3 điểm bởi GN⁺ 2023-08-03 | 1 bình luận | Chia sẻ qua WhatsApp
  • Một dịch vụ SaaS, khi truy vết tỷ lệ từ chối phê duyệt thẻ tăng vọt, đã phát hiện một cuộc tấn công thử thẻ sử dụng tên được tạo tự động và các tên miền email kỳ lạ
  • Cuộc tấn công giống thủ công hoặc tự động hóa nhẹ hơn là lưu lượng bot quy mô lớn, tối đa khoảng 4 thẻ mỗi phút; các thẻ có điểm chung là cùng ngân hàng, cùng nguồn tiền và được phát hành tại Mỹ
  • Trên các kênh Telegram công khai và công cụ trực tuyến, người ta chia sẻ BIN, CVC, ngày hết hạn, cách tạo số thẻ có khả năng vượt qua trên một số website cụ thể, cùng công cụ tự động chạy Stripe Checkout
  • Trong số các khoản thanh toán gian lận thành công, 15% dẫn tới chargeback; các script Python tạo bằng ChatGPT được dùng để chấp nhận tranh chấp, hoàn tiền, hủy đăng ký và xác minh
  • Điểm rủi ro mặc định của Stripe Radar hầu hết đều thấp, ở mức 0–5; trong phòng thủ thực tế, hữu ích nhất là quy tắc Radar tùy chỉnh giới hạn số lần thất bại theo từng khung giờ

Phát hiện tấn công thử thẻ và phản ứng ban đầu

  • Vài tuần trước, một cảnh báo xuất hiện cho biết tỷ lệ từ chối phê duyệt thẻ cao hơn bình thường
  • Trong bảng điều khiển Stripe, phát hiện nhiều thanh toán thất bại từ người dùng có tên trông như được tạo tự động và tên miền email kỳ lạ
  • Dịch vụ xem đây là một cuộc tấn công thử thẻ điển hình, bật Stripe Radar, đồng thời thêm việc đưa CAPTCHA vào checkout vào backlog
  • Cùng thời điểm, Pieter Levels và Danny Postma cũng chia sẻ các cuộc tấn công tương tự trên Twitter
    • Pieter Levels viết rằng ông đã hoàn tiền và hủy cho 240 khách hàng tên Jake Smith đến từ Philippines, với tổng giá trị các khoản thanh toán thử thẻ là $7,000
    • Danny Postma viết rằng các khoản thanh toán gian lận đang xảy ra dưới tên jack smith và cần Stripe có giải pháp nhanh chóng

Mẫu tấn công gần với thủ công

  • Vài tuần sau, cảnh báo tỷ lệ từ chối phê duyệt lại xuất hiện, và nhóm bắt đầu ứng phó bằng cách thêm các quy tắc Stripe Radar tạm thời
  • Khi xem kỹ lưu lượng, kẻ tấn công thử tối đa 4 thẻ mỗi phút; trong phần lớn thời gian, cường độ và tính nhất quán của cuộc tấn công còn thấp hơn
  • Xét theo tài liệu phòng chống thử thẻ của Stripe, triển khai của dịch vụ này đang ở trạng thái được bảo vệ tương đối tốt
    • Người dùng phải đăng nhập trước khi mở checkout
    • Dịch vụ đang dùng Payment Element và cũng tận dụng một số tín hiệu
    • Theo tài liệu Stripe, mức bảo vệ chống thử thẻ lẽ ra phải gần mức excellent
  • Sau khi điều tra thêm và được đồng nghiệp rà soát, lưu lượng này được đánh giá là gần với tấn công thủ công hoặc tự động hóa rất nhẹ

Tham số thẻ và công cụ được lưu hành trên các kênh công khai

  • Phần lớn thẻ được dùng trong cuộc tấn công có cùng đặc điểm
    • Đều được phát hành bởi cùng một ngân hàng
    • Có cùng nguồn tiền
    • Đều được phát hành tại Mỹ
  • Các tham số thẻ quá giống nhau, khiến nảy sinh nghi vấn liệu đây có thật sự là thẻ bị rò rỉ từ ngân hàng hay không
  • Trên các kênh có thể truy cập công khai, người ta tìm thấy BIN, CVC, ngày hết hạn của thẻ tín dụng, cũng như liên kết tới công cụ tạo số thẻ hợp lệ từ các giá trị đầu vào này
    • BIN là Bank Identification Number, tức 6–8 chữ số đầu của số thẻ
    • Nguồn tiền cho biết thẻ là debit, credit hay prepaid
  • Trên các kênh Telegram công khai cũng có các tin nhắn hướng dẫn cách lấy trái phép Spotify Premium hoặc YouTube Premium
  • Tồn tại một hệ sinh thái ngầm công khai chia sẻ các tham số thẻ có khả năng được phê duyệt cao trên những website cụ thể, thường là SaaS
  • Cuộc tấn công vào dịch vụ này nhiều khả năng cũng là một cuộc tấn công thủ công bắt đầu từ một máy chủ Discord riêng tư hoặc kênh Telegram nào đó, nhưng không tìm được nguồn cụ thể
  • Trên các kênh công khai thường thấy thông báo rằng vài ngày sau sẽ chuyển sang riêng tư, và có vẻ phần lớn hoạt động diễn ra ở những nơi không thể truy cập
  • Cũng tồn tại nhiều công cụ trực tuyến nhận danh sách thẻ được tạo tự động rồi tự động chạy chúng trên các phiên Stripe Checkout bất kỳ
    • Việc ngay cả Stripe Checkout do Stripe sở hữu end-to-end cũng có thể dễ bị tự động hóa là điều nằm ngoài dự đoán
    • Một phần mã của các công cụ tạo địa chỉ email Gmail ngẫu nhiên không hợp lệ

Xử lý hậu kỳ kéo theo tranh chấp, hoàn tiền và hủy đăng ký

  • Một số kẻ tấn công đã thanh toán thành công và thật sự mua được sản phẩm, khiến chi phí dọn dẹp hậu kỳ tăng lên
  • Để xác định quy mô, nhóm truy vấn kho dữ liệu để tìm các khách hàng có hơn 5 khoản thanh toán thất bại kể từ ngày 1 tháng 5
  • Họ dùng ChatGPT tạo script Python để trích xuất tên miền email của các khách hàng này
  • Dựa trên danh sách tên miền, họ truy vấn cơ sở dữ liệu và lấy danh sách các khoản thanh toán thành công do những khách hàng có email cùng tên miền tạo ra
  • Một script khác do ChatGPT tạo được dùng để kiểm tra khoản thanh toán nào đã ở trạng thái tranh chấp
  • Trong số các khoản thanh toán gian lận thành công, 15% dẫn tới chargeback
    • Tỷ lệ chargeback: {p:15}
  • Họ quyết định chấp nhận tất cả tranh chấp và chịu phí £20 của Stripe cho mỗi vụ
  • Họ tạo một restricted key với quyền tối thiểu trong Stripe, rồi dùng ChatGPT tạo script chấp nhận chargeback
  • Sau đó, script lấy các khoản thanh toán trong danh sách, hoàn tiền các khoản chưa bị tranh chấp, và hủy các đăng ký đang hoạt động của khách hàng đã tạo các khoản thanh toán đó
  • Ngay cả với các khoản thanh toán đã hoàn tiền, vẫn có thể phát sinh tổn thất từ phí Stripe và phí mạng lưới trong quá trình thanh toán thành công và hoàn tiền
  • Một script xác minh cuối cùng kiểm tra rằng mọi khoản thanh toán đều đã ở trạng thái chấp nhận tranh chấp hoặc đã hoàn tiền, và không còn đăng ký đang hoạt động nào của các khách hàng đó
  • ChatGPT khuyến nghị thận trọng khi chạy script và thử nghiệm trên mẫu nhỏ; các script đã được tự rà soát và không chia sẻ dữ liệu khách hàng, ID hay API key

Gánh nặng từ thông lệ phê duyệt của các ngân hàng Mỹ

  • Thế giới thanh toán trực tuyến được xem là có nhiều điểm bất công với doanh nghiệp
  • Đồng thời, ngân hàng, đặc biệt là ngân hàng Mỹ, vẫn có thể phê duyệt thanh toán ngay cả trong các điều kiện sau
    • Họ tên đầy đủ sai
    • CVV/CVC không hợp lệ
    • Ngày hết hạn sai
    • Địa chỉ thanh toán chỉ được cung cấp một phần và ZIP code cũng sai
  • Ngay cả trong các điều kiện này, xác thực 3D Secure không nhất thiết được kích hoạt
  • Vẫn còn câu hỏi vì sao doanh nghiệp phải chịu trách nhiệm cho các khoản thanh toán chỉ đúng số thẻ
  • Với prepaid card, khả năng thực hiện các phép kiểm tra như vậy có thể bị hạn chế, nhưng vẫn được cho là còn dư địa cải thiện

Các quy tắc Stripe Radar thực sự có hiệu quả

  • Phản ứng ban đầu là bật Stripe Radar
  • Stripe Radar là giải pháp dựa trên machine learning, được thiết kế để chấm điểm từng khoản thanh toán và tự động chặn khi một số chỉ báo không khớp
  • Trong trường hợp này, phán đoán mặc định của Radar không giúp được nhiều
    • Điểm rủi ro của phần lớn thanh toán gian lận thấp, ở mức 0–5
    • Ngược lại, một số khách hàng hợp lệ bị chặn sau khi thất bại hai lần ở thử thách 3D Secure
    • Trải nghiệm này làm nảy sinh lo ngại về việc phó mặc số phận khách hàng cho machine learning
  • Tính năng hữu ích hơn là quy tắc tùy chỉnh của Stripe Radar
    • Yêu cầu thử thách 3D Secure
    • Gửi sang kiểm duyệt thủ công
    • Chặn hoàn toàn
  • Quy tắc Radar trông giống pseudocode, nhưng có thể biểu đạt logic khá phức tạp để thu hẹp các nỗ lực thanh toán độc hại
  • Biện pháp hữu ích nhất là đặt giới hạn hợp lý cho số lần thanh toán thất bại mà mỗi khách hàng được phép có trong 1 giờ, 1 ngày và 1 tuần
  • Thêm CAPTCHA, giám sát tỷ lệ thất bại và chia sẻ quy tắc Radar tùy chỉnh vẫn là các biện pháp thực tế có thể làm cho tới khi ngân hàng phải chịu trách nhiệm lớn hơn trong phê duyệt

Chi phí cuối cùng bị chuyển sang doanh nghiệp và khách hàng

  • Chi phí của hoạt động gian lận — từ phí bộ xử lý thanh toán, tiền phạt chargeback, chi phí kỹ thuật cho tới rủi ro bị nền tảng loại bỏ — đều do các doanh nghiệp trên toàn thế giới gánh chịu
  • Việc Stripe thu phí chargeback £20 từ doanh nghiệp cũng được xem là một ví dụ về đối xử bất công
  • Những chi phí này cuối cùng được chuyển sang khách hàng dưới dạng giá cao hơn
  • Các mạng lưới thanh toán mà chúng ta phụ thuộc hằng ngày có khả năng bị lạm dụng cao, và quyết định cuối cùng về việc có thể tính tiền vào thẻ hay không nằm trong quyền tùy ý của ngân hàng phát hành
  • Chừng nào ngân hàng chưa chịu trách nhiệm nhiều hơn trong việc phê duyệt, những gì doanh nghiệp có thể làm gần như chỉ là theo dõi sát tỷ lệ phê duyệt thất bại, thêm CAPTCHA và cải thiện các quy tắc Stripe Radar

1 bình luận

 
GN⁺ 2023-08-03
Ý kiến trên Hacker News
  • Điều đáng ngạc nhiên nhất không phải là có những nhóm lợi dụng thanh toán Stripe, mà là tác giả đã để ChatGPT tạo script tự động hóa xử lý thanh toán
    Đặc biệt vấn đề là nó dùng để xử lý chargeback, và theo ngữ cảnh bài viết thì có vẻ tác giả thiếu năng lực kỹ thuật để tự viết hoặc kiểm chứng script đó
    Vừa phẫn nộ vì tin rằng Stripe sẽ lo chống gian lận nhưng rồi bị phụ lòng tin, lại vừa mù quáng tin vào một công nghệ khác mà bản thân không hiểu
    Vấn đề không chỉ nằm ở Stripe, mà ở thái độ đặt niềm tin bừa bãi rồi hy vọng mọi thứ sẽ ổn

    • Tôi thấy đây có vẻ là một mô tả sai lệch
      Tác giả không giao việc xử lý thanh toán cho nó, mà gần hơn là tạo một script quét qua các chargeback của những tài khoản đó và về cơ bản bấm nút “chấp nhận”
      Tôi cũng không rõ nhận định thiếu năng lực kỹ thuật đến từ đâu; trong bài cũng nói rằng “tôi đã xem xét kỹ toàn bộ script và không chia sẻ dữ liệu khách hàng, ID hay API key”
    • Người này đang vận hành một doanh nghiệp có lãi, tạo ra giá trị cho khách hàng, phát hành tính năng, và công khai những mối đe dọa mình đã giảm thiểu cùng các bài học rút ra
      Trong quá trình đó, họ chỉ dùng ChatGPT để tạo script nhằm tiết kiệm thời gian
      Không rõ họ là người không chuyên kỹ thuật hay chỉ muốn tiết kiệm thời gian, nhưng thành thật mà nói kiểu năng lực thực thi này đáng được khen
      Những script này không quyết định sống còn hay đưa ra quyết định cốt lõi của doanh nghiệp, mà là công cụ lọc dữ liệu hàng loạt để nhanh chóng tạo ra kết quả có thể kiểm tra thủ công
      Ngược lại, đây có vẻ là một trường hợp ChatGPT hữu ích nhất: một công cụ khuếch đại năng lực cho nhà sáng lập thiếu thời gian, có mục tiêu cụ thể và cần nhanh một chút chuyên môn nhất thời để tạo script
      Trước đây, để có cùng kết quả, có thể phải mất vài tuần tìm freelancer, thuê người và giải thích yêu cầu; giờ gần như có thể tạo ra ngay lập tức với chi phí gần như bằng không
      Tôi hiểu phản ứng bản năng rằng việc này “đáng ngạc nhiên” hay vô trách nhiệm, nhưng nó khá giống phản ứng kiểu “bọn trẻ thời nay”
      Nếu đây là tương lai, tôi nghĩ các lập trình viên nên ủng hộ việc người không chuyên kỹ thuật ngày càng tự lực hơn, và suy nghĩ cách cải thiện quy trình để nhà sáng lập yêu cầu ChatGPT viết script tốt hơn
    • Tôi là tác giả bài viết. Trước khi chạy, tôi đã xem xét kỹ và kiểm thử script ChatGPT
      Khó có thể nói tôi thiếu chuyên môn kỹ thuật trong lĩnh vực này; tôi chỉ đang cố dùng thời gian hiệu quả nhất có thể
    • Tôi không hiểu vì sao lại thường xuyên thấy kiểu suy đoán vô căn cứ như thế này
      Tác giả đã trả lời rằng họ đã kiểm tra script và không tải dữ liệu nhạy cảm lên, nên phần đó không còn gì để nói thêm
      Nhiều người dùng ChatGPT hiệu quả nhưng không mù quáng tin vào kết quả. Với tôi, ChatGPT là điểm khởi đầu, không phải sản phẩm cuối cùng
      Không phải ai cũng ngốc như vị luật sư đã chèn các trích dẫn án lệ do ảo giác tạo ra vào hồ sơ pháp lý mà không kiểm chứng
    • Tôi thấy hơi lạ khi ChatGPT được nhắc đến. Cảm giác gần như là quảng cáo
      Tôi đã đọc nhiều bài tương tự, nhưng không nhớ mấy trường hợp tác giả đột nhiên nói rằng họ dựa vào Stack Overflow để viết code, khi nội dung bài không phải là một bài meta về lập trình hay debug
  • Nếu là công ty nước ngoài nhận thanh toán tại Mỹ, thì nên coi những thứ này đơn giản là chi phí kinh doanh dự kiến
    Gian lận thẻ tín dụng ở Mỹ đã được xã hội hóa. Người tiêu dùng cuối không chịu trách nhiệm, nên họ không buồn dùng chip và PIN, xác thực hai yếu tố hay 3D Secure
    Khi phát hiện giao dịch đáng ngờ, họ chỉ cần bấm một nút trong ứng dụng ngân hàng và khoản thanh toán bị hủy trong vài phút
    Ngân hàng và đơn vị xử lý thanh toán cũng có động lực cho giao dịch đi qua nhanh và dễ nhất có thể để mọi người dùng nhiều hơn
    Như tác giả nói, phần lớn giao dịch vẫn được chấp nhận dù ngày hết hạn, địa chỉ thanh toán hay mã bưu chính không khớp
    Nhược điểm là toàn bộ trách nhiệm bị đẩy sang doanh nghiệp, và doanh nghiệp buộc phải tăng giá với tất cả mọi người để bù lại

    • Tôi không thấy quan hệ nhân quả đó thuyết phục
      Đan Mạch cũng có cùng các biện pháp bảo vệ người tiêu dùng, khả năng chargeback, và bảo lãnh của chính phủ để người tiêu dùng không mất tiền nếu tài khoản ngân hàng bị rút sạch
      Thế nhưng tại thời điểm mua hàng vẫn có các biện pháp bảo vệ mạnh như chip và PIN bắt buộc và 3D Secure
      Tôi không nghĩ có lý do hợp lý nào khiến Mỹ không có bảo mật thẻ tốt hơn. Trông chỉ như họ không muốn vậy
    • Thêm vào đó là các khoản phí vô lý mà công ty thẻ áp lên người bán
      Ở Mỹ thường khoảng 2% giá trị giao dịch, còn EU giới hạn tối đa 0,3%
      Ngay cả mức đó cũng vẫn có vẻ lớn nếu xét đến quy mô số tiền được chuyển
      Chi phí này cuối cùng cũng được xã hội hóa và chuyển sang người tiêu dùng, khiến cả người trả bằng tiền mặt cũng phải gánh qua giá cao hơn
      Nhân tiện, với 3D Secure, theo điều khoản của một số ngân hàng, chủ thẻ có thể phải chịu trách nhiệm cho giao dịch gian lận
      Nếu là xác thực hai yếu tố qua điện thoại, chỉ cần điện thoại và ví bị trộm cùng lúc là đủ; tôi từng thấy trên tin tức các trường hợp thực sự mất hàng nghìn đô la
    • Người Mỹ và Canada được cách ly khỏi mớ hỗn loạn diễn ra phía sau để xử lý một giao dịch
      Họ chỉ thấy phần thưởng dưới dạng “điểm”, khoảng 1–2 xu mỗi đô la, nhiều lắm là 5 xu, và vì 1 xu được hiển thị như 100 điểm nên trông có vẻ hấp dẫn
      Điều không thấy là mức cộng thêm từ 3–5% trở lên vào giá hàng hóa nói chung, chargeback và chi phí xử lý, giao dịch gian lận, bảo mật yếu, các cửa hàng vẫn chấp nhận dải từ, và vô số trung gian
      Phí ngân hàng, phí đơn vị phát hành thẻ, phí mạng lưới, phí thẻ cao cấp cứ tiếp tục chồng lên nhau
      Đó là một mớ hỗn độn hoàn toàn và tôi thật sự ghét nó
      Hy vọng FedNow sẽ thay đổi điều đó. Cần loại bỏ các trung gian hút tiền của mọi người, loại bỏ ký sinh trùng và lãng phí
    • Tôi thấy buồn cười khi trọng tâm lại đặt vào ngân hàng Mỹ. Vì một ảnh Telegram hướng dẫn dùng địa chỉ ở Paris, Pháp
      Tôi đã vận hành hai tổ chức của mình trong 2 năm qua, và cả hai đều bị bot xác minh thẻ tín dụng tự động dùng thẻ ngân hàng Pháp tấn công, với nhiều thẻ được chấp nhận
      Tất nhiên, cả hai tổ chức đều có câu chuyện phớt lờ các cảnh báo trước đó của tôi về việc cần gia cố trang thanh toán, và một trong số đó vẫn còn dùng Magento 1
      Đây chỉ là giai thoại, nhưng vấn đề thật sự là thẻ tín dụng cũng là một di vật được vá víu tạm bợ chẳng khác gì ACH, và không ai muốn sửa nó một cách có ý nghĩa
    • Trên hết, nhiều khả năng là do thói quen cũ phụ thuộc vào lộ trình lịch sử
      Thẻ tín dụng được phát minh ở Mỹ, nên công nghệ này đã cũ và việc nâng cấp mất nhiều thời gian
      Về phía thanh toán thủ công, UPI của Ấn Độ trông khá tốt. Tôi nghe nói đó là cách khách hàng phê duyệt từng khoản thanh toán trên điện thoại trước khi thanh toán được xử lý
  • Liên quan đến phí chargeback, vài năm trước Visa đã mua lại một công ty tên là Verifi
    Họ có sản phẩm mới là Rapid Dispute Resolution và Order Insight
    RDR cho phép tự động hoàn tiền trước khi giao dịch biến thành chargeback, và Visa thu phí 4 đô la. Với điều kiện mã MCC không thuộc nhóm rủi ro cao
    Order Insight cho phép cung cấp ngay một số dữ liệu cụ thể về khoản thanh toán bị khiếu nại, và nếu khách hàng từng thanh toán 3 lần trước đó thì không thể phát hành chargeback
    Với doanh nghiệp của chúng tôi, đó là một quyết định rất dễ dàng dựa trên tỷ lệ thắng tranh chấp, giá trị đơn hàng trung bình và phí chargeback
    Giờ chúng tôi cũng không phải liên tục lo về quy tắc chargeback 1% của Visa hay ngân hàng thanh toán của người bán nữa
    Nó chỉ áp dụng cho thanh toán Visa, nhưng chiếm khoảng 50% tổng khối lượng giao dịch
    Cuối cùng, về cơ bản Visa đang lấy mất một nguồn doanh thu khổng lồ của các đơn vị xử lý thanh toán. Nếu đơn vị xử lý là TSYS, họ sẽ cố thu 10 đô la phí RDR

    • Tôi là tác giả bài viết. Với Mastercard thì bạn đang xử lý như thế nào?
      Tôi có nghe về Ethoca, họ làm SEO thật sự giỏi. Trông khá giống Verifi
  • Tôi không hiểu vì sao Mỹ trông lại tụt hậu đến vậy trong lĩnh vực ngân hàng
    Anh đã triển khai chip và PIN từ năm 2004 và bắt buộc từ năm 2006, còn Mỹ theo sau muộn hơn khoảng 10 năm
    Faster Payments cung cấp chuyển khoản tức thì miễn phí giữa hầu hết các tài khoản ngân hàng. Nhận chuyển khoản từ khách hàng Mỹ luôn là cơn ác mộng, ngay cả khi có tài khoản Wise ở Mỹ
    Kể từ khi EU áp dụng xác thực khách hàng mạnh, hầu hết các khoản thanh toán mới đều phải được phê duyệt qua ứng dụng ngân hàng di động hoặc một phương thức xác thực hai bước khác
    Ngay cả trước đó thì ít nhất mã bưu chính và CVV cũng phải khớp
    Những biện pháp này trông giống cách ngân hàng đẩy trách nhiệm gian lận sang khách hàng, nhưng dù thế nào thì thiệt hại cũng rơi vào khách hàng
    Trong một văn hóa nơi gian lận thẻ được chấp nhận rộng rãi, giá cả sẽ tăng để bù đắp chi phí đó

    • Với tư cách người Canada, khi thanh toán ở nhà hàng Mỹ tôi có cảm giác như du hành thời gian
      Thay vì thanh toán trực tiếp bằng thiết bị đầu cuối tại bàn, bạn phải đưa thẻ cho nhân viên phục vụ và chờ họ xử lý thủ công ở đâu đó
      Có thể vài năm gần đây đã khá hơn, nhưng ở Canada cách đó đã không còn được dùng từ sau đầu những năm 2000
    • Nếu gian lận thẻ chiếm X% tổng số tiền thanh toán, công ty có thể cố xử lý nó, hoặc cứ để giao dịch tiếp tục chảy qua mà chấp nhận chi phí
      Kết quả là họ có thể phục vụ thêm Y% khách hàng, và nếu Y lớn hơn X thì về dài hạn sẽ kiếm được nhiều lợi nhuận hơn
      Ở Mỹ, nhờ quy mô khổng lồ, cách này hiệu quả với nhiều doanh nghiệp
      Ví dụ, với McDonald's, vào giờ cao điểm ăn trưa, xét về biên lợi nhuận thì có lẽ xử lý thanh toán thật nhanh sẽ tốt hơn là mất 1 giây để kiểm tra xem có gian lận hay không
      Ở châu Âu có thể không hiệu quả, nhưng tôi nghĩ khi phân tích chi phí thực tế, mọi người đang bỏ sót chiều kích tốc độ và quy mô giao dịch
      Ngay thời điểm cán cân giữa gian lận và lợi nhuận trở nên bất lợi cho doanh nghiệp, các biện pháp chống gian lận chính ở Mỹ gần như sẽ được bật lên ngay lập tức
    • Mỹ có một lĩnh vực ngân hàng cực kỳ đa dạng và được quản lý lỏng lẻo
      Có hàng nghìn ngân hàng địa phương nhỏ trải khắp 50 bang, và mỗi bang cũng khá độc lập
      Trong môi trường như vậy, việc triển khai công nghệ mới quy mô lớn khó hơn nhiều
    • Phần lớn bình luận ở đây có vẻ không liên quan mấy đến bài gốc. Bài gốc nói cụ thể về gian lận thẻ không hiện diện
      Chip và PIN không hoạt động với thanh toán Internet
      Chuyển khoản ngân hàng không phù hợp tốt ở phạm vi quốc tế
      Xác minh địa chỉ và CVV thì dễ bật, nhưng cũng có thể từ chối nhiều giao dịch hợp pháp hơn. Đôi khi chi phí đó lớn hơn rủi ro gian lận bắt được
      Trách nhiệm gian lận bị đẩy sang người bán, không phải khách hàng
      Tất nhiên chi phí gian lận của người bán cuối cùng sẽ phản ánh vào giá và khách hàng phải trả nhiều hơn, nhưng chỉ theo nghĩa là mọi chi phí gian lận cuối cùng đều được chuyển sang người tiêu dùng
    • Cách nghĩ “đi trước” và “tụt hậu” làm người ta ngừng suy nghĩ, và biến cả chủ đề thành một vị trí trên trục số
      Thực tế không phải vậy; đây là một vấn đề phức tạp, và các bên ở hai bờ Đại Tây Dương đang chơi những trò không thiện chí để lợi dụng thay đổi
      Nó cũng bỏ qua các vai trò liên quan
      Những người ở độ tuổi giữa 20 có công việc ổn định đang trở thành một phần ngày càng nhỏ hơn trong hệ thống thực tế vì nhiều lý do
      Cũng có những người cho rằng ở EU và các khu vực khác, người lao động ở độ tuổi 20 đang bị bóc lột và mất quyền lợi
  • Máy chủ của công ty tôi từng làm trước đây đã bị hack, và kẻ tấn công đánh cắp khóa API rồi dùng máy chủ đó để carding
    PayPal nói chúng tôi phải trả 100.000 đô la tiền phí
    Chúng tôi là nơi xử lý tối đa 5 giao dịch mỗi ngày cho phí đăng ký khóa học, mỗi giao dịch khoảng 4.500 đô la
    Hacker đã chạy các yêu cầu ủy quyền 1 đô la mỗi giây với các số thẻ tín dụng ngẫu nhiên
    Cuối cùng chúng tôi không phải trả phí carding, nhưng họ không quan tâm
    Họ không quan tâm vì họ kiếm tiền từ gian lận
    Trong cấu hình, chúng tôi đã đặt chỉ cho phép giá trị đơn hàng trong khoảng 2.500–6.000 đô la, nhưng họ không kiểm tra các yêu cầu ủy quyền
    Thật sự điên rồ
    Đó là khoảng năm 2010, và khi ấy Stripe chưa dùng được ở Canada

  • Chống gian lận của Stripe rất tệ, và là cố ý
    Họ công khai đẩy chi phí quản lý rủi ro sang khách hàng. Đến mức tục tĩu
    Tôi làm trong lĩnh vực chống gian lận thẻ tín dụng, và dù tôi cũng không phải quá xuất sắc trong việc đó, nhóm 3,5 người của chúng tôi đã dễ dàng xây dựng và duy trì hệ thống ngăn chặn kiểu tấn công carding này
    Cách chủ yếu để một doanh nghiệp ngăn carding là khiến mình phiền phức hơn một chút so với mục tiêu tiếp theo
    Theo tôi, Stripe dường như nghĩ rằng vì có thể đẩy đau đớn và chi phí sang người dùng, nên việc tiếp tục là mạng lưới lớn dễ bị tấn công nhất cũng không sao
    Stripe có thể dễ dàng ngăn những thiệt hại này với chi phí rất nhỏ
    Họ đang chọn để người dùng chịu khổ chỉ để tiết kiệm vài xu

    • Stripe muốn tính phí đến cả những thứ vụn vặt, và muốn buộc bạn trả tiền cho Radar
      Stripe Taxes và quy đổi ngoại tệ tệ hại cũng là cùng một chiến lược
      Ban đầu họ không cung cấp dịch vụ đúng nghĩa, rồi cuối cùng bạn nhận ra chi phí giao dịch Stripe đã tăng lên đến tỷ lệ hai chữ số trong tổng giá
  • Tôi là Edwin từ Stripe. Tôi muốn nói thêm rằng bài viết này là bản sao của một bài đã cũ từ một tháng trước (https://piotrmierzejewski.com/p/card-networks-exploitation)
    Kể từ đó, chúng tôi đã sửa phần lớn vấn đề này. Kiểu thử thẻ như vậy đã giảm, và giờ Radar đáng lẽ phải bắt được các cuộc tấn công như thế
    Về chargeback, chúng tôi cũng ghét chargeback và muốn giảm chúng nhiều nhất có thể
    Thực tế, chúng tôi đang làm một số việc có thể giúp ích ở đây
    Các ngân hàng tính phí chargeback với nhiều mức khác nhau, và mức trung bình đó được thể hiện dưới dạng khoản phí 20 đô la
    Đây không phải là phí riêng của Stripe, và chúng tôi không kiếm lợi từ chargeback
    Chúng tôi vừa hoàn tất kế hoạch công ty cho phần còn lại của năm, và việc giảm kiểu gian lận này là ưu tiên hàng đầu
    Nếu bạn nghĩ mình đang gặp tình huống tương tự, hãy gửi email cho tôi tại edwin@stripe.com

    • Không phải “Radar giờ đáng lẽ phải bắt được các cuộc tấn công như thế”, mà là tính năng mặc định phải bắt được chúng
      Nói thật lòng, với tư cách khách hàng của các bạn
  • Năm ngoái tôi làm ở một công ty thương mại điện tử với vai trò phụ trách mọi thứ từ hệ thống, CI, hạ tầng đến phần mềm
    Chuyện như thế này cực kỳ phổ biến, và mỗi tuần tôi dành ít nhất một ngày để nhận diện và chặn các mẫu mới
    Kẻ tấn công đang dùng hệ thống của chúng tôi để xác minh thẻ tín dụng
    Cuối cùng chúng tôi chặn được gần như toàn bộ các cuộc tấn công ở phía giỏ hàng và thanh toán, nhưng request vẫn tiếp tục đổ vào
    Sau đó, trong lúc lục log vì một vấn đề PHP không liên quan, một kỹ sư phần mềm nói rằng có lượng traffic khổng lồ đổ vào một trang dùng để lưu phương thức thanh toán về sau
    Nền tảng đó gửi một khoản thanh toán 1 đô la để kiểm tra thẻ có thật hay không, và kẻ tấn công đã lợi dụng điều đó để liên tục quay vòng thẻ
    Đám trộm thẻ tín dụng thực sự rất xoay xở giỏi

  • Tôi từng được khuyên rằng nếu muốn phát hiện gian lận bằng Stripe, nếu bạn nghiêm túc muốn giảm nó và có đủ khối lượng giao dịch, thì nên huấn luyện mô hình phát hiện gian lận riêng
    Ngay cả thứ đơn giản như một bộ phân loại logistic cũng có thể hiệu quả
    Stripe Radar không được tinh chỉnh theo đặc thù chi tiết của từng doanh nghiệp, trong khi một mô hình riêng có thể phản ánh các tín hiệu bổ sung như khách mua sản phẩm nào, mất bao lâu từ lúc mở trang đến khi mua
    Các quy tắc Radar tùy chỉnh cũng có tác dụng ở một mức độ nào đó
    Tôi hiểu rằng nhiều doanh nghiệp indie không có tài nguyên hoặc ý chí để làm việc này
    Cũng có các giải pháp có thể mua, nhưng chúng đắt và nhìn chung nhắm đến các merchant có khối lượng giao dịch lớn
    Có thể một ngày nào đó Stripe sẽ tung ra một sản phẩm Radar có thể fine-tune

  • Đây là thêm một lý do nữa khiến ngành thẻ tín dụng nên biến mất
    Các giao thức bảo mật thì hoặc không tồn tại, hoặc chưa được nâng cấp từ đầu thế kỷ 21, và tình trạng lạm dụng của các bên trung gian thì nhiều không đếm xuể
    Chi phí xử lý những rắc rối này được đẩy sang merchant dưới dạng phí giao dịch và phí chargeback cao hơn, rồi cuối cùng chuyển sang người tiêu dùng
    Cũng đừng quên rằng ngành thẻ tín dụng khuyến khích người tiêu dùng những thói quen chi tiêu tệ nhất, và duy trì vòng lặp nô lệ nợ nần bất tận