TD WL防欺诈网络讲座-中文
- 大家好,感谢您今天参加我们的防欺诈网络讲座。我是来自Worldline的Kym,将担任今天的主持人。今天,我们将和来自道明银行以及TD支付网关合作伙伴Worldline的欺诈与风险管理专家一起探讨一系列重要话题。首先,让我们请TD的Hannan做一下自我介绍。Hannan。
- 谢谢Kym,大家好。我是Hannan Ning,身为道明银行的解决方案顾问,我已有近12年的经验,专注于为商户提供有效的欺诈预防和检测方案。
- 接下来,请来自Worldline的Carlos进行自我介绍。
- 谢谢Kym,我叫Carlos Guzman。我是Worldline的欺诈分析师, 在Worldline已有九年的工作经验。非常高兴能参加今天的座谈。
- 感谢。在正式开始之前,我们先来回顾一下几个注意事项。在本次在线讲座中,我们鼓励大家随时提问。请使用Q&A工具提交您的匿名问题。您可以通过屏幕上方的图标打开Q&A侧边面板。在座谈结束后,我们会一一解答大家的问题。如果您的问题没有得到及时解答,不用担心。讲座结束后我们会继续跟进,并向大家提供详细解答。我们将录制本次讲座,稍后会在TD官网上发布,供大家日后查看。
好的,接下来进入今天的议程。大家已经认识了我们。接下来,我们将讨论商户常见的欺诈手段,以及如何有效防范这些欺诈行为和应对拒付,还会介绍一些可量化的防范措施和行动,关键要点,最后是问答环节。
您知道吗?2022年,有65%的组织遭遇了支付欺诈。令人遗憾的是,其中近一半未能追回任何被盗资金。另外,加拿大反欺诈中心报告称,2022年受害者的损失比2021年增加了40%,达到了$53000万。2022年,将近一半的小企业遭遇了随机网络攻击,而27%遭遇了定向攻击。根据加拿大独立企业联合会的调查,只有11%的企业为员工提供了强制性的网络安全培训。只有8%提供了可选培训。
那么,专家们,鉴于这么多企业都面临欺诈的威胁,你们能和我们分享一下商户应该留意的主要欺诈手段吗?Hannan,先请您讲讲。
- 谢谢Kym,最常见的欺诈手段包括退款欺诈、友善欺诈、内部欺诈和拦截欺诈。我们先来谈谈退款欺诈。
欺诈者获取退款后,编造理由以避免将商品退回。他们还会请求换用与原支付方式不同的退款渠道,甚至要求现金退款。简单来说,您应该始终使用原支付方式来处理退款。
接下来是友善欺诈。这种情况通常是持卡人提出虚假的或误导性的争议主张。他们可能忘记了自己曾购买商品,或者虽然记得购买,但认不出这笔交易,甚至有时只是想逃避付款。这样的争议可能导致拒付。友善欺诈在所有欺诈争议中占比高达16%。一个有趣的事实是,23%的消费者在过去一年曾经对购买的商品提出异议,虽然他们收到了商品且对购买的商品完全满意,仍然以欺诈为由要求拒付。
第三种是内部欺诈。这指的是商户的某个员工处理未经授权的交易,窃取信用卡信息以供将来使用。
最后是拦截欺诈。拦截欺诈通常是指欺诈者用盗用的信用卡在网上购物。他们将商品送到与信用卡账单地址匹配的地址,这样就能绕过账单与送货地址不符的检查,之后他们会试图拦截包裹。
抱歉,Kym,您处于静音状态。
- Carlos,您能说说信用卡撞库、账户盗用和假冒商店吗?
- 我们常见的信用卡撞库分为前端和后端两种。前端信用卡撞库最为普遍,通常出现在结账时。欺诈者通常在您的商店购买商品,并尝试使用一系列信用卡进行付款。直到其中一张卡成功付款为止。个人信息大致相同。购买金额不变,但使用的信用卡信息会不断变化。
第二种类型是后端信用卡撞库,这种情况很少发生。当欺诈者持有大量盗用的信用卡时,他们会通过在一个随机商户账户上进行小额交易来验证这些卡的有效性。欺诈者会通过猜测商户ID,然后向支付服务提供商发送交易请求。一旦我们发现后端信用卡撞库,便会立即通知商户。您的信息是安全的,账户并未被入侵。
另一种常见的欺诈手段是商户账户盗用 (ATO)。欺诈者通过窃取您的登录凭证,盗取资金或信息,用于进行欺诈交易。这可以通过电话、网络、社交媒体或邮件等方式进行。他们也可能通过钓鱼、恶意软件等手段入侵您的账户,例如律师诈骗、CEO诈骗或CR诈骗短信等。
另一种诈骗手段叫做固定来源或三角诈骗。这种诈骗值得特别警惕。欺诈者拥有一个虚假商店或另一个平台(如eBay或Etsy),然后使用盗取的信用卡信息向合法商户购买商品,并将商品送至欺诈者客户的地址。随后,欺诈者通过第三方平台获得支付,而合法商户则要面对拒付。Kym,接下来由您接着讲。
- 非常好,谢谢。那么既然大家都了解了欺诈者的常用手段,能否请二位分享一些商户如何保护自己免受欺诈的建议?Carlos,接下来请您说说。
- 我们始终建议商户收集更多关于交易的信息来加强交易验证。这包括支付方式的附加信息,如浏览器、设备、IP地址等。
地址验证也是交易中的重要环节,确保在您的网站上进行地址验证。CVV验证则是一项标准操作,要求输入CVV码并验证交易是否由持卡人发起。
推广电子钱包。像Apple Pay这样的电子钱包因采用了设备生物识别和标记化技术,能提供更高的支付安全性。信息也经过强加密。
验证超出正常交易金额的订单。这笔交易是否合理?是否在正常结账范围内?
最后,关注交易中的“预警”信号。在审查交易时,注意任何不寻常的情况。购买金额大幅超出常规或小额交易可能带来风险。账单地址与配送地址不符的交易,或者海外交易也可能存在风险。哪怕有任何细微的异常,也要及时与客户联系并进行复核。直到确认安全为止。
- 非常实用的建议,谢谢您。Hannan,您的看法呢?
- 当然,Kym。我完全同意Carlos的意见。定期审查网站平台的安全性非常关键。商户可以通过遵守PCI DSS规范来实现这一目标。PCI DSS(支付卡行业安全标准委员会)已制定了一套关于保护持卡人数据的安全标准,这些标准适用于所有处理信用卡的实体。这些实体必须遵守这些标准。其中包括商户和收单方等。
其次,每家商户都必须遵守支付卡行业安全标准规范,无论其规模大小。PCI DSS同样适用于所有存储、处理或传输持卡人数据的代理或第三方服务提供商。与此同时,商户还需要采取措施降低信用卡撞库风险。我们建议使用验证码 (CAPTCHA)。取决于您希望如何减少对合法客户的影响,您可以根据需要调整验证码设置。确保您的电商平台或购物车提供商支持此功能。您还应强制要求在支付表单中手动输入某些字段,如信用卡号码,以防止信用卡撞库脚本。
其次,保护持卡人信息至关重要。因此,请尝试收集最少量的客户信息,并限制对相关信息的内部访问。最后,实施强有力的欺诈检测工具,确保商户的防护措施始终有效并具有可持续性。
- Hannan,这也自然引出了我们下一个话题:TD Online Mart提供的工具如何帮助商户防止欺诈和拒付?Carlos,您先说吧。
- 商户可以使用七种主要工具。我将首先介绍前三个,接下来让Hannan讲解剩下的部分。第一个是结账和自定义结账。这些托管解决方案有助于降低商户的PCI范围,并确保结账过程的安全。
其次是安全支付档案。通过使用令牌化来存储支付信息并在进行重复交易时重复使用,它们可以降低您的PCI范围并确保客户数据安全。安全支付档案使用令牌化服务,将加密数据存储在我们的PCI一级服务器中,帮助防止自动化凭据填充或账户盗用。
接下来是风险阈值。这些功能由Worldline启用,但您作为商户可以根据您的业务需求选择最适合的设置。请注意,我们需要获取商户客户的IP地址,才能有效运用风险阈值。如果您对操作产生的摩擦或误报有所顾虑,可以先从较低的阈值开始,然后逐步提高。接下来,Hannan,您继续。
- 感谢Carlos。接下来的工具涉及多个方面。我们有电子钱包,比如Apple Pay或Click to Pay,这些工具提供了更高的用户便利性、更加安全的身份验证,并可能带来责任转移。Click to Pay可用于结账和自定义结账。它是EMVCo提供的一款电子钱包,支持Visa、Mastercard和American Express卡。Apple Pay也可用于自定义结账。需要注意的是,商户需要先在Apple注册并创建证书。证书将在Online Mart中激活时使用。
其次,我们有Azure验证服务和信用卡验证码 (CVV)。这两个功能可增强身份验证,您可以在账户配置页面启用。您还可以设置在提供的信息不准确的情况下,是否拒绝交易。由于我们生活在加拿大,既使用英语又使用法语。地址输入的方式可能有所不同。因此地址验证包括完整的地址和邮政编码。一些商户选择只验证或核验邮政编码,以应对多种地址格式,从而减少虚假拒单的情况。
第三个是EMV 3DS。EMV 3D安全验证技术是为在线交易增设的安全保护层。通过使用交易数据,系统会根据风险进行身份验证。如果交易被认为具有高风险,持卡人可能会收到金融机构的额外验证问题。此功能不仅优化了结账体验,若交易被接受,还可能将欺诈相关责任转移给发卡行。使用结账功能时,您可以轻松启用此功能。
最后,我们还有用户管理功能。现在,Online Mart提供用户管理功能,允许商户定义用户访问权限,保护数据的可视性。例如,用户可能只能进行购买操作,且在交易完成后无法访问支付信息。
- 非常全面的概述。还需要特别指出的是,Hannan和Carlos提到的所有功能都是当前TD服务的一部分。
那么,到现在为止我们已经讨论了很多内容,深入了解了欺诈原因和防范措施。但在当前的生态系统下,尽管我们尽了最大努力,欺诈事件仍然会对商户产生影响。那么,专家们,商户该如何报告欺诈事件呢?
- 嗯,我来回答这个问题,Kym。我将从一般建议和TD Touch Points的角度出发,然后Carlos可以进一步解释您何时应该直接联系Worldline,或者为何他们需要直接与您联系。
首先,如果您怀疑交易涉及欺诈(例如退款欺诈、拦截欺诈或虚假商店),在确认交易合法之前,请不要发货或提供任何服务。如果您有任何疑虑,应尽快通过结账时提供的联系方式(如电话或电子邮件)与客户联系,确认他们是否知晓这笔交易。如果您仍然感到不放心,建议您取消交易或进行退款,并向客户发送取消通知。这样可以有效减少拒付的发生,并降低因欺诈带来的财务或产品损失。
如果遇到账户被盗用的情况,请务必通过提供的服务支持电话或电子邮箱联系Worldline。他们会帮助您修改登录凭证,并检查您的用户权限,以防止今后类似情况的发生。
最后,我们还需要关注友善欺诈造成的拒付。通常,商户会收到拒付请求。在这种情况下,您应尽量收集所有交易相关信息。其中包括原始发票、购物确认...是发货确认,抱歉口误...地址验证服务匹配、与客户的邮件往来以及退款证明等,将争议提交给拒付通知中指定的团队进行处理。
我们还会处理信用卡撞库问题。支付卡网络、TD或Worldline可能会识别出潜在的信用卡撞库行为。请注意,TD和Worldline无法100%保证识别所有欺诈情况。情况可能会有所不同。
首先,TD要发现欺诈事件。通过内部交易监控或支付卡网络的监控发现欺诈事件,并与支付卡网络进行沟通。如果您有专门的客户团队,他们会参与所有的沟通。若是您自己报告的欺诈行为,请通过电子邮件 (support@onlinemart.ca) 或电话联系Worldline。电子邮件地址和电话号码可参见幻灯片及我们网站上的信息。作为商户,您需要联系Worldline进行账户安全设置。例如,对风险阈值进行初始设置。至于Worldline的部分,我将把话筒交给Carlos,详细介绍监控措施。
- 谢谢,Hannan。正如您提到的,Worldline的欺诈和风险团队使用多种工具和人工监控。在检测到潜在的欺诈行为时,可能会直接与您联系。最常见的是前端信用卡撞库和后端信用卡撞库,后者极为罕见。我们的各个团队会对信用卡撞库活动进行24/7全天候监控。我们会与您联系,告知为减少信用卡撞库所采取的措施,并提供解决方案,防止未来发生类似情况。
如果检测到前端信用卡撞库,商户的相关账户可能会暂时被禁用,以免遭受进一步损失。在发生信用卡撞库时(无论是您报告的还是我们发现的),您还需要与您的购物车供应商或网站开发者联系。
- 谢谢,这就是今天讨论的全部内容。感谢两位分享了有关当前欺诈形势的宝贵见解,并向我们的观众提供了实用的行动指南和工具,帮助他们防范欺诈、降低风险。在开始回答观众提出的问题之前,让我们先回顾一下今天讨论的几个关键要点。我们已经介绍了如何通过防范措施应对欺诈问题,如何就欺诈相关的以及所有与技术相关的问题与我们联系,并且分享了未来可用的资源。
好。现在,我们将进入问答环节,解答大家的疑问。我们还有一些时间,太好了。谢谢大家提出的问题。
好了,Carlos,您来回答第一个问题。能否根据名字或地址屏蔽某人不让他们在平台上购物?
- 我们无法通过这些方式进行屏蔽,但我们可以通过IP地址和手机卡号进行屏蔽。进一步解释一下,我们不建议根据名字或电子邮件屏蔽用户,因为大多数情况下,欺诈者会使用假冒的他人信息,这可能会影响未来进行合法交易的客户。
- 非常有趣,谢谢。好,Hannan,这个问题由您回答。有没有可能发生通过3D安全验证技术成功验证的欺诈交易?
- 简短的回答是,确实有这种可能。我想稍作解释,3D安全验证技术本身是一种更安全的交易验证协议。通过3D安全验证技术提供的额外交易信息,发卡行可以决定是否接受交易责任。虽然它能有效减少欺诈,但欺诈者仍有可能完成交易。如果使用了3D安全验证技术且发卡行接受了交易责任,那么商户将不承担责任。
- 好的,谢谢。Carlos,轮到您了。为什么有时持卡人的姓名和账单上显示的不一样?
- 这种情况虽然少见,但确实可能发生。这通常是因为某人代别人购买商品。遇到这种情况时,建议您进一步核查,或者联系客户确认。
- 很好的建议,谢谢。好,Hannan,接下来是您了。能否提供一份响应编码数字和CVD、AVS结果的解读清单?
- 当然可以,Kym。相关信息都可以在Worldline的规范中找到。文档中都有详细说明。对。
- 太好了。Carlos,预授权交易的IP信息准确度如何?
- 它非常准确,可以显示生成交易时的实际IP地址。如果使用我们的结账系统或自定义结账系统,该字段会在交易确认收据上自动填充。因此,提供的IP信息是非常准确的。
- 谢谢。接下来由我来回答。这个文档会发送给与会者吗?当然,我们会尽快发送。谢谢提问。
好,接下来的问题由您回答,Carlos。如何阻止某人通过我们的网关进行购买?换句话说,是否可以根据名字和地址屏蔽某人?
- 我认为,这和我们之前回答的问题很相似。遗憾的是,这不太可能实现。不过我们有其他方法可以屏蔽某个人。正如我之前提到的,可以通过卡号或IP地址进行屏蔽。但我们不建议根据名字和地址来进行屏蔽。
- 明白了。接下来是另一个关于3DS的问题。我将问题交给您,Hannan。3DS会生成许多验证问题或一次性密码请求来对客户进行验证吗?
- 嗯,这是个好问题。其实这取决于发卡行和持卡人的交易记录。如果发卡行认为交易不符合持卡人的正常消费习惯,他们可能会要求持卡人进行身份认证。我要表达的是,是否需要认证完全由发卡行决定。不过我想补充一点,有些交易可能会被要求进行认证。Visa已经确认,使用3D安全验证技术能显著提升商户的交易批准率。
- 好的,谢谢。Carlos,接下来这个问题由您回答。您能解释一下什么是前端信用卡撞库吗?
- 我想稍微重复一下我们在介绍中提到的内容。前端信用卡撞库就像是在您的结账页面上运行的一个脚本。它可能是JavaScript脚本或欺诈者放置的其他类型的脚本,用于通过您的网站测试一系列卡号。他们想要看看哪些卡能通过验证。测试金额一般都很小,例如$1.00、$0.50等。当他们得到批准或回应时,就会将这些卡片用于其他交易。这也是为什么验证码如此重要的原因,因为它可以防止或者至少减缓这些脚本的运行,令他们对卡号的测试变得更加困难。
另一个方面是,这并不意味着您的账户被侵入。它只在您的结账页面上运行。欺诈者利用了您的支付页面进行这些交易,但您的数据并没有泄露。
- 验证码确实是一个好工具,是吧?好的,Hannan,接下来这个问题由您回答。我注意到问题中的“最”得到了突出显示,这意味着这个问题很重要。您提供的最有效的防欺诈功能是什么?
- 简短地说——我们一直在讨论的3D安全验证技术,具体而言,3D安全验证技术是防止欺诈相关拒付的黄金标准。那么这就是我的简短回答。
- 既然我们讨论到拒付了,接下来的问题是, 作为商户,如何有效避免拒付呢?
- 实际上,商户无法完全避免拒付,因为它们通常由持卡人发起。不过,通过采用EMV 3D安全验证技术,商户可以有效保护自己,防止与欺诈相关的拒付问题,因为此类拒付会被转回发卡银行。这样您就不需要为此买单。
- 说到拒付,Hannan,接下来的问题是,为什么银行会在没有验证交易的情况下就处理拒付呢?
- 这也是一个非常好的问题。拒付验证是通过3D安全验证技术进行的。如果商户没有采用EMV 3D安全验证技术,也就是说没有办法将ECI值传回前端系统,那么拒付的责任将落在商户头上。
- 好,我们在下一个问题中继续探讨一下3DS Secure吧?Hannan。如果没有线上商店,仅通过Worldline手动输入信用卡信息,商户能启用3D安全验证技术吗?
- 这个问题的答案有点复杂。商户不一定要拥有线上商店,但信用卡信息不得手动输入。我们有多种解决方案可供选择,比如Checkout Link Builder,它要求由持卡人发起交易,然后商户才能启用EMV 3D安全验证技术。作为商户,您需要记住,想要启用EMV 3D安全验证技术,交易必须由持卡人发起,而非商户。
- 好。Hannan,我还有几个关于3DS的问题要问您。这真是一个热门话题。下一个问题是,如果采用了3DS,商户是否永远不必负责?
- 不,答案是否定的。事实上,关键在于ECI值。如果启用了EMV 3D安全验证技术,并且您获得了发卡银行接受的ECI值,那么只要是经过认证的交易,您就可以获得欺诈相关的拒付保护。
- 好的,还有一个问题,如果我们没有IT专家,TD是否提供服务来实施3D安全验证技术?
- 我们当然有专家可以与您讨论此类解决方案,比如我。如果您没有IT方面的人才,您仍然可以通过简单的结账系统启用此功能。我们可以稍后线下讨论。
- 好。非常感谢。给您休息一下,接下来交给Carlos来解答下一个问题。我认为,接下来的几个问题都该由Carlos回答。准备好了吗,Carlos?好的,这看起来像是个案例分析。为什么如果客户修改了送货地址,并且送货地址与账单地址不一致,即使商户能证明包裹已发货,客户也能轻松赢得“未收到包裹”的拒付申诉?
- 这个问题很有意思。我想说的是,这是根据具体情况处理的。拒付评估时会考虑这些因素。如果商户对此提出异议,评估也要根据具体情况进行。我的建议是,对于任何账单地址与送货地址不一致的交易,商户应当特别审查。发货前务必确认送货地址。这就是我的建议。拒付一旦发生,处理该争议的责任在于发卡银行。因此,我无法给您提供一个切实可行的解决方案或具体的原因。
- 这可以理解。谢谢。我接下来有另一个情景问题。准备好了吗?我在一家保险经纪公司工作。我们通过TD Online Mart处理我们发行的代理账单保单。只有我、办公室经理和另一名员工有权限处理付款。我们所能获取的仅有信用卡信息,然后就可以进行付款处理。问题是,我们是否应该做更多的工作来处理这些交易?
- 如果由人工或者通过电话处理交易,像问题所述,您可以使用地址验证和CVV验证功能。您可以在网页终端输入更多的信息,以处理这些交易。您可以添加地址。您可以添加CVV码。您将获得关于这两项信息的验证反馈,确认它们是否与交易确认中的数据一致。通过这些工具,您能够帮助防止更多的欺诈。
此外,我们还建议您使用预授权表格,让客户明确允许您通过电话处理这笔交易,并声明他们授权您处理他们的信用卡信息。这可加强安全保障。
- 非常好,预授权表格确实重要。谢谢。让我再给您一个问题。根据我的了解,即便您实施了所有这些防护措施,Worldline或TD也并不会完全保障商户免于遭受欺诈或拒付。是这样吗?Carlos。
- 是的,正确。没有100%这一说。没有任何工具可以100%防止欺诈或拒付。没有任何绝对的保障。遗憾的是,在当今的支付环境中,无论采取何种措施,商户都可能遭遇拒付或欺诈。因此,确实没有100%的保障。
- 也没有“灵丹妙药”。好的,接下来是另一个关于3DS的问题。Hannan,准备好了吗?我又来问您了。商户实施3DS是否能完全避免拒付,无论欺诈方式如何?我想我已经知道答案了。
- 是的,Kym,我看到一个话题在重复。让我再重申一下Carlos之前的回答。不能,它无法完全避免拒付,无论欺诈方式如何。明确来说,它是业界的黄金标准。它是一种分层式方案,帮助您尽量防止与欺诈相关的拒付,但是,它无法针对所有欺诈手段全面防范拒付。
- 明白了。好的,最后是关于我们Worldline的问题。Carlos,请您来解答。我们的网站服务提供商是否可以联系Worldline或TD内部的开发团队,帮助实施这些3DS功能、IP风险防护以及其他欺诈防护功能?
- 当然,100%可以。我们有一支技术支持团队,可以随时帮助解答相关问题。如果他们想联系,可以参考演示文稿里的联系方式。随时欢迎他们与我们联系。
- 好,我们还剩下几分钟时间,让我们在今天告别之前再回答几个问题。这个问题与电子钱包有关。那么,Hannan,您来回答一下吧?简单说一下,支持哪些电子钱包?
- 当然,我们支持Apple Pay和Click to Pay。
- 谢谢。接下来的问题继续问您,Hannan。Worldline和TD是否为所有信用卡品牌提供3DS服务?
- 其支持Visa、Mastercard和American Express。
- 非常好,谢谢您。好,Hannan,接下来继续说一下3DS。我们在哪里可以获取更多有关3D安全验证技术的信息?
- 所有详细信息都将在即将发出的开发文档中提供。所有信息都将收录其中。
- 收到文档后,记得收藏链接。Hannan,有人想知道如何添加Apple Pay和/或Click to Pay?
- 当然。我不想过多解释,但所有信息都在文档里。简而言之,Apple Pay需要生成证书并上传至Online Mart,而Click to Pay有一个固定的流程。所有内容都在文档中。对。
- 很好。让我们看看这个问题。这是一个MOTO问题。Carlos,这个问题我要交给您。作为一家企业,我们接受电话付款。就这些交易而言,我们应该采取哪些措施来保护自己?
- 我想,我之前提到过。您需要收集地址和CVV号码。在收到交易凭证后,您可以核实验证结果和相关信息。对于周期性付款的客户,务必让他们填写预先授权表格。
- 好的,太棒了!那么我再问一个问题,交给您,Hannan。我随便挑的,来吧。使用Worldline门户是否需要TD账户?好问题。
- 嗯,这是个好问题。简单来说,不需要,但我们很希望有机会争取您的业务。
- 这个回答很好,谢谢。好,感谢,先生们,感谢观众。今天的讨论到此结束。如前所述,问题的回答和演示文稿将很快发送给您。再次感谢您的参与。祝您度过愉快的一天。再见。谢谢。
加拿大
美国 
