Lừa đảo thẻ tín dụng cũng là một ngành kinh doanh - chúng cũng có chuỗi cung ứng và cả tổ chức QC riêng

• Một câu chuyện thú vị do một nhân viên Stripe gộp 3 chủ đề lại để phân tích

→ quyên góp từ thiện

→ chuỗi cung ứng phục vụ gian lận thẻ tín dụng

→ hạ tầng tài chính toàn cầu

• Những kẻ lừa đảo thẻ tín dụng sở hữu một hệ sinh thái cực kỳ tinh vi và chuyên môn hóa

→ thậm chí còn có bộ phận kiểm soát chất lượng cạnh tranh về hạ tầng chuyên dụng và tốc độ phản ứng

• Phần lớn thẻ bị đánh cắp không được chính kẻ trộm/hacker sử dụng mà được bán tại thị trường này

→ điều này cho phép công việc được chuyên môn hóa

→ trong thị trường này cũng có các tiêu chuẩn chất lượng được quản lý bằng đánh giá sao để đảm bảo chất lượng sản phẩm

• “Chất lượng” ở đây có nghĩa là “người mua có thực sự rút được tiền từ thẻ này không?”

→ điều này được bảo đảm trước khi bán (hoặc sau khi bán) thông qua cái gọi là “card testing”

• Tính hữu dụng của những chiếc thẻ này giảm dần theo thời gian (vì thẻ bị hủy hoặc bị khóa)

→ bọn trộm thực hiện “giao dịch thử nghiệm” ngay trước khi bán để chứng minh rằng những chiếc thẻ này xứng đáng có giá cao

→ việc kiểm tra này rất quan trọng vì nếu nỗ lực “gian lận thẻ” bằng những thẻ mua bất hợp pháp này thất bại, người mua có thể làm mất các nguồn lực khan hiếm khác đã dùng để mua chúng

• Các doanh nghiệp hợp pháp và tổ chức từ thiện bị lợi dụng cho “card testing quy mô lớn” (mỗi lần lên tới hàng triệu người)

→ bọn lừa đảo không trực tiếp lấy đi thứ gì ở đây

→ chỉ cần xác nhận được thẻ thanh toán tốt thì chúng có thể bán được giá cao hơn trên thị trường

• Các tổ chức từ thiện chiếm 11% tổng số nỗ lực card testing

→ cao hơn nhiều so với các ngành khác (gấp hơn 3 lần tôn giáo/giáo dục/bảo hiểm, v.v.)

• Vì sao bọn lừa đảo lại ưu tiên nhắm vào các tổ chức từ thiện?

→ một trong những lý do là (trừ các tổ chức từ thiện lớn có đội ngũ thanh toán chuyên trách,)

→ các tổ chức từ thiện quy mô lớn không nghĩ rằng ai đó lại có thể lợi dụng chúng một cách bất hợp pháp trong khi đang đưa tiền cho tổ chức

• Với thương mại điện tử thì anti-fraud là bắt buộc, nhưng các tổ chức từ thiện không có đủ khả năng để làm điều đó

• Nhưng card testing này thực sự rất tệ với các tổ chức từ thiện

• Những khoản thanh toán như vậy sẽ bị hủy nếu chủ thẻ khiếu nại, và bản thân việc để chuyện đó xảy ra sẽ khiến họ bị bất lợi trong ngành tài chính

• Tệ nhất là nếu không ngăn được các đợt card testing lặp đi lặp lại, họ có thể mất luôn khả năng nhận quyên góp bằng thẻ

• Đây là mức thảm họa đối với các tổ chức từ thiện nhỏ sống hoàn toàn nhờ quyên góp thẻ trực tuyến

• Trong thời kỳ đại dịch, các cuộc tấn công card testing đã tăng rất nhanh

• Trong trường hợp châu Á nơi tôi sống, con số này đã tăng vọt tới 56% trên toàn bộ mạng lưới Stripe so với dự đoán

• Vậy các tổ chức từ thiện nhỏ có thể làm gì?

• Stripe có trách nhiệm bảo vệ trước những việc như vậy và đã làm nhiều điều để ngăn chặn

→ vẫn đang tiếp tục làm việc ở backend để nhận diện các cuộc tấn công card testing

→ có thể can thiệp mạnh hơn ở frontend, nhưng các tổ chức nhỏ không có nguồn lực để triển khai việc đó

→ (các tổ chức từ thiện thông thường không có lập trình viên trong đội ngũ nhân sự)

• Vì vậy Stripe đã triển khai một mô hình điều tiết trong Stripe Checkout

→ chặn hoàn toàn thanh toán thẻ vì bị tấn công sẽ gây hại cho tổ chức từ thiện

→ nên khi có tấn công thì họ chèn thêm thứ như Captcha. Cách này rất hiệu quả.

→ thông thường khi tấn công xảy ra, chỉ 1.6% vượt qua được Captcha

→ không áp dụng cho tất cả mọi người, mà chỉ hiển thị Captcha với những người bị nhận diện là kẻ tấn công, nên gần như không có người dùng hợp pháp nào nhìn thấy nó