信用卡被盗刷了1万多,逼我做了一套支付风控方案……
文/莔莔有神
1 信用卡被盗刷了!!!
我睡觉的时候习惯把手机开启飞行模式。
这个月的某一天,早上刚开启普通模式,就收到了三条奇怪的短信:
相信我收到这几条短信的时候是一脸懵逼的…………这是what?!
为了防止是诈骗短信,我又打开了微信的小招服务号,妥妥也收到了三条新消息:
……卧槽好吧。
好像是信用卡被盗刷了。
而且刷了我一万多……凸(艹皿艹 )
2 盗刷后如何处理
我第一个反应是打电话给招商银行信用卡中心,反应了情况,并要求信用卡作废换领新卡。客服给的反馈是:①信用卡会换新卡号免费邮递,原信用卡作废;②情况会转接到处理盗刷的部门,最近手机需保持畅通;③报警。
考虑到报警的话需要去做笔录,可能会耽误上班(……好员工啊),我先度娘了一把相关信息。
首先,我遇上的这个盗刷一共有3笔,第一笔是0.00显然是开户或绑卡,第二笔是一个境外电商网站,第三笔不太确定(好像……是一个……小黄片贩卖网…… (ㅍ_ㅍ))
再看网上通用的防盗刷攻略,一般是三个步骤:①第一时间在附近的ATM机做查询操作,证明本人的地理位置;②冻结信用卡;③报警。
但大部分反馈还说,银行是根本不顶用的,客服只是安抚人心拖住你,时间长了根本无法追缴。
看到这里心凉了半截,我这几笔消费都是网上操作,且发现的时候已经距消费时间有6-7个小时,无法提供不在场证明。幸运的是,我又看到了一个和我情况类似的案例,这个人的突破口是:PAYPAL。
于是接下来的体验变得异常顺利:
我拨通了PAYPAL的客服电话,说明了我的情况,客服立即把电话转接给了专门处理盗刷的部门。相关负责人跟我核实了个人信息、盗刷记录,立即判定为盗刷,并承诺在10~15个自然日内将款项返还。我问我接下里需要做什么,对方说冻结信用卡,我说已经冻结了,对方说那就没事了,会在我的还款日前处理完毕。
……赞效率!
挂断电话以后,我随即把自己另外一张有境外消费记录的信用卡也冻结换新了。
后来,我并没有收到招行的任何电话通知,只在几天后在微信服务号上收到了结果反馈:
“您的疑问交易我行已发出追款请求,您暂时无需支付该笔款项。您可点击详情查看处理进度。……”
不知道是PAYPAL已发起退款还是招行终于反应了过来,也不去讨论国内外金融公司的服务效率和态度,不管怎样,我的信用卡账单里已经没有那两笔“巨款”了。
3 为什么会被盗刷?
去东南亚和欧洲的游客/商务人士是重点盗刷对象。
被盗刷以后做了些调研,发现出国使用的信用卡被盗刷是个非常普遍的现象,信息获取来源也很简单:直接从网站获取。原因是visa/master信用卡只需要卡号和安全码即可完成消费,这些信息一旦在网站输入,就非常容易被抓取。而境外的支付网站的安全体系通常比较薄弱,booking,agoda这种大厂还好,一些小众的航空公司、航运公司的网站则更难保障。
4 支付风控方案
我设想的这套方案针对的是境外网站支付流程,觉得在当前的条件下算是比较有可行性,不过也不算专业,抛砖引玉吧。境外的信用卡使用习惯是难以更改的,个人也不可能不使用信用卡消费,防止盗刷从C端入手,不如从B端入手。
为什么B端要做?
从银行的角度出发自然是避免损失。根据大量盗刷案例反馈出的银行态度,可以推断出这笔钱是需要银行自己支付的。有一些信息表示,银行其实是有一笔资金专门供这种情况使用(有待核实,希望了解情况的朋友科普一下)。
而对于支付公司和电商网站,盗刷通常会关联经济犯罪和恶意刷单,扰乱网站秩序,也会导致平台面临政策风险。
那该如何做?
银行或支付公司支持电商业务使用信用卡支付时,建议能够同时提供一套风控方案供业务端使用(可以自行开发或三方合作)。关于这套方案,我的设想是多重校验,分级接入,数据反馈。
1)多重校验
支付前可进行4重校验,分别为:①黑名单校验;②支付信息校验;③异常规则校验;④用户信息校验。
①黑名单校验:每个银行都有自己的黑名单,甚至有第三方公司可以出售或共享黑名单数据。假设这个客户之前有盗刷信用卡历史或金融欺诈史,应直接驳回支付请求;
②支付信息校验:假设说前两次校验都合格,才会进入支付信息校验。这个是指现有的信用卡号码和安全码的比对,不匹配肯定要直接驳回支付请求;
③异常规则校验:在某些异常情况下,仍可驳回支付请求。异常情况可通过历史盗刷数据的行为特征数据提炼为规则,应用到后续的支付监测中。有些很容易想到的规则,比如说:
基于地理位置:如果一分钟前这张信用卡刚在非洲完成一笔支付,又在美洲发起了第二笔支付,显然是可疑订单;
基于支付频次:如果一个IP/一个账号在24小时内使用了10张以上的信用卡进行支付,显然可判定为可疑订单;
基于设备信息:如果一个账号短时间内频繁更换设备登陆,极有可能是诈骗团队共享的账号,可判定为可疑订单;……
④用户信息校验:比对支付用户信息和信用卡在银行的预留信息,若绑定了多张卡,交叉比对不同卡片的银行预留信息,尤其是姓名、手机号、身份证号等核心信息。假设发现信息不匹配,可提请用户再次输入相关信息确认,或直接驳回支付请求。
2)分级接入
以上4步校验可根据必要性区分等级,比如说:A级是支付信息校验和黑名单校验,必须接入;B级是异常规则校验,强烈建议接入;C级是用户信息校验,建议接入(即是否允许用户绑定非本人的银行卡)。
做分级接入的策略,是出于业务方考虑,有可能在注册登录环节或用户实名认证环节已经做了较好的保护策略,那么可选择只接入高级别的校验,或即使全部接入,在发现异常时提供二次判定而不是直接驳回。这样做是为了一方面保证支付安全,另一方面也把对业务的干预降低到最小程度,给业务方留出选择空间。
然而对于银行方来说,一方面核心校验步骤必须接入,另一方面,可基于接入程度和业务方商定风险善后方案。假设说业务方愿意基于自身的技术水平承担一定的支付风险,那么发生支付异常时应当同样承担赔付义务。
这种处理方式也不是没有先例,运营商短信业务对各大网站的短信下发业务,基本都要强制先校验网页动态验证码。
3)数据反馈
盗刷案件确认后,业务方必须反馈该用户在网站的用户信息和行为数据反哺数据库,支持和优化行为规则分析。
5 总结
对于信用卡盗刷这件事,个人能做的其实非常有限,除非真的为了这种风险就是不出国,不再任何国外网站购物。目前我调研的防范方式有两种:①如果你不用境外网站购物,可选择关闭信用卡的境外支付业务,联系发卡行即可;②出国前单独申请一张海外支付的信用卡,用完即注销。
还是希望我国的各大行能在支付风控上下点功夫,这点钱对银行来说不算什么(虽然也没见几个案例是爽快还钱的……),但保护客户的合法财产和金融安全是银行义务,既然盗刷这么普遍和猖獗,还是希望能重视这方面的工作。
不是不能做,就看想不想做。
- END -
写完有感,又来补充几句:国人实在太“聪明”,导致我国大部分支付产品的风控做得其实还不错,全线防患各类场景,应用各项新技术。也不知道该高兴好呢,还是悲哀好……
莔 莔 有 神
互联网产品专栏作家,爱好是女性视角看产品,产品思维看世界。
文章主要写产品设计、自我管理,以及产品狗的生活片段。
总之,爱写啥写啥,图个开心,希望你也能开心地有收获!