Stripe “thân thiện” với hành vi “friendly fraud”

 (gingerlime.com)
1 điểm bởi GN⁺ 22 giờ trước | 1 bình luận | Chia sẻ qua WhatsApp
  • Friendly fraud là vấn đề khách hàng phủ nhận khoản thanh toán sau khi đã nhận hàng, và đây là lĩnh vực mà Stripe, với rất nhiều tín hiệu thanh toán trong tay, lẽ ra phải ngăn chặn tốt hơn
  • Một khách hàng của Ciglue đã mở tranh chấp sau đơn hàng đầu tiên có bằng chứng giao hàng từ DHL; họ giải thích đó là lỗi của ngân hàng nhưng thực tế không hề đính chính
  • Người bán đã nộp bằng chứng giao hàng, trao đổi với khách và chính sách cửa hàng, nhưng ngân hàng vẫn đứng về phía khách, khiến họ mất tiền, hàng, phí vận chuyển và cả phí tranh chấp
  • Ngay cả ảnh chụp màn hình cho thấy khách khoe cách làm này cũng đã được gửi cho Stripe, nhưng Stripe trả lời rằng họ không dùng đó làm tín hiệu gian lận giữa các merchant
  • Phản hồi của Stripe chỉ dừng ở quy tắc Radar trong tài khoản người bán, nên người bán tiếp theo vẫn phải tự gánh lại từ đầu việc bị cùng một khách lạm dụng lặp lại

Tổng quan vụ việc và kết quả tranh chấp

  • Friendly fraud là kiểu khách hàng phủ nhận khoản thanh toán sau khi đã nhận hàng, và vấn đề được đặt ra là các nhà cung cấp lớn như Stripe, vốn nắm nhiều tín hiệu thanh toán, đáng lẽ phải xử lý tốt hơn
  • Khách hàng đã mua hai lần sản phẩm keo dán xì gà của Ciglue; đơn đầu tiên được gửi qua DHL và đã giao thành công, có cả bằng chứng giao hàng
  • Khách không yêu cầu hoàn tiền hay gửi lại hàng mà mở tranh chấp; sau đó ngân hàng giải thích rằng họ đã nhầm khi gộp giao dịch này với các giao dịch gian lận thật ở Philippines
  • Khách nói rằng họ sẽ liên hệ với ngân hàng và cũng nói sẽ thanh toán lại qua PayPal, nhưng trên thực tế không đính chính với ngân hàng và vẫn khẳng định như thể chưa nhận được hàng
  • Ngân hàng đứng về phía khách, còn người bán mất tiền, hàng hóa, phí vận chuyển và phí tranh chấp; bằng chứng giao hàng, trao đổi với khách và chính sách website mà họ nộp cũng không làm thay đổi kết quả
  • Trước khi tranh chấp đầu tiên xuất hiện, cùng khách đó đã đặt đơn thứ hai bằng hình thức giao hàng không theo dõi được, và vài ngày sau tranh chấp đầu tiên thì tiếp tục mở tranh chấp thứ hai
  • Sau khi tranh chấp đầu tiên kết thúc có lợi cho khách, người này còn khoe thủ đoạn của mình qua email, và người bán đã chuyển ảnh chụp màn hình đó cho Stripe

Phản hồi của Stripe và giới hạn hiện tại

  • Người bán gửi ảnh chụp màn hình cho Stripe và hỏi liệu bằng chứng này có thể được báo cáo đúng cách tới ngân hàng, mạng lưới báo cáo gian lận, hoặc chí ít là trong nội bộ Stripe hay không
  • Đây không phải yêu cầu lật lại tranh chấp đã kết thúc hay thu hồi tiền, mà là kỳ vọng rằng bằng chứng lạm dụng chargeback rõ ràng này sẽ được sử dụng theo cách nào đó có ý nghĩa
  • Stripe trả lời rằng họ không biến bằng chứng lạm dụng chargeback nhận từ một người bán thành tín hiệu gian lận giữa các merchant, cũng không dùng nó để tạo ảnh hưởng tới người bán khác dựa trên thẻ, email hay các chi tiết khác của khách hàng
  • Không ai muốn một người bị tự động chặn trên toàn hệ thống thanh toán của Stripe chỉ vì một người bán đang tức giận, nhưng giữa “chặn toàn hệ thống” và “chúng tôi đã nhận ảnh chụp, hãy xem lại Radar” là một khoảng cách rất lớn
  • Stripe quảng bá Radar bằng số lượng giao dịch lớn, nhiều tín hiệu, phát hiện gian lận tốt hơn và hiệu ứng mạng dựa trên machine learning, nhưng bằng chứng thực tế về việc khách lạm dụng chargeback lại không trở thành tín hiệu mạng
  • Giải pháp được khuyến nghị là dùng quy tắc Radar để chặn khách này mua lại, và người bán có thể phải nâng cấp cũng như trả thêm phí cho Stripe để dùng được các quy tắc đó
  • Giao dịch này trông hoàn toàn bình thường, đã qua kiểm tra và địa chỉ thực cũng khớp, nên rất khó để các quy tắc ở bước checkout lọc ra tình huống “khách nhận hàng xong rồi nói dối với ngân hàng”
  • Người bán nhỏ gần như không có đòn bẩy thương lượng trong tranh chấp; ngân hàng là bên quyết định, và trong lúc Stripe chỉ sang phía ngân hàng thì người bán mất tiền, hàng, phí và thời gian xử lý
  • Nếu bằng chứng mới xuất hiện muộn hơn thì có thể đã quá trễ để nộp, và ngay cả khi cùng khách đó lặp lại việc này ở nơi khác, người bán tiếp theo vẫn có thể lại trở thành nạn nhân
  • Hoàn toàn không có gì là “friendly” ở đây, và khi Stripe không có hành động nào thì về thực chất hệ thống lại trở nên thân thiện với kẻ gian lận

Bài viết liên quan

1 bình luận

 
GN⁺ 22 giờ trước
Ý kiến trên Hacker News

  • Tôi là Josh, phụ trách sản phẩm chống gian lận Radar tại Stripe. Kiểu lạm dụng gian lận này thực sự rất bực bội và không phải là trải nghiệm mà Stripe muốn mang lại cho người dùng.
    Điểm cốt lõi mà nhiều người nêu ở đây là hợp lý. Vấn đề không chỉ là liệu có thể đảo ngược một tranh chấp cụ thể sau khi sự việc đã xảy ra hay không, mà còn là liệu bằng chứng về hành vi lạm dụng chargeback có thể được dùng để bảo vệ các doanh nghiệp khác hay không.
    Tuy vậy, chúng tôi cũng không muốn một thế giới nơi chỉ với báo cáo từ một doanh nghiệp mà người mua bị tự động chặn trên toàn bộ mạng lưới người bán của Stripe. Vẫn có những tranh chấp chính đáng, tài khoản người tiêu dùng cũng có thể bị chiếm đoạt, và việc chặn quá mức với các cảnh báo sai có thể gây hại cho người mua thật.
    Dù vậy, rõ ràng có một khoảng trống giữa “tự động chặn người này ở mọi nơi” và “cảm ơn vì ảnh chụp màn hình”, và chúng tôi muốn giải quyết phần đó.
    Khi gian lận kiểu “friendly fraud” tăng mạnh, chúng tôi đang mở rộng Radar từ chỗ chỉ ngăn gian lận giao dịch thành một sản phẩm ngăn gian lận và lạm dụng trên toàn bộ vòng đời khách hàng, như đăng ký tài khoản, bắt đầu dùng thử, v.v.
    Hiện tại, chúng tôi đang xây dựng các biện pháp như nhận diện những kẻ lạm dụng chargeback tái phạm trên toàn bộ mạng lưới Stripe để hiển thị cho doanh nghiệp trước khi giao dịch diễn ra và đưa vào quá trình ra quyết định, chấm điểm rủi ro lạm dụng tích lũy của chính tài khoản khách hàng, và khi xảy ra “friendly fraud” thì giúp cấu trúc bằng chứng tốt hơn bằng Smart Disputes để tăng khả năng thắng tranh chấp.
    Nếu có phản hồi về Radar, bạn cũng có thể gửi tới jackerman at stripe dot com.

  • Tôi vận hành một dịch vụ SaaS và thỉnh thoảng cũng gặp chuyện này. Khi có chargeback, về nguyên tắc phải chặn hoàn toàn khách hàng đó trong cơ sở dữ liệu.
    Nếu chặn cả thẻ, địa chỉ email và dấu vân tay truy cập thì sẽ giảm được rất nhiều phiền toái khi họ cố đăng ký lại hoặc mua sản phẩm lần nữa để tiếp tục gây rắc rối.

    • Những kẻ lạm dụng dễ dàng vượt qua các kiểu chặn này. Những người thực hiện lạm dụng trên diện rộng là một nhóm nhỏ.
    • Người dùng cao cấp có thể dễ dàng thay cả ba định danh như thẻ, email và dấu vân tay. Tôi tò mò không biết chính xác “dấu vân tay truy cập” nghĩa là gì.
      Tôi từng thấy mọi kiểu fingerprint trình duyệt để theo dõi người dùng, nhưng không rõ bạn có đang nói tới kiểu thu thập fingerprint chỉ khi cần hay không.
    • Cứ bắt buộc 3D Secure thì trách nhiệm sẽ chuyển sang ngân hàng của khách hàng. Nếu họ thực sự muốn sản phẩm, đa số sẽ không quá ngại việc mở ứng dụng ngân hàng trên điện thoại để xác nhận giao dịch.
    • Nếu áp dụng chính sách như vậy thì tốt hơn hết nên phản hồi nhanh các yêu cầu hỗ trợ khách hàng chính đáng.
    • Nếu là ứng dụng iOS thì cũng có thể dùng DeviceCheck. Uber dùng cái này để chặn trên toàn bộ tài khoản.

  • Tôi ngạc nhiên khi Stripe đã nói rõ đến mức này rằng họ “không biến bằng chứng lạm dụng chargeback tại một người bán thành tín hiệu gian lận dùng chéo cho người bán khác, cũng không dùng thẻ, email hay thông tin khác của khách hàng đó để thực hiện hành động với người bán khác”.
    Việc Stripe thực sự truyền đạt rõ các chi tiết như vậy là điều tốt. Nhưng cũng có thể hiểu vì sao nhiều tập đoàn lớn chỉ đưa ra những câu trả lời mập mờ kiểu “cảm ơn bạn đã báo cáo, chúng tôi sẽ xử lý theo cách phù hợp”. Nói ra sự thật lại khiến người ta tức giận hơn.

    • Không. Nếu là câu trả lời mơ hồ thì tôi còn tức hơn nhiều. Tôi vẫn tức vì họ không làm gì cả.
      Dù phải qua lại vài lần mới nhận được câu trả lời rõ ràng, cuối cùng tôi vẫn nhận được một câu trả lời rõ ràng, và theo kinh nghiệm của tôi thì bộ phận hỗ trợ Stripe vẫn rất tốt và giao tiếp cũng hiệu quả.
    • Không. Câu trả lời mơ hồ làm người ta bực hơn nhiều. Chỉ là trong trường hợp đó sẽ không có gì để viết thôi.

  • Khách hàng đã lừa bạn, rồi sau đó ngân hàng của khách hàng cũng vậy. Stripe không phải bên làm điều đó. Tôi không hiểu vì sao Stripe lại bị chỉ trích trong tiêu đề và bài viết.
    Tất nhiên Stripe có thể làm nhiều hơn ngay cả khi không có Radar, nhưng nếu Stripe vận hành một hệ thống chặn khách hàng trên toàn mạng lưới chỉ dựa trên khiếu nại của một người bán thì điều đó có thể rất nguy hiểm. Chắc chắn cách tiếp cận đó sẽ phát sinh nhiều vấn đề.

    • Đúng. Nhưng Stripe đã không làm gì để ngăn người bán tiếp theo rơi vào cùng cái bẫy. Họ có toàn bộ bằng chứng mà vẫn phớt lờ.
      Đó là ý chính tôi muốn nói trong bài blog. Dĩ nhiên cũng không công bằng nếu người bán có thể chặn người tiêu dùng quá dễ dàng. Nhưng chắc chắn phải có một điểm ở giữa.
      Stripe đã nói rất rõ rằng họ không làm gì với các báo cáo kiểu này. Chúng đơn giản bị bỏ qua.
    • Không, Stripe cũng có trách nhiệm. Việc cho rằng chargeback do ngân hàng của khách hàng quyết định là một hiểu lầm phổ biến. Trên thực tế, sau nhiều vòng qua lại thì mạng lưới thẻ mới là bên ra quyết định cuối cùng.
      Tôi đã làm việc vài năm ở phía phát hành thẻ và đã nhiều lần xem tài liệu do các người bán dùng Stripe nộp lên. Tôi biết có những trường hợp mà theo quy tắc của mạng lưới thì chắc chắn sẽ thắng, nhưng Stripe vẫn từ chối tranh chấp.
      Có vẻ Stripe cho rằng việc đấu phần lớn chargeback là không đáng tiền. Có lẽ vì họ có thể đẩy chi phí sang người bán, và tin rằng người bán cũng sẽ không rời đi.
    • Có lẽ bạn cũng không muốn “một hệ thống nơi chỉ cần một người bán đang bực là có thể chặn ai đó khỏi toàn bộ hệ thống thanh toán Stripe”. Nhưng giữa “tự động chặn người này ở mọi nơi” và “cảm ơn vì ảnh chụp màn hình. Hãy thử xem Radar” có một khoảng cách khá lớn, và đó là chỗ gây bức bối.

  • Tôi từng xử lý chargeback trị giá hàng triệu đô trên Stripe. Chúng tôi bán vé, vé rất dễ bán lại, và khách hàng là du khách từ khắp thế giới đến xem biểu diễn.
    Stripe Radar không phải là một sản phẩm tốt. Rất nhiều giao dịch cực kỳ đáng ngờ lại bị chấm mức rủi ro 1 hoặc 2 trên thang 100. Tôi không có nền tảng machine learning, nhưng có vẻ phương pháp luận có gì đó sai sai, như thể bên trong thiếu mất một đường dây nào đó khi vận hành. Đáng tiếc là Stripe dường như không có nhiều động lực để quan tâm.

  • Giờ tôi khá chắc rằng ít nhất về mặt tinh thần, Stripe đã gần với PayPal 2.0.
    Làm ngơ trước gian lận trên nền tảng, nhận tiền xong rồi khóa các nhà sáng tạo nội dung người lớn hoặc người bán, hiện diện khắp nơi nhưng chẳng mấy ai thực sự yêu thích.
    Tôi đánh giá cao việc Stripe đã thay đổi cuộc chơi fintech và giúp nhiều người tiếp cận theo hướng lập trình được, nhưng vì những lý do này mà dạo gần đây tôi thường nói với những ai hỏi lời khuyên về thanh toán rằng “hãy tránh Stripe”.

    • Đó là bản chất của ngành này. Các ông lớn hiện hữu tích tụ quá nhiều ràng buộc theo thời gian nên trở nên chậm chạp, cồng kềnh và khó làm việc cùng.
      Các công ty mới nổi giành thị phần bằng cách khác biệt hóa nhờ sự linh hoạt và trải nghiệm hợp tác dễ chịu hơn.
      Theo thời gian, các công ty mới cũng ngày càng phải xử lý giám sát pháp lý, gian lận, gánh nặng vận hành và các thông lệ né tránh trách nhiệm.
      Rồi công ty mới trở thành ông lớn cũ, và mọi thứ lại quay về điểm xuất phát.
    • Có ai bạn đề xuất làm lựa chọn thay thế không?

  • Tôi đã bị chargeback gian lận. Họ nói giao dịch mua không được ủy quyền, nhưng chính người đó đã trực tiếp đến lớp. Điều tệ hơn là vì họ thanh toán bằng Link, Stripe đã chủ động xác minh người đó bằng xác thực hai yếu tố
    Có ai giải thích được vì sao Stripe hoặc đối thủ của họ không cung cấp cài đặt kiểu “từ chối giao dịch của thẻ đã nộp quá x chargeback đối với merchant trong năm nay” không?

    • Những quy tắc như vậy có vẻ hơi rắc rối. Thẻ của ai đó có thể đã thực sự bị đánh cắp
      Điều gây bực bội là Stripe khoe khoang về machine learning, các quy tắc Radar và những thứ tương tự, nhưng lại không thể đưa dữ liệu thực sự có giá trị vào đó
      Bộ phận hỗ trợ của Stripe đã xem email trong đó khách hàng khoe rằng họ đã lừa tôi, hoàn toàn đồng ý rằng đó rõ ràng là gian lận thân thiện, nhưng không làm gì với thông tin đó cả
    • Tôi không biết có phải vì lý do này không, nhưng nếu ai đó yêu cầu tôi xây dựng một hệ thống như vậy, tôi sẽ khá lo rằng nó có thể bị xem là báo cáo tiêu dùng theo Fair Credit Reporting Act
      Tôi cũng không muốn vướng vào màn kịch tin tức chắc chắn sẽ xuất hiện. Kiểu như: “Tôi chỉ là một bà cụ nghèo và ngây thơ, tôi chỉ tin quảng cáo trên Facebook, vậy mà Stripe chặn tôi ở một nửa số cửa hàng trên internet chỉ vì tôi bị lừa!”
    • Bạn nói họ tuyên bố giao dịch mua không được ủy quyền và người đó đã trực tiếp đến lớp, nhưng dù đúng là có ai đó đã đến lớp thì làm sao bạn biết người đó chính là chủ của thẻ tín dụng đã được dùng?
    • Mô hình kinh doanh của họ là cho phép càng nhiều giao dịch “hợp lệ” càng tốt, chứ không phải phục vụ “khách hàng doanh nghiệp”. Họ là nhà cung cấp dịch vụ thanh toán

  • Đây đơn giản là lừa đảo. “Gian lận thân thiện” là khi khách hàng khởi tạo chargeback một cách vô tình hoặc với ý định đúng đắn, chẳng hạn như không nhận ra khoản ghi trên sao kê của mình

    • Thực ra việc không nhận ra khoản ghi trên sao kê không phải là lừa đảo. Lừa đảo đòi hỏi phải có chủ ý, hoặc ít nhất là sự cẩu thả nghiêm trọng kiểu “nếu tôi không nhớ thì tôi sẽ tranh chấp tất cả và hầu như chẳng buồn cố nhớ lại”
      Cụm “chỉ là lừa đảo” đã được dùng cho trường hợp “tội phạm c dùng thẻ của chủ thẻ a không quen biết tại merchant b cũng không quen biết”. Vậy nên tôi tò mò vì sao lại phản đối cụm “gian lận thân thiện”
    • Đó chính là mấu chốt. Bạn có thể khởi kiện hình sự, và cũng có thể thắng ở tòa dân sự
    • Đúng vậy. Và Stripe có thể ngăn chặn chuyện đó tốt hơn nhiều, nhưng họ không làm

  • Bài viết hay. Điểm mấu chốt là Stripe thừa nhận họ sẽ không dùng bằng chứng gian lận thân thiện sau tranh chấp làm tín hiệu liên merchant cho Radar
    Cộng thêm việc khách hàng còn khoe khoang theo đúng nghĩa đen sau khi thắng chargeback, điều đó cho thấy hệ thống đang nghiêng bất lợi đến mức nào đối với những người bán độc lập

  • Rõ ràng Stripe có ghi nhận dữ liệu liên quan đến gian lận thân thiện. Ít nhất họ đã triển khai Visa Compelling Evidence 3.0 https://support.stripe.com/questions/how-does-stripe-support...
    Vì không có ảnh chụp màn hình các tin nhắn từ bộ phận hỗ trợ Stripe, tôi tự hỏi liệu họ chỉ đang cố gắng để bạn bỏ qua bằng một câu trả lời mơ hồ, thận trọng và an toàn về mặt pháp lý, rồi chuyện đó biến thành một bài blog đầy giận dữ hay không

    • Tôi có thể chia sẻ nguyên văn phản hồi của Stripe. Có khá nhiều thư qua lại. Từ một phần email gần đây, có vẻ khá rõ rằng họ không dùng bằng chứng tôi đã cung cấp
      “Tôi sẽ ghi nhận phản hồi này và chuyển cho nhóm. Nhận xét của bạn về việc phát hiện lạm dụng sau giao dịch là xác đáng. Stripe có khả năng phát hiện gian lận mạnh ở cấp độ mạng, nhưng dường như có một khoảng trống trong việc tận dụng bằng chứng gian lận đã được merchant xác nhận để bảo vệ hệ sinh thái merchant rộng hơn. Phản hồi như vậy từ các merchant có bằng chứng trực tiếp là rất có giá trị cho việc cải thiện hệ thống.”
    • Nếu đúng là họ “chỉ đang cố gắng để bạn bỏ qua bằng một câu trả lời mơ hồ, thận trọng và an toàn về mặt pháp lý”, thì việc phớt lờ hoàn toàn vấn đề tự nó đã là hành vi đánh lừa, nên tình hình cũng chẳng khá hơn bao nhiêu
    • Liên kết đó nói rằng các giao dịch trước đây với bạn trong 4–12 tháng mà không có tranh chấp có thể chứng minh rằng giao dịch đang bị tranh chấp lần này thực sự là hợp lệ
      Nhưng trường hợp trong bài là về một người chỉ thực hiện giao dịch bị tranh chấp trong vòng 1–2 tuần
    • Phàn nàn duy nhất của tôi về việc Stripe ghi nhận dữ liệu liên quan đến gian lận thân thiện là họ không cho phép xóa thông tin thẻ của một gói đăng ký đang hoạt động mà tôi không có ý định gia hạn, và đã đặt là không gia hạn ngay trên trang thanh toán dịch vụ
    • Ý bạn là gì? Bạn nghĩ Stripe đã nói gì mới là điều quan trọng à? Tôi tò mò không biết câu trả lời nào có thể khiến bài blog đầy giận dữ đó trở nên không chính đáng