากนัก
- คะแนนความเสี่ยงของการชำระเงินฉ้อโกงส่วนใหญ่อยู่ต่ำเพียง 0~5
- ในทางกลับกัน ลูกค้าปกติบางรายกลับถูกบล็อกหลังจากล้มเหลวกับ 3D Secure challenge สองครั้ง
- จากประสบการณ์นี้ จึงเกิดความกังวลกับการปล่อยชะตาของลูกค้าให้แมชชีนเลิร์นนิงตัดสิน
- ฟีเจอร์ที่มีประโยชน์กว่าคือ กฎแบบกำหนดเองของ Stripe Radar
- ขอให้ทำ 3D Secure challenge
- ส่งไปตรวจสอบด้วยมือ
- บล็อกทั้งหมด
- กฎของ Radar ดูคล้าย pseudocode แต่สามารถแสดงตรรกะที่ซับซ้อนพอสมควรเพื่อคัดกรองความพยายามชำระเงินที่เป็นอันตราย
- มาตรการที่มีประโยชน์ที่สุดคือการกำหนดเพดานที่เหมาะสมสำหรับ จำนวนครั้งที่การชำระเงินล้มเหลว ต่อผู้ใช้ในช่วง 1 ชั่วโมง 1 วัน และ 1 สัปดาห์
- การเพิ่ม CAPTCHA การติดตามอัตราความล้มเหลว และการแชร์กฎ Radar แบบกำหนดเอง ยังคงเป็นแนวทางรับมือที่เป็นจริงได้ จนกว่าธนาคารจะต้องรับผิดชอบต่อการอนุมัติมากกว่านี้
ต้นทุนสุดท้ายถูกผลักไปยังผู้ประกอบการและลูกค้า
- ค่าธรรมเนียมของผู้ประมวลผลการชำระเงิน ค่าปรับ chargeback ต้นทุนด้านวิศวกรรม และความเสี่ยงที่จะถูกแพลตฟอร์มขับออก ล้วนทำให้ต้นทุนของกิจกรรมฉ้อโกงตกอยู่กับผู้ประกอบการทั่วโลก
- การที่ Stripe เรียกเก็บค่าธรรมเนียม chargeback £20 จากผู้ประกอบการ ก็ถูกมองว่าเป็นอีกตัวอย่างหนึ่งของการปฏิบัติที่ไม่เป็นธรรม
- ต้นทุนเหล่านี้สุดท้ายจะถูกผลักไปยังลูกค้าในรูปของราคาที่สูงขึ้น
- เครือข่ายการชำระเงินที่พึ่งพาในทุกวันมีช่องให้ถูกนำไปใช้ในทางที่ผิดสูง และการตัดสินใจสุดท้ายว่าบัตรจะถูกเรียกเก็บเงินได้หรือไม่ขึ้นอยู่กับดุลยพินิจของธนาคารผู้ออกบัตร
- ตราบใดที่ธนาคารยังไม่รับผิดชอบต่อการอนุมัติมากกว่านี้ สิ่งที่ผู้ประกอบการทำได้ก็ใกล้เคียงกับการเฝ้าดูอัตราความล้มเหลวในการอนุมัติอย่างใกล้ชิด เพิ่ม CAPTCHA และปรับปรุงกฎ Stripe Radar
1 ความคิดเห็น
ความคิดเห็นจาก Hacker News
สิ่งที่น่าประหลาดใจที่สุดไม่ใช่ข้อเท็จจริงที่ว่ามีกลุ่มคนที่หาประโยชน์จากการชำระเงินผ่าน Stripe แต่เป็นการที่ผู้เขียนให้ ChatGPT สร้างสคริปต์อัตโนมัติสำหรับประมวลผลการชำระเงิน
โดยเฉพาะอย่างยิ่ง ปัญหาคือมันใช้สำหรับจัดการ chargeback และจากบริบทของบทความ ดูเหมือนผู้เขียนจะขาดความสามารถทางเทคนิคพอที่จะเขียนหรือตรวจสอบสคริปต์นั้นด้วยตัวเอง
เขาเคยเชื่อว่า Stripe จะรับผิดชอบการป้องกันการฉ้อโกงให้ แล้วก็โกรธที่ความไว้วางใจนั้นถูกทรยศ แต่สุดท้ายก็กลับไปเชื่อเทคโนโลยีอีกอย่างที่ตัวเองไม่เข้าใจแบบไม่ลืมหูลืมตา
ปัญหาไม่ได้อยู่แค่ Stripe แต่อยู่ที่ท่าทีซึ่งฝากความไว้วางใจไว้กับอะไรก็ได้แล้วหวังว่าทุกอย่างจะออกมาดี
ผู้เขียนไม่ได้มอบหมายการประมวลผลการชำระเงินให้มัน แต่ใกล้เคียงกับการสร้างสคริปต์ที่ไล่ดู chargeback ของบัญชีเหล่านั้น แล้วโดยพื้นฐานก็กดปุ่ม “ยอมรับ”
ผมก็ไม่แน่ใจว่าข้อสรุปว่าเขาขาดความสามารถทางเทคนิคมาจากไหน และในบทความก็ระบุว่า “ได้ตรวจทานสคริปต์ทั้งหมดอย่างรอบคอบ และไม่ได้แชร์ข้อมูลลูกค้า, ID หรือ API key”
ในกระบวนการนั้น เขาแค่ใช้ ChatGPT สร้างสคริปต์ เพื่อประหยัดเวลาเท่านั้น
ไม่รู้ว่าเขาไม่ใช่สายเทคนิค หรือแค่พยายามประหยัดเวลากันแน่ แต่พูดตรง ๆ ความสามารถในการลงมือทำแบบนี้ควรได้รับคำชม
สคริปต์เหล่านี้ไม่ได้ตัดสินเรื่องเป็นเรื่องตายหรือการตัดสินใจแกนหลักของธุรกิจ แต่เป็นเครื่องมือที่กรองข้อมูลจำนวนมากให้ได้ผลลัพธ์ที่ตรวจสอบด้วยมือได้อย่างรวดเร็ว
กลับกัน นี่ดูเหมือนเป็นกรณีที่ ChatGPT มีประโยชน์ที่สุดด้วยซ้ำ คือเป็น เครื่องมือขยายขีดความสามารถ ที่ช่วยให้ผู้ก่อตั้งซึ่งมีเวลาจำกัด สามารถได้ความรู้เฉพาะทางที่ต้องใช้ชั่วคราวเพื่อสร้างสคริปต์ตามเป้าหมายที่ชัดเจน
เมื่อก่อน งานที่ต้องใช้เวลาหลายสัปดาห์ในการหาฟรีแลนซ์ จ้าง และอธิบายเพื่อให้ได้ผลลัพธ์แบบเดียวกัน ตอนนี้ทำได้แทบจะทันทีและแทบไม่เสียค่าใช้จ่าย
ผมเข้าใจว่าการมองสิ่งนี้แบบรีเฟล็กซ์ว่า “น่าตกใจ” หรือไร้ความรับผิดชอบนั้นเกิดขึ้นได้ แต่ก็รู้สึกเป็นปฏิกิริยาแบบ “เด็กสมัยนี้” อยู่พอสมควร
ถ้านี่คืออนาคต นักพัฒนาควรสนับสนุนให้คนที่ไม่ใช่สายเทคนิคพึ่งพาตัวเองได้มากขึ้น และคิดว่าจะปรับปรุงกระบวนการที่ผู้ก่อตั้งขอให้ ChatGPT สร้างสคริปต์ให้ได้ดีขึ้นอย่างไร
คงพูดได้ยากว่าผมขาดความเชี่ยวชาญทางเทคนิคในด้านนี้ เพียงแต่พยายามใช้เวลาให้มีประสิทธิภาพที่สุดเท่านั้น
ผู้เขียนตอบไปแล้วว่าได้ตรวจสอบสคริปต์และไม่ได้อัปโหลดข้อมูลอ่อนไหว ดังนั้นประเด็นนั้นก็ไม่มีอะไรต้องเสริมอีก
หลายคนใช้ ChatGPT ได้อย่างมีประสิทธิภาพ แต่ไม่ได้เชื่อผลลัพธ์อย่างไม่ลืมหูลืมตา สำหรับผม ChatGPT เป็น จุดเริ่มต้น ไม่ใช่ผลงานขั้นสุดท้าย
ไม่ใช่ทุกคนจะโง่เหมือนทนายคนนั้นที่เอาการอ้างอิงคดีซึ่งถูกหลอนขึ้นมาไปใส่ในเอกสารทางกฎหมายโดยไม่ตรวจสอบ
ผมอ่านบทความคล้าย ๆ กันมาหลายชิ้น แต่จำไม่ค่อยได้ว่ามีกรณีที่เนื้อหาไม่ได้เป็นบทความเมตาเกี่ยวกับการเขียนโค้ดหรือดีบักโดยตรง แล้วผู้เขียนจู่ ๆ ก็บอกว่าเขาอาศัย Stack Overflow ในการเขียนโค้ด
ถ้าเป็นบริษัทต่างชาติที่รับชำระเงินในสหรัฐฯ เรื่องแบบนี้ควรถูกคาดไว้ว่าเป็นแค่ ต้นทุนการดำเนินธุรกิจ
การฉ้อโกงบัตรเครดิตในสหรัฐฯ ถูกทำให้เป็นภาระร่วมของสังคมไปแล้ว ผู้บริโภคปลายทางไม่ต้องรับผิด จึงไม่มีแรงจูงใจจะใช้สิ่งอย่างชิปกับ PIN, การยืนยันตัวตน 2 ขั้นตอน หรือ 3D Secure
หากพบธุรกรรมที่น่าสงสัย ก็แค่กดปุ่มเดียวในแอปธนาคาร แล้วภายในไม่กี่นาทีการชำระเงินก็ถูกยกเลิก
ธนาคารและผู้ประมวลผลการชำระเงินก็มีแรงจูงใจให้ปล่อยธุรกรรมผ่านให้เร็วและง่ายที่สุด เพื่อให้ผู้คนใช้งานมากขึ้น
อย่างที่ผู้เขียนบอก แม้วันหมดอายุ ที่อยู่สำหรับเรียกเก็บเงิน หรือรหัสไปรษณีย์จะไม่ตรงกัน โดยทั่วไปการชำระเงินก็ยังผ่าน
ข้อเสียคือความรับผิดทั้งหมดถูกผลักไปให้ผู้ประกอบการ และผู้ประกอบการก็เลี่ยงไม่ได้ที่จะขึ้นราคากับทุกคนเพื่อชดเชย
เดนมาร์กก็มีการคุ้มครองผู้บริโภคแบบเดียวกัน ความเป็นไปได้ในการทำ chargeback และการค้ำประกันจากรัฐที่ทำให้ผู้บริโภคไม่สูญเงินแม้บัญชีธนาคารจะถูกขโมย
ถึงอย่างนั้น ณ จุดซื้อก็ยังมีการป้องกันที่เข้มงวดอย่าง ชิปกับ PIN แบบบังคับ และ 3D Secure
ผมไม่เห็นว่ามีเหตุผลที่สมเหตุสมผลว่าทำไมสหรัฐฯ จึงไม่มีความปลอดภัยของบัตรที่ดีกว่านี้ ดูเหมือนแค่ไม่ต้องการมากกว่า
ในสหรัฐฯ โดยทั่วไปอยู่ที่ประมาณ 2% ของยอดธุรกรรม ส่วนสหภาพยุโรปจำกัดไว้สูงสุด 0.3%
แม้เท่านั้นก็ยังดูสูงอยู่ดีเมื่อคิดถึงขนาดของเงินที่ถูกโอนย้าย
ต้นทุนนี้ก็ถูกทำให้เป็นภาระร่วมและผลักต่อไปยังผู้บริโภคในที่สุด คนที่จ่ายเงินสดก็ต้องแบกรับผ่านราคาที่สูงขึ้นเช่นกัน
อนึ่ง สำหรับ 3D Secure เงื่อนไขของธนาคารบางแห่งอาจทำให้เจ้าของบัตรต้องรับผิดชอบต่อการชำระเงินที่เป็นการฉ้อโกง
ถ้าเป็นการยืนยันตัวตน 2 ขั้นตอนผ่านโทรศัพท์ แค่โทรศัพท์กับกระเป๋าสตางค์ถูกขโมยไปพร้อมกันก็เพียงพอแล้ว และเคยเห็นข่าวกรณีที่มีคนเสียเงินหลายพันดอลลาร์จริง ๆ
พวกเขาเห็นแค่รางวัลตอบแทนในรูป “แต้ม” ประมาณ 1–2 เซนต์ต่อดอลลาร์ หรืออย่างมากก็ราว 5 เซนต์ และเมื่อ 1 เซนต์ถูกแสดงเหมือนเป็น 100 แต้ม มันก็ดูน่าดึงดูด
สิ่งที่มองไม่เห็นคือ การบวกเพิ่ม 3–5% หรือมากกว่า ในราคาสินค้าโดยรวม, chargeback และต้นทุนการประมวลผล, การชำระเงินฉ้อโกง, ความปลอดภัยที่เปราะบาง, ร้านค้าที่ยังรับแถบแม่เหล็ก และคนกลางจำนวนมาก
ค่าธรรมเนียมธนาคาร ค่าธรรมเนียมผู้ออกบัตร ค่าธรรมเนียมเครือข่าย และค่าธรรมเนียมบัตรพรีเมียม ถูกบวกต่อ ๆ กันไป
มันเป็นความโกลาหลโดยสมบูรณ์ และผมเกลียดมันจริง ๆ
หวังว่า FedNow จะเปลี่ยนเรื่องนี้ได้ ต้องกำจัดคนกลางที่สูบเงินจากผู้คน และกำจัดปรสิตกับความสูญเปล่าออกไป
ผมบริหารสององค์กรที่ผมสังกัดมาตลอด 2 ปีที่ผ่านมา และทั้งสองแห่งโดนบอตตรวจสอบบัตรเครดิตอัตโนมัติที่ใช้ บัตรธนาคารฝรั่งเศส เล่นงาน และมีบัตรจำนวนมากที่ผ่าน
แน่นอนว่าทั้งสององค์กรต่างก็มีเรื่องราวที่เคยเพิกเฉยต่อคำเตือนก่อนหน้าของผมให้เสริมความแข็งแกร่งให้ไซต์ชำระเงิน และหนึ่งในนั้นยังใช้ Magento 1 อยู่ด้วย
นี่เป็นแค่เกร็ดเล่า แต่ปัญหาจริง ๆ คือบัตรเครดิตเป็นมรดกตกค้างที่ถูกปะผุแบบชั่วคราวไม่ต่างจาก ACH และไม่มีใครพยายามแก้มันอย่างมีนัยสำคัญ
บัตรเครดิตถูกประดิษฐ์ขึ้นในสหรัฐฯ ดังนั้นเทคโนโลยีจึงเก่า และการอัปเกรดใช้เวลานาน
ในด้านการชำระเงินแบบแมนนวล UPI ของอินเดียดูค่อนข้างดี ได้ยินมาว่าเป็นระบบที่ลูกค้าต้องอนุมัติการชำระเงินแต่ละรายการบนโทรศัพท์ก่อนที่การชำระเงินจะถูกประมวลผล
เกี่ยวกับค่าธรรมเนียม chargeback นั้น Visa ได้ซื้อบริษัทชื่อ Verifi ไปเมื่อไม่กี่ปีก่อน
มีผลิตภัณฑ์ใหม่ชื่อ Rapid Dispute Resolution และ Order Insight
RDR ช่วยให้คืนเงินอัตโนมัติได้ก่อนที่ธุรกรรมจะกลายเป็น chargeback และ Visa จะเก็บค่าธรรมเนียม 4 ดอลลาร์ โดยมีเงื่อนไขว่าโค้ด MCC ไม่ใช่กลุ่มความเสี่ยงสูง
Order Insight ช่วยให้ส่งข้อมูลเฉพาะเกี่ยวกับการชำระเงินที่ถูกโต้แย้งได้ทันที และถ้าลูกค้ามีประวัติชำระเงินมาแล้ว 3 ครั้งในอดีต ก็จะไม่สามารถออก chargeback ได้
สำหรับธุรกิจของเรา นี่เป็นการตัดสินใจที่ง่ายมากเมื่อดูจากอัตราชนะคดี มูลค่าคำสั่งซื้อเฉลี่ย และค่าธรรมเนียม chargeback
ตอนนี้เราไม่ต้องคอยกังวลเรื่อง กฎ chargeback 1% ของ Visa หรือธนาคารผู้รับบัตรอีกต่อไป
ใช้ได้เฉพาะการชำระเงินของ Visa แต่ก็คิดเป็นประมาณ 50% ของปริมาณธุรกรรมทั้งหมด
สุดท้าย Visa กำลังแย่งแหล่งรายได้มหาศาลของผู้ประมวลผลไปโดยปริยาย ถ้าผู้ประมวลผลคือ TSYS ก็น่าจะพยายามเก็บค่าธรรมเนียม RDR 10 ดอลลาร์
เคยได้ยินชื่อ Ethoca เหมือนกัน SEO เขาทำได้ดีมาก ดูค่อนข้างคล้าย Verifi
ไม่เข้าใจว่าทำไมสหรัฐฯ ถึงดูตามหลังด้านธนาคารขนาดนี้
สหราชอาณาจักรเริ่มใช้ ชิปและ PIN ตั้งแต่ปี 2004 และบังคับใช้ตั้งแต่ปี 2006 แต่สหรัฐฯ ตามมาช้ากว่านั้นราว 10 ปี
Faster Payments ให้บริการโอนเงินทันทีระหว่างบัญชีธนาคารส่วนใหญ่ได้ฟรี การรับเงินโอนจากลูกค้าสหรัฐฯ เป็นฝันร้ายเสมอ แม้จะมีบัญชี Wise ของสหรัฐฯ ก็ตาม
หลังจาก EU นำการยืนยันตัวตนลูกค้าอย่างเข้มงวดมาใช้ การชำระเงินใหม่ส่วนใหญ่ต้องได้รับอนุมัติผ่านแอปธนาคารบนมือถือหรือวิธี 2FA อื่น
ก่อนหน้านั้น อย่างน้อยรหัสไปรษณีย์กับ CVV ก็ต้องตรงกัน
มาตรการเหล่านี้ดูเหมือนเป็นวิธีที่ธนาคารผลักภาระความรับผิดชอบเรื่องการฉ้อโกงไปให้ลูกค้า แต่ไม่ว่าฝ่ายไหน สุดท้ายลูกค้าก็เป็นคนเสียหาย
ในวัฒนธรรมที่การฉ้อโกงบัตรถูกยอมรับกันอย่างแพร่หลาย ราคาก็จะสูงขึ้นเพื่อชดเชยต้นทุนนั้น
แทนที่จะจ่ายที่โต๊ะด้วยเครื่องรับชำระเงินโดยตรง ต้องยื่นบัตรให้พนักงานแล้วรอให้เขาเอาไปประมวลผลเองที่ไหนสักแห่ง
ช่วงไม่กี่ปีมานี้อาจดีขึ้นแล้ว แต่ในแคนาดาเราไม่ใช้วิธีนั้นมาตั้งแต่หลังต้นทศวรรษ 2000 แล้ว
ผลคือสามารถรองรับลูกค้าได้มากขึ้น Y% และถ้า Y มากกว่า X ก็จะทำกำไรได้มากกว่าในระยะยาว
ในสหรัฐฯ วิธีนี้ใช้ได้กับธุรกิจจำนวนมากเพราะมีขนาดมหาศาล
ตัวอย่างเช่น สำหรับ McDonald's ในช่วงพีกมื้อกลางวัน มาร์จินอาจดีกว่าถ้าประมวลผลการชำระเงินให้เร็ว แทนที่จะเสียเวลา 1 วินาทีตรวจว่าไม่มีการฉ้อโกง
ในยุโรปอาจใช้ไม่ได้ แต่ผมคิดว่าเวลาวิเคราะห์ต้นทุนจริง เรากำลังพลาดมิติเรื่อง ความเร็วและขนาดของธุรกรรม
ทันทีที่สมดุลระหว่างการฉ้อโกงกับกำไรเริ่มไม่เป็นผลดีต่อบริษัท ในสหรัฐฯ ระบบป้องกันการฉ้อโกงหลัก ๆ ก็น่าจะถูกเปิดใช้แทบจะทันที
มีธนาคารท้องถิ่นขนาดเล็กหลายพันแห่งกระจายอยู่ใน 50 รัฐ และแต่ละรัฐก็ค่อนข้างเป็นอิสระ
ในสภาพแวดล้อมแบบนี้ การนำเทคโนโลยีใหม่ขนาดใหญ่ไปใช้งานย่อมยากกว่ามาก
ชิปและ PIN ใช้กับการชำระเงินทางอินเทอร์เน็ตไม่ได้
การโอนเงินผ่านธนาคารไม่ค่อยเข้ากันในระดับนานาชาติ
การตรวจสอบที่อยู่กับ CVV เปิดใช้ได้ง่าย แต่ก็อาจปฏิเสธธุรกรรมที่ถูกต้องตามกฎหมายมากขึ้นด้วย บางครั้งต้นทุนนั้นสูงกว่าความเสี่ยงจากการฉ้อโกงที่จับได้
ความรับผิดชอบต่อการฉ้อโกงถูกผลักไปให้ร้านค้า ไม่ใช่ลูกค้า
แน่นอนว่าต้นทุนการฉ้อโกงของร้านค้าสุดท้ายจะสะท้อนเข้าไปในราคาและทำให้ลูกค้าจ่ายมากขึ้น แต่ก็เป็นเพียงในความหมายที่ว่าต้นทุนการฉ้อโกงทั้งหมดท้ายที่สุดถูกส่งต่อไปยังผู้บริโภค
ความจริงไม่ใช่แบบนั้น มันเป็นปัญหาซับซ้อน และผู้เกี่ยวข้องทั้งสองฝั่งมหาสมุทรแอตแลนติกต่างกำลังเล่นเกมที่ไม่สุจริตเพื่อหาประโยชน์จากการเปลี่ยนแปลง
อีกทั้งยังมองข้ามบทบาทที่เกี่ยวข้องด้วย
คนวัยกลางยี่สิบที่มีงานมั่นคงกำลังกลายเป็นส่วนที่เล็กลงเรื่อย ๆ ของระบบจริง ด้วยเหตุผลหลายอย่าง
บางคนมองว่าคนวัยยี่สิบที่ทำงานอยู่ใน EU และภูมิภาคอื่น ๆ ก็ถูกเอาเปรียบและสูญเสียสิทธิด้วยเช่นกัน
เซิร์ฟเวอร์ของบริษัทเก่าที่เคยทำงานถูกแฮ็ก และคนร้ายขโมย API key ไปทำ carding บนเซิร์ฟเวอร์นั้น
PayPal บอกว่าเราต้องจ่ายค่าธรรมเนียม 100,000 ดอลลาร์
ธุรกิจของเราแค่ประมวลผลค่าลงทะเบียนคอร์สวันละไม่เกิน 5 ครั้ง ครั้งละประมาณ 4,500 ดอลลาร์
แฮกเกอร์ยิงคำขออนุมัติวงเงิน 1 ดอลลาร์ทุกวินาทีด้วยหมายเลขบัตรเครดิตแบบสุ่ม
สุดท้ายเราไม่ต้องจ่ายค่าธรรมเนียม carding แต่พวกเขาไม่สนใจ
ที่ไม่สนใจก็เพราะพวกเขาทำเงินจากการฉ้อโกง
ในการตั้งค่า เรากำหนดไว้ว่ายอดคำสั่งซื้ออนุญาตเฉพาะระหว่าง 2,500–6,000 ดอลลาร์ แต่คำขออนุมัติวงเงินกลับไม่ถูกตรวจสอบ
บ้ามากจริง ๆ
ตอนนั้นราวปี 2010 และ Stripe ยังใช้ในแคนาดาไม่ได้
ระบบป้องกันการฉ้อโกงของ Stripe แย่มาก และเป็นความตั้งใจ
พวกเขาผลัก ต้นทุนการจัดการความเสี่ยง ไปให้ลูกค้าอย่างโจ่งแจ้ง จนน่าเกลียด
ผมทำงานด้านป้องกันการฉ้อโกงบัตรเครดิต และถึงผมจะไม่ได้เก่งมากในงานนี้ แต่ทีม 3.5 คนของเราก็สร้างและดูแลระบบที่กันการโจมตีแบบ carding ประเภทนี้ได้ไม่ยาก
วิธีหลักที่ผู้ประกอบการใช้กันการโจมตีแบบ carding คือทำให้ตัวเองยุ่งยากกว่านิดหน่อยเมื่อเทียบกับเป้าหมายรายถัดไป
ในสายตาผม Stripe ดูเหมือนจะคิดว่าไม่เป็นไรหากตัวเองยังเป็นเครือข่ายขนาดใหญ่ที่โจมตีได้ง่ายที่สุด เพราะสามารถผลักความเจ็บปวดและต้นทุนไปให้ผู้ใช้ได้
Stripe สามารถป้องกันความเสียหายแบบนี้ได้อย่างง่ายดายด้วยต้นทุนต่ำมาก
แต่เลือกปล่อยให้ผู้ใช้ต้องเจ็บปวดเพื่อประหยัดเงินเพียงเล็กน้อย
Stripe Taxes กับการแลกเปลี่ยนเงินตราที่ห่วยแตกก็เป็นกลยุทธ์เดียวกัน
ตอนแรกให้บริการไม่ดีพอ แล้วท้ายที่สุดคุณก็จะรู้ตัวว่าต้นทุนธุรกรรมของ Stripe เพิ่มขึ้นไปจนเป็นสัดส่วนเลขสองหลักของราคาทั้งหมด
ผม Edwin จาก Stripe ขอเสริมว่าบทความนี้คัดลอกมาจากบทความเก่าเมื่อหนึ่งเดือนก่อน (https://piotrmierzejewski.com/p/card-networks-exploitation)
หลังจากนั้นเราได้แก้ไขปัญหาส่วนใหญ่เหล่านี้แล้ว การทดสอบบัตรลักษณะนี้ลดลง และตอนนี้ Radar ควรจะจับการโจมตีแบบนี้ได้
เรื่อง chargeback นั้น เราเองก็เกลียด chargeback และอยากลดให้ได้มากที่สุด
จริง ๆ แล้วเรากำลังทำหลายอย่างที่จะช่วยในเรื่องนี้
ธนาคารเรียกเก็บค่าธรรมเนียม chargeback ในหลายอัตรา และค่าเฉลี่ยนั้นแสดงออกมาเป็นค่าธรรมเนียม 20 ดอลลาร์
ไม่ใช่ค่าธรรมเนียมเฉพาะของ Stripe และเราไม่ได้ทำกำไรจาก chargeback
เราเพิ่งสรุปแผนของบริษัทสำหรับช่วงที่เหลือของปีนี้เสร็จ และการลดการฉ้อโกงประเภทนี้เป็น ลำดับความสำคัญสูงสุด
ถ้าคิดว่ากำลังเจอเรื่องคล้ายกัน ส่งเมลมาที่ edwin@stripe.com ได้เลย
พูดจริง ๆ นะ ในฐานะลูกค้าของพวกคุณ
ปีที่แล้วผมทำงานในบริษัทอีคอมเมิร์ซในบทบาทที่ดูแลทั้งระบบ, CI, อินฟรา และซอฟต์แวร์
เรื่องแบบนี้พบได้บ่อยมาก และทุกสัปดาห์ผมใช้เวลาอย่างน้อยหนึ่งวันไปกับการหาแพตเทิร์นใหม่ ๆ และบล็อกมัน
ผู้โจมตีกำลังใช้ระบบของเราเพื่อตรวจสอบบัตรเครดิต
สุดท้ายเราบล็อกการโจมตีฝั่งตะกร้าสินค้าและการชำระเงินได้เกือบหมด แต่คำขอก็ยังเข้ามาเรื่อย ๆ
ต่อมาขณะค้น log เพราะปัญหา PHP ที่ไม่เกี่ยวกัน วิศวกรซอฟต์แวร์คนหนึ่งบอกว่ามีทราฟฟิกมหาศาลเข้ามาที่หน้าสำหรับบันทึกวิธีชำระเงินไว้ใช้ภายหลัง
แพลตฟอร์มนั้นส่ง การเรียกเก็บเงิน 1 ดอลลาร์ เพื่อตรวจว่าบัตรเป็นของจริงหรือไม่ และผู้โจมตีก็ใช้จุดนั้นหมุนทดสอบบัตรต่อเนื่อง
โจรบัตรเครดิตนี่ช่างสรรหาวิธีจริง ๆ
เคยได้รับคำแนะนำว่า หากต้องการตรวจจับการฉ้อโกงด้วย Stripe อย่างจริงจังและอยากลดมันลงจริง ๆ แถมมีปริมาณธุรกรรมมากพอ ก็ควรฝึก โมเดลตรวจจับการฉ้อโกงของตัวเอง
แม้แต่ตัวจำแนกแบบ logistic ง่าย ๆ ก็อาจใช้ได้
Stripe Radar ไม่ได้ปรับให้เข้ากับรายละเอียดเฉพาะของแต่ละธุรกิจ และสัญญาณเพิ่มเติมอย่างผู้ใช้ซื้อสินค้าอะไร หรือใช้เวลานานแค่ไหนตั้งแต่เปิดเว็บจนซื้อ สามารถนำมาพิจารณาได้
กฎ Radar แบบคัสตอมก็ใช้ได้ในระดับหนึ่ง
เข้าใจว่าผู้ประกอบการอินดี้จำนวนมากไม่มีทรัพยากรหรือความตั้งใจจะทำเรื่องแบบนี้
มีโซลูชันที่ซื้อได้อยู่เหมือนกัน แต่ราคาแพงและโดยมากมุ่งไปที่ร้านค้าที่มีปริมาณธุรกรรมสูง
สักวันหนึ่ง Stripe อาจออกผลิตภัณฑ์ Radar ที่ปรับจูนแบบละเอียดได้ก็เป็นได้
นี่เป็นอีกเหตุผลหนึ่งที่อุตสาหกรรมบัตรเครดิตควรหายไป
โปรโตคอลความปลอดภัยไม่มีอยู่เลย หรือไม่ก็ไม่ได้อัปเกรดมาตั้งแต่ต้นศตวรรษที่ 21 และการเอาเปรียบของคนกลางก็มีนับไม่ถ้วน
ต้นทุนในการจัดการปัญหาน่าปวดหัวเหล่านี้ถูกผลักไปให้ร้านค้าในรูปของค่าธรรมเนียมธุรกรรมและค่าธรรมเนียม chargeback ที่สูงขึ้น และท้ายที่สุดก็ส่งต่อไปยังผู้บริโภค
อย่าลืมด้วยว่าอุตสาหกรรมบัตรเครดิตกระตุ้นพฤติกรรมการบริโภคที่แย่ที่สุดให้กับผู้บริโภค และทำให้วงจร ทาสหนี้ ที่ไม่มีวันจบสิ้นดำเนินต่อไป