欺诈预防指南:识别并防范支付欺诈
网络钓鱼定义:网络钓鱼是一种社交工程攻击 — 即通过心理操控的方式进行欺骗。欺诈者利用虚假邮件、短信或网站,诱骗个人泄露敏感信息,如登录凭证和信用卡信息。
网络钓鱼攻击通常通过伪装成银行或知名电商发出的邮件进行,邮件会要求收件人点击链接更新账户信息、验证近期交易或领取奖品。当收件人点击链接时,会被引导至一个假冒网站,在此输入登录凭证、信用卡信息或其他敏感数据。
网络钓鱼攻击还可以通过短信(称为“短信钓鱼”)或社交媒体平台(称为“网络农场”)实施。这些情况下,攻击者发送信息或链接至伪装成合法网站的虚假网站,以窃取个人信息或感染设备恶意软件。
防范措施:为防范网络钓鱼攻击,点击不明或可疑来源的链接和附件时要谨慎。留意欺诈者的常用手法,如紧迫或威胁性语言、拼写错误或可疑链接。使用防病毒软件也有助于抵御网络钓鱼攻击。
如同其他支付欺诈类型一样,网络钓鱼骗局随着时间推移会变得更复杂,且更具伪装性。个人和企业应自我教育,并对员工进行网络钓鱼的识别和预防培训。
银行卡盗刷 (Skimming)定义:银行卡盗刷是一种欺诈行为,欺诈者使用名为“盗刷器”(skimmer) 的设备盗取信用卡或借记卡信息。欺诈者将盗刷器安装在 ATM 或 POS 终端(如加油站、自助结账通道及其他支付终端)上。盗刷器会捕获卡片磁条数据,这些数据可被用来制作伪造卡片或进行欺诈性消费。
除盗刷器外,欺诈者还可能使用微型摄像头或覆盖物安装在 ATM 或支付终端的键盘上,以捕获客户的 PIN。这些信息会和盗取的卡片数据一起用于未经授权的提现或消费。
防范措施:银行卡盗刷难以察觉,因为读卡设备通常体积小巧且不显眼,但也并非无法发现。一些迹象可能表明存在窃取设备,例如松动或损坏的读卡器,终端上出现不寻常的或额外的设备,或设备与其他支付终端外观不同。
在使用支付终端和 ATM 时要小心,检查设备有无改动迹象。输入 PIN 时遮挡键盘也可防止摄像头盗取。
定期监控银行和信用卡账单,发现任何可疑交易及时向银行或信用卡公司报告。
使用数字钱包或 EMV 芯片卡也能防范窃取信息,这类技术比磁条卡更安全。确保企业接受这些安全支付方式,是防止信息窃取的有力措施。
身份盗窃定义:身份盗窃是一种支付欺诈,欺诈者窃取他人的个人信息(如姓名、社保号或信用卡号)并用于未经授权的消费,或以受害者名义开立账户。身份盗窃可能对受害者造成严重的财务和法律影响,带来巨大压力和焦虑。
身份盗窃包含多种欺诈手法,例如网络钓鱼攻击就是一种身份盗窃。数据泄露也是身份盗窃的方式之一,黑客可入侵公司数据库并窃取大量个人信息。其他方式还包括盗取邮件、翻找垃圾桶,或盗窃钱包或手提包。一旦获得个人信息,欺诈者可能会开立新的信用卡账户、申请贷款,甚至提交虚假税表。
防范措施:企业可以采取多项措施预防身份盗窃。首先,确保客户数据安全存储,使用加密及其他安全措施防止未经授权的访问。限制员工对客户数据的访问权限,仅限于工作需要,并要求所有含有客户数据的账户和系统设置强密码和多因素认证。
员工培训对于防范身份盗窃也很重要,培训内容应包括如何识别钓鱼邮件和创建强密码等安全最佳实践。
监控客户账户的可疑活动,例如未经授权的登录或账户信息更改,可以帮助企业尽早发现身份盗窃并减少损失。选择合适的支付技术堆栈可避免欺诈检测和防护过度消耗时间和资源。Stripe Radar 是一项集成于所有 Stripe 支付产品中的高级欺诈检测和防护技术,包括 Terminal。
此外,企业应制定应对数据泄露的预案,包括通知受影响的客户并提供身份盗窃保护服务。
拒付欺诈定义:拒付欺诈,也称“友好欺诈”,是指客户对合法交易提出争议,声称自己并未进行该笔购买,或者称没有收到所支付的产品或服务。在某些情况下,客户可能在获得退款后依然保留产品或服务,导致企业财务损失。拒付欺诈会给企业带来重大财务影响:不仅会失去该笔交易的收入,还需支付拒付费用和罚款。
拒付欺诈的发生方式有多种。撤单欺诈最常见的方式是顾客在完成合法购买后,却向信用卡公司提出争议,声称物品不符合描述或从未收到。另一种方式是顾客故意使用被盗信用卡进行购买,随后声称该笔消费未经授权。
防范措施:为防止拒付欺诈,企业应验证顾客身份,确保他们是使用该信用卡的合法持有人。这可以包括要求签名或在无卡交易中要求 CVV 码,或使用欺诈检测工具如地址验证或 IP 地理定位。企业还应制定清晰的退款和退货政策,并建立处理拒付争议的流程。保持所有交易的清晰记录,包括收据、运输信息和客户交流,以备拒付争议时提供证据。
商业电子邮件诈骗定义:商业电子邮件诈骗 (BEC) 付欺诈,欺诈者通过伪装的电子邮件诱使员工将资金转入虚假账户。在商业邮件诈骗 (BEC) 骗局中,诈骗分子通常通过网络钓鱼或社会工程策略获取企业电子邮件账户的访问权限,然后利用该账户向员工或供应商发送电子邮件,要求进行电汇或其他付款。
BEC 诈骗形式多样,常见的是欺诈者冒充高级主管或供应商,发出紧急付款请求。邮件通常看起来真实,带有公司品牌和熟悉的邮箱地址。但是,如果员工按照电子邮件中的指示进行操作,他们会将钱转入由欺诈行为者控制的银行账户。
BEC 骗局可能很难被发现,因为它们通常涉及利用人类对权威的信任的社会工程策略。但是,有一些迹象表明存在 BEC 骗局,例如:
紧急付款请求不寻常的付款指示包含异常语法或拼写错误的电子邮件防范措施:防止 BEC 诈骗涉及许多已有的最佳实践,如教育员工识别并报告可疑邮件,实施双重认证和加密等安全协议。教育员工如何识别和报告可疑电子邮件,并实施强大的电子邮件安全协议,例如双因素身份验证和加密。
企业还应该有一个明确的付款审批流程,包括通过二级渠道(如电话或面对面交谈)验证付款指令。特别是涉及资金转移的内部请求时,明确的指引至关重要。
最后,与所有欺诈行为一样,定期监控银行账户是否存在可疑活动,制定应对 BEC 诈骗的计划,包括联系执法机构和通知可能受影响的客户或合作伙伴。
无卡欺诈定义:无卡支付 (CNP)欺诈指欺诈者使用盗窃的信用卡信息进行非现场消费,通常是在线或电话购买。随着电子商务的兴起,无卡支付欺诈日益普遍,可能给企业带来严重财务损失,因企业需承担拒付费用或虚假交易损失。
无卡支付欺诈通常发生在欺诈者通过数据泄露等方式获取盗窃的信用卡信息并进行未经授权的购买。另一种方法是欺诈者使用社会工程策略(例如网络钓鱼)直接从受害者那里获取银行卡信息。
防范措施:企业可以采取多种措施防止无卡支付欺诈,包括:
使用地址验证或 IP 地理定位等欺诈检测工具验证顾客身份并检测可疑活动实施强身份认证协议,包括双重认证和令牌化,以保护卡片信息保留所有交易的清晰记录,包括运输信息和客户交流,以备拒付争议制定详细的退款和退货政策,清晰传达给客户,并制定处理拒付和欺诈交易的流程