Stripe เป็นมิตรกับ “friendly fraud”

ความคิดเห็นจาก Hacker News

• ผมคือ Josh ที่ดูแล ผลิตภัณฑ์ป้องกันการฉ้อโกง Radar ที่ Stripe การฉ้อโกงลักษณะนี้น่าหงุดหงิดมากจริง ๆ และไม่ใช่ประสบการณ์ที่ Stripe อยากมอบให้ผู้ใช้
  ประเด็นหลักที่หลายคนพูดถึงตรงนี้สมเหตุสมผล ไม่ใช่แค่เรื่องว่าจะย้อนกลับข้อพิพาทเฉพาะกรณีภายหลังได้หรือไม่ แต่เป็นเรื่องว่า หลักฐานการฉวยโอกาสใช้ chargeback จะถูกนำไปใช้เพื่อปกป้องผู้ประกอบการรายถัดไปได้หรือไม่
  อย่างไรก็ตาม เราก็ไม่ต้องการโลกที่เพียงแค่มีรายงานจากผู้ประกอบการรายเดียว ก็ทำให้ผู้ซื้อถูกบล็อกอัตโนมัติจากร้านค้าทั้งหมดของ Stripe ได้ ยังมีข้อพิพาทที่ชอบธรรมอยู่ และบางครั้งบัญชีผู้บริโภคก็ถูกยึดไปใช้งาน อีกทั้ง false positive จากการบล็อกที่รุนแรงเกินไปก็อาจสร้างความเสียหายให้ผู้ซื้อจริงได้
  ถึงอย่างนั้น ระหว่าง “บล็อกคนนี้ทั้งหมดแบบอัตโนมัติ” กับ “ขอบคุณสำหรับสกรีนช็อต” มันมีช่องว่างอยู่ชัดเจน และเราอยากแก้จุดนั้น
  เนื่องจาก friendly fraud เพิ่มขึ้นมาก เรากำลังขยาย Radar จากผลิตภัณฑ์ป้องกัน fraud ของธุรกรรมอย่างเดียว ไปเป็นผลิตภัณฑ์ที่ป้องกัน fraud และการ abuse ตลอดทั้งวงจรชีวิตลูกค้า เช่น การสมัครสมาชิก การเริ่มทดลองใช้ เป็นต้น
  ตอนนี้เรากำลังทำเรื่องการระบุ ผู้ฉวยโอกาสใช้ chargeback เป็นประจำ ทั่วทั้งเครือข่าย Stripe เพื่อแสดงให้ผู้ประกอบการเห็นก่อนทำธุรกรรมและนำไปใช้ประกอบการตัดสินใจ, การให้คะแนนความเสี่ยงการ abuse สะสมของตัวบัญชีลูกค้าเอง, และมาตรการป้องกันที่ช่วยจัดโครงสร้างหลักฐานให้ดีขึ้นผ่าน Smart Disputes เมื่อเกิด friendly fraud เพื่อช่วยให้ชนะข้อพิพาทได้
  ถ้ามี feedback เกี่ยวกับ Radar ก็ส่งมาได้ที่ jackerman at stripe dot com

• ผมทำ SaaS และเจอเรื่องแบบนี้เป็นครั้งคราว ถ้ามี chargeback เข้ามา ตามหลักแล้วควรบล็อกลูกค้าคนนั้นออกจากฐานข้อมูลทั้งหมด
  ถ้าบล็อกทั้งบัตร อีเมล และ access fingerprint ไว้ ก็จะลดความยุ่งยากได้มากเวลาพวกเขาพยายามกลับมาสมัครใหม่หรือซื้อผลิตภัณฑ์เพื่อสร้างปัญหาแบบเดิมอีก

  • พวกที่ชอบ abuse เลี่ยงการบล็อกแบบนี้ได้ง่าย คนที่ทำ abuse แบบครอบคลุมทั้งหมดมีอยู่เป็น กลุ่มเล็ก ๆ
  • ผู้ใช้ระดับสูงสามารถเปลี่ยนทั้งสามตัวระบุอย่างบัตร อีเมล และ fingerprint ได้อย่างง่ายดาย ผมสงสัยว่า “access fingerprint” หมายถึงอะไรแน่
    ผมเคยเห็น browser fingerprint สำหรับติดตามผู้ใช้ทุกรูปแบบ แต่ไม่แน่ใจว่าหมายถึงอะไรอย่างการเก็บ fingerprint เฉพาะเวลาจำเป็นหรือเปล่า
  • แค่บังคับใช้ 3D Secure ความรับผิดก็จะย้ายไปอยู่ที่ธนาคารของลูกค้า ถ้าพวกเขาอยากได้ผลิตภัณฑ์จริง คนส่วนใหญ่ก็ไม่ได้รังเกียจมากนักที่จะเปิดแอปธนาคารในมือถือเพื่อยืนยันธุรกรรม
  • ถ้าจะมีนโยบายแบบนั้น ก็ควร ตอบคำถามฝ่ายสนับสนุนลูกค้าอย่างรวดเร็ว สำหรับเคสที่ชอบธรรม
  • ถ้าเป็นแอป iOS ก็ใช้ DeviceCheck ได้ด้วย Uber ใช้สิ่งนี้สำหรับการแบนทั้งบัญชี

• น่าแปลกใจที่ Stripe พูดอย่างชัดเจนขนาดนี้ว่า “จะไม่นำหลักฐานการฉวยโอกาสใช้ chargeback ของร้านค้าหนึ่ง ไปทำเป็นสัญญาณ fraud ข้ามร้านค้าสำหรับอีกร้าน หรือใช้ข้อมูลบัตร อีเมล หรือข้อมูลอื่นของลูกค้าเพื่อดำเนินการกับร้านค้าอื่น”
  เป็นเรื่องดีที่ Stripe สื่อสารรายละเอียดแบบนี้จริง ๆ แต่ก็พอมองเห็นเหตุผลว่าทำไมบริษัทใหญ่หลายแห่งถึงตอบแบบกำกวมว่า “ขอบคุณสำหรับการแจ้ง เราจะจัดการอย่างเหมาะสม” เพราะพอพูดความจริง คนจะยิ่งโกรธ

  • ไม่ใช่ ถ้าตอบกำกวมผมคงโกรธกว่านี้มาก ผมยังโกรธอยู่ดีตรงที่พวกเขาไม่ได้ทำอะไรเลย
    ต้องคุยไปมาหลายรอบกว่าจะได้คำตอบที่ชัดเจน แต่สุดท้ายก็ได้คำตอบที่ชัด และจากประสบการณ์ ฝ่ายซัพพอร์ตของ Stripe ก็ยังยอดเยี่ยมและสื่อสารดีอยู่
  • ไม่ใช่ คำตอบกำกวมทำให้น่าโมโหกว่ามาก เพียงแต่ในกรณีนั้นจะไม่มีอะไรให้เขียนถึงเท่านั้น

• ลูกค้าโกงคุณ แล้วหลังจากนั้นธนาคารของลูกค้าก็ทำแบบนั้นอีก Stripe ไม่ใช่คนทำ ผมไม่เข้าใจว่าทำไมในชื่อเรื่องและในโพสต์ถึงตำหนิ Stripe
  แน่นอนว่า Stripe อาจทำได้มากกว่านี้แม้ไม่มี Radar แต่ถ้า Stripe ทำธุรกิจแบบบล็อกลูกค้าจากทั้งเครือข่าย Stripe เพียงเพราะคำร้องเรียนของผู้ขายรายเดียว มันก็อาจอันตรายได้ แนวทางแบบนั้นย่อมมีปัญหาตามมาอีกมาก

  • ใช่ แต่ Stripe ไม่ได้ทำอะไรเลยเพื่อป้องกันไม่ให้ร้านค้ารายต่อไปตกหลุมพรางแบบเดียวกัน ทั้งที่มีหลักฐานครบแล้วก็ยังเพิกเฉย
    นั่นคือประเด็นที่ผมพยายามจะสื่อในโพสต์บล็อก แน่นอนว่าถ้าร้านค้าบล็อกผู้บริโภคได้ง่ายเกินไปก็ไม่ยุติธรรมเหมือนกัน แต่ยังไงก็น่าจะมี จุดกึ่งกลาง อยู่
    Stripe พูดอย่างชัดเจนมากว่าพวกเขาไม่ทำอะไรเลยกับรายงานแบบนี้ มันแค่ถูกเมินไป
  • ไม่ใช่ Stripe ก็มีส่วนรับผิดชอบ ความเข้าใจผิดที่พบบ่อยคือคิดว่า chargeback เป็นการตัดสินใจของธนาคารลูกค้า จริง ๆ แล้วหลังผ่านกระบวนการโต้ตอบกันหลายรอบ คนที่ตัดสินสุดท้ายคือ เครือข่ายบัตร
    ผมเคยทำงานฝั่งผู้ออกบัตรอยู่หลายปี และเคยเห็นเอกสารที่ร้านค้าซึ่งใช้ Stripe ส่งมาอยู่หลายครั้ง ผมรู้จักกรณีที่ตามกฎของเครือข่ายแล้วชนะได้แน่นอน แต่ Stripe กลับปฏิเสธที่จะสู้ข้อพิพาท
    ดูเหมือน Stripe จะมองว่าการสู้ chargeback ส่วนใหญ่ไม่คุ้มเงิน อาจเพราะสามารถผลักต้นทุนไปให้ร้านค้าได้ และคิดว่าร้านค้าคงไม่ย้ายไปที่อื่น
  • คุณคงไม่อยากได้ “ระบบที่ร้านค้ารายหนึ่งซึ่งกำลังหงุดหงิด สามารถแบนใครบางคนออกจากระบบชำระเงิน Stripe ทั้งหมดได้” แต่ระหว่าง “บล็อกคนนี้ทั้งหมดแบบอัตโนมัติ” กับ “ขอบคุณสำหรับสกรีนช็อต ลองดู Radar สิ” มันมีช่องว่างค่อนข้างใหญ่ และตรงนั้นแหละที่น่าอึดอัด

• ผมเคยจัดการ chargeback ระดับหลายล้านดอลลาร์ บน Stripe เราขายตั๋ว ตั๋วพวกนี้ขายต่อได้ง่าย และลูกค้าก็เป็นนักท่องเที่ยวจากทั่วโลกที่เดินทางมาดูการแสดง
  Stripe Radar ไม่ใช่ผลิตภัณฑ์ที่ดีเลย มันให้คะแนนธุรกรรมที่น่าสงสัยมาก ๆ แค่ความเสี่ยงระดับ 1 หรือ 2 จาก 100 อยู่บ่อยครั้ง ผมไม่ได้มีพื้นฐานด้าน machine learning แต่ดูเหมือนจะมีอะไรผิดพลาดในวิธีการ เหมือนระบบทำงานแบบมีสายเส้นหนึ่งขาดอยู่ข้างใน น่าเสียดายที่ดูเหมือน Stripe จะไม่มีแรงจูงใจมากพอที่จะใส่ใจ

• ตอนนี้ผมค่อนข้างมั่นใจแล้วว่า อย่างน้อยในเชิงจิตวิญญาณ Stripe ใกล้เคียงกับ PayPal 2.0
  มองข้ามการทุจริตบนแพลตฟอร์ม รับเงินไปแล้วค่อยล็อกครีเอเตอร์หรือผู้ขายคอนเทนต์ผู้ใหญ่ และมีอยู่ทุกที่แต่ไม่ได้เป็นที่รักนัก
  ผมชอบที่ Stripe เปลี่ยนวงการ fintech และทำให้ผู้คนเข้าถึงแบบ programmable ได้มากขึ้น แต่ด้วยเหตุผลพวกนี้ ช่วงนี้ผมเลยมักบอกคนที่มาขอคำแนะนำเรื่องการชำระเงินว่า “หลีกเลี่ยง Stripe”

  • นี่แหละธรรมชาติของอุตสาหกรรมแบบนี้ เจ้าตลาดเดิมจะมีข้อจำกัดสะสมมายาวนาน จนช้า เทอะทะ และทำงานด้วยแล้วน่าปวดหัว
    ผู้เล่นหน้าใหม่เข้ามาแย่งส่วนแบ่งตลาดด้วยความคล่องตัวและความร่วมงานง่าย
    พอเวลาผ่านไป ผู้เล่นหน้าใหม่ก็ต้องรับมือกับการกำกับดูแลด้านกฎระเบียบ, fraud, ภาระด้านปฏิบัติการ, และแนวปฏิบัติแบบเลี่ยงความรับผิดมากขึ้นเรื่อย ๆ
    จากนั้นผู้เล่นหน้าใหม่ก็กลายเป็นเจ้าตลาดเดิม แล้วทุกอย่างก็วนกลับไปเริ่มต้นใหม่
  • ถ้าจะให้แนะนำเป็นทางเลือก คุณแนะนำใคร?

• โดน chargeback แบบฉ้อโกง โดยอ้างว่าไม่ได้อนุมัติการซื้อ แต่คนคนนั้นมาปรากฏตัวที่ชั้นเรียนด้วยตัวเอง ที่แย่กว่านั้นคือเขาจ่ายผ่าน Link ดังนั้น Stripe จึงได้ยืนยันตัวตนเขาเชิงรุกด้วยการยืนยันตัวตนสองขั้นตอน
  มีใครอธิบายได้ไหมว่าทำไม Stripe หรือคู่แข่งถึงไม่ให้ตั้งค่าอย่าง “ปฏิเสธธุรกรรมจากบัตรที่ยื่น chargeback กับร้านค้าเกิน x ครั้งในปีนี้”?

  • กฎแบบนั้นดูยุ่งยากพอสมควร เพราะบัตรของใครสักคนอาจถูกขโมยไปใช้จริงก็ได้
    สิ่งที่น่าหงุดหงิดคือ Stripe ชอบคุยเรื่องกฎ Radar แบบแมชชีนเลิร์นนิงต่าง ๆ แต่กลับใส่ข้อมูลที่มีคุณค่าจริง ๆ เข้าไปไม่ได้
    ฝ่ายซัพพอร์ตของ Stripe เห็นอีเมลที่ลูกค้าคุยอวดว่าตัวเองโกงฉัน และก็เห็นด้วยเต็มที่ว่านี่คือ friendly fraud แบบชัดเจน แต่ก็ไม่ได้ทำอะไรกับข้อมูลนั้นเลย
  • ไม่รู้ว่านี่ใช่เหตุผลหรือเปล่า แต่ถ้ามีคนขอให้ฉันสร้างระบบแบบนั้น ฉันคงกังวลมากว่ามันจะเข้าข่ายเป็นรายงานผู้บริโภคตาม Fair Credit Reporting Act
    และฉันก็ไม่อยากได้ดราม่าข่าวที่ตามมาแบบหลีกเลี่ยงไม่ได้ เช่น “ฉันก็เป็นแค่คุณยายยากจนไร้เดียงสา เชื่อโฆษณา Facebook เท่านั้นเอง แล้ว Stripe ก็แบนฉันจากร้านค้าบนอินเทอร์เน็ตครึ่งหนึ่งเพราะฉันโดนโกง!”
  • คุณบอกว่าเขาอ้างว่าไม่ได้อนุมัติการซื้อ และมีคนมาที่ชั้นเรียนจริง แต่ถึงจะมีใครมาที่ชั้นเรียน ก็รู้ได้อย่างไรว่าคนคนนั้นคือเจ้าของบัตรเครดิตที่ถูกใช้?
  • โมเดลธุรกิจของพวกเขาคือปล่อยให้ธุรกรรมที่ “ใช้ได้” ผ่านให้มากที่สุด ไม่ใช่รับใช้ “ลูกค้าองค์กร” ของตัวเอง พวกเขาคือ ผู้ให้บริการชำระเงิน

• นี่มันก็แค่การฉ้อโกง คำว่า “friendly fraud” ใช้กับกรณีที่เป็นเรื่องไม่ตั้งใจหรือเกิดจากเจตนาดี เช่น ลูกค้าจำรายการเก็บเงินไม่ได้เลยยื่น chargeback

  • การจำรายการเก็บเงินไม่ได้จริง ๆ ไม่ใช่การฉ้อโกง การฉ้อโกงต้องมีเจตนา หรืออย่างน้อยก็ประมาทเลินเล่ออย่างร้ายแรงในระดับ “ถ้าจำไม่ได้ก็จะเปิด dispute ทุกอัน และแทบไม่พยายามจะนึกเลย”
    คำว่า “แค่การฉ้อโกง” ถูกใช้กับกรณี “อาชญากร c ใช้บัตรของเจ้าของบัตร a ที่ไม่รู้เรื่อง กับร้านค้า b ที่ไม่รู้เรื่อง” อยู่แล้ว ถ้าอย่างนั้นก็สงสัยว่าทำไมถึงคัดค้านคำว่า “friendly fraud”
  • นั่นแหละประเด็น คุณสามารถแจ้งความคดีอาญาได้ และก็น่าจะชนะในศาลแพ่งด้วย
  • ใช่ และ Stripe ก็ป้องกันเรื่องนี้ได้ดีกว่านี้มาก แต่ไม่ทำ

• บทความดีมาก ประเด็นสำคัญคือ Stripe ยอมรับว่าจะไม่ใช้ หลักฐานของ friendly fraud หลังเกิดข้อพิพาท เป็นสัญญาณข้ามร้านค้าของ Radar
  พอรวมกับการที่ลูกค้ายังอวดแบบตรงตัวหลังชนะ chargeback ก็ยิ่งเห็นชัดว่าระบบนี้เอียงเสียเปรียบผู้ขายอิสระแค่ไหน

• เห็นได้ชัดว่า Stripe บันทึกข้อมูลที่เกี่ยวกับ friendly fraud อย่างน้อยก็มีการทำ Visa Compelling Evidence 3.0 https://support.stripe.com/questions/how-does-stripe-support...
  เนื่องจากไม่มีภาพหน้าจอข้อความจากฝ่ายซัพพอร์ตของ Stripe ฉันเลยสงสัยว่าอาจเป็นแค่พยายามให้เรื่องจบด้วยคำตอบกำกวมที่ระมัดระวังและปลอดภัยทางกฎหมาย แล้วสุดท้ายมันก็กลายเป็นโพสต์บล็อกด้วยความโกรธ

  • ฉันแชร์คำตอบจาก Stripe แบบตรงตัวได้เลย เป็นการโต้ตอบที่ค่อนข้างยาว ถ้าดูบางส่วนจากอีเมลล่าสุด ก็ดูชัดเจนว่าเขาไม่ได้ใช้หลักฐานที่ฉันให้ไป
    “ผมจะบันทึก feedback นี้และส่งต่อให้ทีม ข้อสังเกตของคุณเกี่ยวกับการตรวจจับการใช้ในทางที่ผิดหลังธุรกรรมนั้นมีเหตุผล Stripe มีการตรวจจับการฉ้อโกงระดับเครือข่ายที่แข็งแกร่ง แต่ดูเหมือนจะยังมีช่องว่างในการนำหลักฐานการฉ้อโกงที่ยืนยันโดยร้านค้ามาใช้เพื่อปกป้องระบบนิเวศร้านค้าในวงกว้าง feedback แบบนี้จากร้านค้าที่มีหลักฐานโดยตรงมีคุณค่าในการปรับปรุงระบบ”
  • ถ้า “พยายามให้เรื่องจบด้วยคำตอบกำกวมที่ระมัดระวังและปลอดภัยทางกฎหมาย” คือสิ่งที่เกิดขึ้นจริง นั่นก็หมายความว่าการเพิกเฉยต่อปัญหาโดยสิ้นเชิงนั้นเป็นการหลอกลวงในตัวเอง ดังนั้นก็ไม่ได้ดีไปกว่ากันเท่าไร
  • ลิงก์นั้นพูดถึงกรณีที่ธุรกรรมก่อนหน้ากับคุณเมื่อ 4–12 เดือนก่อนซึ่งไม่มีการโต้แย้ง สามารถพิสูจน์ได้ว่าธุรกรรมที่กำลังมี dispute อยู่ครั้งนี้เป็นรายการที่ถูกต้องจริง
    แต่กรณีในบทความคือคนที่มีแค่การซื้อที่ถูก dispute ภายใน 1–2 สัปดาห์
  • ข้อบ่นเดียวของฉันเกี่ยวกับการที่ Stripe บันทึกข้อมูลเกี่ยวกับ friendly fraud คือคุณไม่สามารถ ลบข้อมูลบัตร ของการสมัครสมาชิกที่ยังดำเนินอยู่ ซึ่งคุณไม่มีแผนจะต่ออายุและได้ตั้งค่าไม่ต่ออายุไว้แล้วบนหน้าชำระเงินของบริการ
  • ประเด็นคืออะไร? คุณคิดจริง ๆ เหรอว่าสิ่งที่ Stripe พูดสำคัญ? ฉันสงสัยว่ามันจะมีคำตอบแบบไหนที่ไม่ทำให้โพสต์บล็อกด้วยความโกรธนี้ดูสมเหตุสมผล