การฉ้อโกงบัตรเครดิตก็เป็นธุรกิจเหมือนกัน - พวกเขามีทั้งซัพพลายเชนและทีม QC ของตัวเอง

 (threadreaderapp.com)
9 คะแนน โดย xguru 2021-12-29 | 4 ความคิดเห็น | แชร์ทาง WhatsApp
  • เรื่องน่าสนใจที่พนักงาน Stripe ร้อยเรียงออกมาจาก 3 หัวข้อ

→ การบริจาคเพื่อการกุศล

→ ซัพพลายเชนสำหรับการฉ้อโกงบัตรเครดิต

→ โครงสร้างพื้นฐานทางการเงินระดับโลก

  • พวกมิจฉาชีพบัตรเครดิตมีระบบนิเวศที่ซับซ้อนและเชี่ยวชาญมาก

→ ถึงขั้นมีฝ่ายควบคุมคุณภาพที่แข่งกันเรื่องโครงสร้างพื้นฐานเฉพาะทางและความเร็วในการตอบสนองด้วย

  • บัตรที่ถูกขโมยส่วนใหญ่ไม่ได้ถูกใช้โดยขโมยหรือแฮ็กเกอร์เอง แต่ถูกนำมาขายในตลาดนี้

→ สิ่งนี้ทำให้เกิดการแบ่งงานกันแบบเฉพาะทางได้

→ ในตลาดนี้ยังมีมาตรฐานคุณภาพที่ดูแลผ่านรีวิวให้ดาว เพื่อรับประกันคุณภาพของสินค้าอีกด้วย

  • “คุณภาพ” นี้หมายถึง “ผู้ซื้อสามารถถอนเงินจากบัตรใบนี้ได้จริงหรือไม่?”

→ สิ่งนี้ถูกรับประกันก่อนขาย (หรือหลังขาย) ผ่านสิ่งที่เรียกว่า “card testing”

  • ประโยชน์ใช้สอยของบัตรพวกนี้จะลดลงเมื่อเวลาผ่านไป (เพราะบัตรอาจถูกยกเลิกหรือถูกบล็อก)

→ พวกขโมยจึงทำ “ธุรกรรมทดสอบ” ทันทีก่อนขาย เพื่อแสดงให้เห็นว่าบัตรเหล่านี้ควรถูกขายในราคาสูง

→ การทดสอบนี้สำคัญ เพราะหากผู้ซื้อเอาบัตรที่ได้มาอย่างผิดกฎหมายนี้ไปลองทำ “card fraud” แล้วล้มเหลว ทรัพยากรหายากอื่น ๆ ที่ใช้เพื่อซื้อบัตรใบนั้นมาก็อาจสูญเปล่าไปด้วย

  • ธุรกิจถูกกฎหมายและองค์กรการกุศลถูกใช้เป็นเครื่องมือสำหรับ “card testing ขนาดใหญ่” (ครั้งละหลายล้านคน)

→ พวกมิจฉาชีพไม่ได้เอาอะไรไปจากที่นั่นโดยตรง

→ แค่ตรวจสอบได้ว่าบัตรยังจ่ายได้ดี ก็ขายได้ราคาเพิ่มในตลาดแล้ว

  • องค์กรการกุศลคิดเป็น 11% ของความพยายาม card testing ทั้งหมด

→ สูงกว่าอุตสาหกรรมอื่นมาก (มากกว่ากลุ่มศาสนา/การศึกษา/ประกันภัยกว่า 3 เท่า)

  • ทำไมพวกมิจฉาชีพถึงพุ่งเป้าไปที่องค์กรการกุศลก่อน?

→ เหตุผลหนึ่งคือ (ยกเว้นองค์กรการกุศลขนาดใหญ่ที่มีทีมดูแลการชำระเงินโดยเฉพาะ)

องค์กรการกุศลส่วนใหญ่ไม่คิดว่าจะมีใครใช้การบริจาคเงินให้องค์กรเป็นช่องทางในการแสวงหาประโยชน์อย่างผิดกฎหมายได้

  • สำหรับอีคอมเมิร์ซ ระบบ anti-fraud เป็นสิ่งจำเป็น แต่หลายองค์กรการกุศลไม่มีศักยภาพพอจะทำได้

  • แต่ card testing แบบนี้ ส่งผลเสียอย่างมาก ต่อองค์กรการกุศล

  • ธุรกรรมที่เกิดขึ้นแบบนี้จะถูกยกเลิกเมื่อเจ้าของบัตรโต้แย้งรายการ และองค์กรยังอาจได้รับผลเสียจากอุตสาหกรรมการเงินเพราะปล่อยให้เรื่องนี้เกิดขึ้น

  • ในกรณีเลวร้ายที่สุด หากไม่สามารถหยุด card testing ที่เกิดซ้ำ ๆ ได้ อาจทำให้ไม่สามารถรับเงินบริจาคผ่านบัตรได้อีกเลย

  • สำหรับองค์กรการกุศลขนาดเล็กที่พึ่งพาการบริจาคออนไลน์ผ่านบัตรทั้งหมด นี่ถือเป็นหายนะ

  • ระหว่างช่วงโรคระบาด การโจมตีแบบ card testing เพิ่มขึ้นอย่างรวดเร็ว

  • ในเอเชียที่ผมอาศัยอยู่ ตัวเลขนี้พุ่งสูงกว่าที่คาดไว้ถึง 56% ทั่วทั้งเครือข่ายของ Stripe

  • แล้วองค์กรการกุศลขนาดเล็กจะทำอะไรได้บ้างกับเรื่องนี้?

  • Stripe มองว่าตนมีหน้าที่ต้องปกป้องเรื่องนี้ และได้ทำหลายอย่างเพื่อหยุดยั้งมัน

→ ยังคงพัฒนาฝั่ง backend อย่างต่อเนื่องเพื่อให้ตรวจจับการโจมตีแบบ card testing ได้

→ แม้จะสามารถแทรกแซงฝั่ง frontend ได้แรงกว่านี้ แต่หน่วยงานขนาดเล็กไม่มีทรัพยากรพอจะนำไปใช้

(องค์กรการกุศลทั่วไปมักไม่มีนักพัฒนาอยู่ในทีมงาน)

  • ดังนั้น Stripe จึงนำโมเดลการป้องกันมาใช้ใน Stripe Checkout

→ การปิดกั้นการชำระเงินด้วยบัตรทั้งหมดเพราะการโจมตีจะยิ่งทำร้ายองค์กรการกุศล

→ จึงใส่สิ่งอย่าง Captcha เข้าไปเมื่อเกิดการโจมตี ซึ่งได้ผลมาก

→ โดยปกติเมื่อมีการโจมตี อัตราที่ผ่าน Captcha สำเร็จมีเพียง 1.6%

→ ไม่ได้แสดงกับทุกคน แต่จะแสดง Captcha เฉพาะกับผู้ใช้ที่ถูกระบุว่าเป็นผู้โจมตี จึงแทบไม่มีผู้ใช้ปกติที่ต้องเห็นสิ่งนี้

บทความที่เกี่ยวข้อง

4 ความคิดเห็น

 
piriri11 2021-12-29

มีคำพิมพ์ผิดเล็กน้อยครับ

'Captcha สำเร็จเพียง 1.6 หมื่นครั้ง' > 1.6%

ขอบคุณที่แปลบทความน่าสนใจนี้ให้ครับ!
 
xguru 2021-12-29

อ๊ะ แก้ไขไว้แล้วครับ ขอบคุณครับ!
 
kenny6067 2021-12-29

น่าสนใจมากจริงๆ.. นอกจากจะผิดทั้งในทางศีลธรรมและกฎหมายแล้ว ทิศทางและวิธีการของความพยายามที่จะทำมันให้ "ดี" ก็ดูคล้ายกับธุรกิจหลอกลวงเหมือนกันนะ
 
xguru 2021-12-29

จริงๆ แล้วสิ่งนี้อาจจะไม่ค่อยสอดคล้องกับสภาพแวดล้อมในประเทศเราที่เมื่อจ่ายด้วยบัตรก็จะมีข้อความแจ้งเตือนแบบเรียลไทม์ส่งมา แต่

ก็เห็นว่าน่าสนใจที่เรื่องแบบนี้เกิดขึ้นได้เลยนำมาแบ่งปันครับ