文/莔莔有神
1 信用卡被盜刷了!4盗恪罩抗!
我睡覺的時候習慣把手機開啟飛行模式。
這個月的某一天灿椅,早上剛開啟普通模式套蒂,就收到了三條奇怪的短信:
……這是what?阱扬!
為了防止是詐騙短信泣懊,我又打開了微信的小招服務號,妥妥也收到了三條新消息:
好吧麻惶。
好像是信用卡被盜刷了馍刮。
而且刷了我一萬多……凸(艸皿艸 )
2 盜刷后如何處理
我第一個反應是打電話給招商銀行信用卡中心,反應了情況窃蹋,并要求信用卡作廢換領(lǐng)新卡卡啰。客服給的反饋是:①信用卡會換新卡號免費郵遞警没,原信用卡作廢匈辱;②情況會轉(zhuǎn)接到處理盜刷的部門,最近手機需保持暢通杀迹;③報警亡脸。
考慮到報警的話需要去做筆錄,可能會耽誤上班(……好員工啊)浅碾,我先度娘了一把相關(guān)信息大州。
首先,我遇上的這個盜刷一共有3筆垂谢,第一筆是0.00顯然是開戶或綁卡厦画,第二筆是一個境外電商網(wǎng)站,第三筆不太確定(好像……是一個……小黃片販賣網(wǎng)…… (?_?))
再看網(wǎng)上通用的防盜刷攻略滥朱,一般是三個步驟:①第一時間在附近的ATM機做查詢操作根暑,證明本人的地理位置;②凍結(jié)信用卡徙邻;③報警排嫌。
但大部分反饋還說,銀行是根本不頂用的缰犁,客服只是安撫人心拖住你躏率,時間長了根本無法追繳。
看到這里心涼了半截民鼓,我這幾筆消費都是網(wǎng)上操作薇芝,且發(fā)現(xiàn)的時候已經(jīng)距消費時間有6-7個小時,無法提供不在場證明丰嘉。幸運的是夯到,我又看到了一個和我情況類似的案例,這個人的突破口是:PAYPAL饮亏。
于是接下來的體驗變得異常順利:
我撥通了PAYPAL的客服電話耍贾,說明了我的情況,客服立即把電話轉(zhuǎn)接給了專門處理盜刷的部門路幸。相關(guān)負責人跟我核實了個人信息荐开、盜刷記錄,立即判定為盜刷简肴,并承諾在10~15個自然日內(nèi)將款項返還晃听。我問我接下里需要做什么,對方說凍結(jié)信用卡砰识,我說已經(jīng)凍結(jié)了能扒,對方說那就沒事了,會在我的還款日前處理完畢辫狼。
……贊效率初斑!
掛斷電話以后,我隨即把自己另外一張有境外消費記錄的信用卡也凍結(jié)換新了膨处。
后來见秤,我并沒有收到招行的任何電話通知砂竖,只在幾天后在微信服務號上收到了結(jié)果反饋:
“您的疑問交易我行已發(fā)出追款請求,您暫時無需支付該筆款項鹃答。您可點擊詳情查看處理進度晦溪。……”
不知道是PAYPAL已發(fā)起退款還是招行終于反應了過來挣跋,也不去討論國內(nèi)外金融公司的服務效率和態(tài)度,不管怎樣狞换,我的信用卡賬單里已經(jīng)沒有那兩筆“巨款”了避咆。
3 為什么會被盜刷?
去東南亞和歐洲的游客/商務人士是重點盜刷對象修噪。
被盜刷以后做了些調(diào)研查库,發(fā)現(xiàn)出國使用的信用卡被盜刷是個非常普遍的現(xiàn)象,信息獲取來源也很簡單:直接從網(wǎng)站獲取黄琼。原因是visa/master信用卡只需要卡號和安全碼即可完成消費樊销,這些信息一旦在網(wǎng)站輸入,就非常容易被抓取脏款。而境外的支付網(wǎng)站的安全體系通常比較薄弱围苫,booking,agoda這種大廠還好撤师,一些小眾的航空公司剂府、航運公司的網(wǎng)站則更難保障。
4 支付風控方案
我設想的這套方案針對的是境外網(wǎng)站支付流程剃盾,覺得在當前的條件下算是比較有可行性腺占,不過也不算專業(yè),拋磚引玉吧痒谴。境外的信用卡使用習慣是難以更改的衰伯,個人也不可能不使用信用卡消費,防止盜刷從C端入手积蔚,不如從B端入手意鲸。
為什么B端要做?
從銀行的角度出發(fā)自然是避免損失尽爆。根據(jù)大量盜刷案例反饋出的銀行態(tài)度临扮,可以推斷出這筆錢是需要銀行自己支付的。有一些信息表示教翩,銀行其實是有一筆資金專門供這種情況使用(有待核實杆勇,希望了解情況的朋友科普一下)。
而對于支付公司和電商網(wǎng)站饱亿,盜刷通常會關(guān)聯(lián)經(jīng)濟犯罪和惡意刷單蚜退,擾亂網(wǎng)站秩序闰靴,也會導致平臺面臨政策風險。
那該如何做?
銀行或支付公司支持電商業(yè)務使用信用卡支付時钻注,建議能夠同時提供一套風控方案供業(yè)務端使用(可以自行開發(fā)或三方合作)蚂且。關(guān)于這套方案,我的設想是多重校驗幅恋,分級接入杏死,數(shù)據(jù)反饋。
1)多重校驗
支付前可進行4重校驗捆交,分別為:①黑名單校驗淑翼;②支付信息校驗;③異常規(guī)則校驗品追;④用戶信息校驗玄括。
①黑名單校驗:每個銀行都有自己的黑名單,甚至有第三方公司可以出售或共享黑名單數(shù)據(jù)肉瓦。假設這個客戶之前有盜刷信用卡歷史或金融欺詐史遭京,應直接駁回支付請求;
②支付信息校驗:假設說前兩次校驗都合格泞莉,才會進入支付信息校驗哪雕。這個是指現(xiàn)有的信用卡號碼和安全碼的比對,不匹配肯定要直接駁回支付請求鲫趁;
③異常規(guī)則校驗:在某些異常情況下热监,仍可駁回支付請求。異常情況可通過歷史盜刷數(shù)據(jù)的行為特征數(shù)據(jù)提煉為規(guī)則饮寞,應用到后續(xù)的支付監(jiān)測中孝扛。有些很容易想到的規(guī)則,比如說:
基于地理位置:如果一分鐘前這張信用卡剛在非洲完成一筆支付幽崩,又在美洲發(fā)起了第二筆支付苦始,顯然是可疑訂單;
基于支付頻次:如果一個IP/一個賬號在24小時內(nèi)使用了10張以上的信用卡進行支付慌申,顯然可判定為可疑訂單陌选;
基于設備信息:如果一個賬號短時間內(nèi)頻繁更換設備登陸,極有可能是詐騙團隊共享的賬號蹄溉,可判定為可疑訂單咨油;……
④用戶信息校驗:比對支付用戶信息和信用卡在銀行的預留信息,若綁定了多張卡柒爵,交叉比對不同卡片的銀行預留信息役电,尤其是姓名、手機號棉胀、身份證號等核心信息法瑟。假設發(fā)現(xiàn)信息不匹配冀膝,可提請用戶再次輸入相關(guān)信息確認,或直接駁回支付請求霎挟。
2)分級接入
以上4步校驗可根據(jù)必要性區(qū)分等級窝剖,比如說:A級是支付信息校驗和黑名單校驗,必須接入酥夭;B級是異常規(guī)則校驗赐纱,強烈建議接入;C級是用戶信息校驗熬北,建議接入(即是否允許用戶綁定非本人的銀行卡)疙描。
做分級接入的策略,是出于業(yè)務方考慮蒜埋,有可能在注冊登錄環(huán)節(jié)或用戶實名認證環(huán)節(jié)已經(jīng)做了較好的保護策略,那么可選擇只接入高級別的校驗最楷,或即使全部接入整份,在發(fā)現(xiàn)異常時提供二次判定而不是直接駁回。這樣做是為了一方面保證支付安全籽孙,另一方面也把對業(yè)務的干預降低到最小程度烈评,給業(yè)務方留出選擇空間。
然而對于銀行方來說犯建,一方面核心校驗步驟必須接入讲冠,另一方面,可基于接入程度和業(yè)務方商定風險善后方案适瓦。假設說業(yè)務方愿意基于自身的技術(shù)水平承擔一定的支付風險竿开,那么發(fā)生支付異常時應當同樣承擔賠付義務。
這種處理方式也不是沒有先例玻熙,運營商短信業(yè)務對各大網(wǎng)站的短信下發(fā)業(yè)務否彩,基本都要強制先校驗網(wǎng)頁動態(tài)驗證碼。
3)數(shù)據(jù)反饋
盜刷案件確認后嗦随,業(yè)務方必須反饋該用戶在網(wǎng)站的用戶信息和行為數(shù)據(jù)反哺數(shù)據(jù)庫列荔,支持和優(yōu)化行為規(guī)則分析。
5 總結(jié)
對于信用卡盜刷這件事枚尼,個人能做的其實非常有限贴浙,除非真的為了這種風險就是不出國,不再任何國外網(wǎng)站購物署恍。目前我調(diào)研的防范方式有兩種:①如果你不用境外網(wǎng)站購物崎溃,可選擇關(guān)閉信用卡的境外支付業(yè)務,聯(lián)系發(fā)卡行即可盯质;②出國前單獨申請一張海外支付的信用卡笨奠,用完即注銷袭蝗。
還是希望我國的各大行能在支付風控上下點功夫,這點錢對銀行來說不算什么(雖然也沒見幾個案例是爽快還錢的……)般婆,但保護客戶的合法財產(chǎn)和金融安全是銀行義務到腥,既然盜刷這么普遍和猖獗,還是希望能重視這方面的工作蔚袍。
不是不能做乡范,就看想不想做。
- END -
寫完有感啤咽,又來補充幾句:國人實在太“聰明”晋辆,導致我國大部分支付產(chǎn)品的風控做得其實還不錯,全線防患各類場景宇整,應用各項新技術(shù)瓶佳。也不知道該高興好呢,還是悲哀好……
莔 莔 有 神
互聯(lián)網(wǎng)產(chǎn)品專欄作家鳞青,愛好是女性視角看產(chǎn)品霸饲,產(chǎn)品思維看世界。
文章主要寫產(chǎn)品設計臂拓、自我管理厚脉,以及產(chǎn)品狗的生活片段。
總之胶惰,愛寫啥寫啥傻工,圖個開心,希望你也能開心地有收獲孵滞!