全球支付研究所:
聚集国内外行业名人和支付专家,谈谈海外消费和支付的趋势。
本文为万字干货长文,分为【基础篇】和【实践篇】
预计阅读时间为10-15分钟,建议收藏阅读。
(图片来源:Adyen官方)
(图片来源:Arkose Lab,2020年CNP欺诈的全球格局)
今天,我们邀请了亚太地区Adyen总部的风险控制专家 Xinying 中国区Teo和Adyen客户经理Ziwan Zou,从专业风险控制和海外企业的角度,共同探讨如何从风险控制入手避免欺诈。
(图片来源:Adyen官方)
疫情爆发后,大量消费行为转向网上。大量的新消费者和商家引入的更多支付方式为诈骗犯提供了更多的机会。只有“知己知彼”才能“百战不殆”。要想避免欺诈,首先要找出欺诈犯的“套路”。
(图片来源:Adyen官方)
(图片来源:Adyen官方)
不久前,一种欺诈手段在中国很流行。一些诈骗者利用所谓的“刷单兼职”机会,利用网络消费信贷产品,首先通过“商家支付”和“空卡绑定”来降低对方的警惕,进一步骗取支付信息进行欺诈。
这种行为不仅在国内,虚拟服务产品的欺诈在国外也很常见。欧洲电商客户Adyen曾经遇到过“银行卡测试”欺诈(card testing)。欺诈者通常在输入银行卡详细信息验证前订阅一个月的免费服务。因为在收取实际金额之前,将收取金额为零的交易。因此,更重要的是,将进行批量卡测试(bot attack)。这些成功有效的银行卡将被欺诈者以更高的价格出售。
其次,交易量大的商家更容易成为诈骗者的目标。一些有投机心理的诈骗者甚至试图逐一欺骗一些龙头公司。
最后,我认为欺诈者更喜欢在某些风口行业犯罪。由于新行业有一些灰色地带,欺诈者有更多的空间“展示他们的拳头和脚”。
例如,海外直播平台是最容易受到欺诈攻击的新行业之一。一些欺诈者通过机器奖励每天24小时交易和洗钱。反洗钱也是支付公司的一项重要工作。在专业人士的有效应用下,良好的风险控制系统可以成为打击洗钱行为的关键“利刃”。
因此,我们可以看到,为了应对层出不穷的欺诈手段,各市场也出台了相应的法律法规。
然而,许多海外企业仍然怀疑销售或阻碍潜在欺诈之间的选择,这主要是因为他们对风险控制缺乏全面的了解。
(图片来源:Adyen官方)
风险控制取决于商家的风险偏好(risk appetite)设置和风险预测(risk profile)决定的。
风险控制和支付成功率就像硬币的两面。无论是采取激进的策略来最大化交易通过率,还是采取保守的策略来尽可能避免风险(risk averse)为了消除欺诈,商家需要找到一个完美的平衡点。优化风险控制解决方案可以有效地帮助商家监控和预防支付欺诈,提高支付过程的速度和安全性。
(图片来源:Adyen官方)(图片来源:Adyen官方)
例如,欺诈者可以窃取消费者信用卡消费,导致消费者拒绝支付费用(chargeback fees)。
目前,许多商家对海外消费者“拒绝支付”的权利知之甚少。然而,随着市场的成熟,许多海外企业将逐渐意识到风险控制的重要性,通过自身欺诈案件的“皮肤痛苦”。
此前,一家亚洲商家常年被列入Visa卡组的欺诈监控项目,因为他被追踪到过度拒绝付款。(Visa Fraud Monitoring Program),当他们真正意识到风险控制的重要性时,他们被巨额罚款。
此后,在风险控制产品的帮助下,每月与风险控制专家进行监控数据,并定期优化风险控制系统,亚洲商家可以更准确地识别欺诈行为,有效地预防和降低风险。
过多的欺诈交易会损害商誉。除了受骗消费者可能引起的社交媒体舆论外,商家还会收到卡组织的警告,从而影响中国商家在海外的品牌声誉。
另一方面,过高的风险控制门槛实际上会拒绝一些潜在的高质量消费者,导致欺诈和误报(false decline)。同样,过度加强风险控制,如增加多重身份验证,可能会影响用户体验,导致消费者在结账时放弃购买。欺诈和拒绝率降低,但支付成功率也降低,影响销售。
(图片来源:Adyen官方)
两种模式各有优势,商家可以考虑选择一两种相辅相成。
支付公司拥有全套闭环服务的优势,Adyen作为金融收单机构拥有交易数据信息,并从卡组织获得欺诈风险提示(fraud notification)、拒绝风险提示(chargeback notification)等待信息。这些信息将被风险控制系统及时捕获。
其次,作为国际支付平台,每天处理大量交易,可以通过大规模交易数据获得大量消费者肖像,也可以跟踪持卡人的每一笔跨商户交易。
(图片来源:Adyen官方)
此外,像Adyen这样的一站式平台,数据流从持卡人、发卡银行到银行卡组,信息链不会遗漏,可以大大保证信息质量,在很大程度上避免欺诈。
(图片来源:Adyen官方)
(图片来源:Adyen官方)
(图片来源:Adyen官方)(图片来源:Adyen官方)(图片来源:Adyen官方)
然而,一旦发生大规模欺诈,商家将无法及时妥善处理,造成损失。因此,专业的风险控制团队实际上非常重要。
一个成熟的风险控制团队,无论是小规模的2-3人,还是5-10人。
根据商家自身的不同需求,风险控制团队的人员构成大致分为两类。
一是根据业务所在地区,商户可根据不同市场安排专人负责当地风险控制规则的配置。
二是商户根据不同的业务,分配专门负责风险控制的人员。
除了风险控制规则的配置外,风险控制团队的工作还包括消费者购物时的身份验证设置,特别是随着欧盟支付服务修订法案第二版(PSD2)的正式生效,强大的客户验证机制(Strong Customer Autentication)必然会对商家的支付成功率产生一定的影响。
(图片来源:Adyen官方)
因此,商家需要了解当地市场的专业人士,并设置合理的风险控制标准。
由于单个商户数据量的限制,仅仅依靠自己的商户团队进行风险控制操作是远远不够的。Adyen的许多中国商家将整合自己的风险控制系统和外部合作伙伴的风险控制系统资源。
我认为支付成功率和拒付率(chargeback rate)应注意的是,商家可以在此基础上制定适当的风险控制规则,避免因诈骗拒付而造成重大损失。
实际情况是,虽然有些商家的销量很高,但由于其中包含了大量的欺诈交易,仅仅拒绝支付成本就会遭受重大损失。
我们听说很多企业进入卡组的欺诈监控项目,因为海外市场有很多欺诈交易,被罚款。除了罚款,更严重的后果是发卡行有权拒绝付款,即使商家长期向银行发送3DS(Three-Domain Secure)支持数据不再受责任转移的保护。
很多商家会问我们是机器学习的风险控制系统更好,还是人工规则导向的风险控制更好。事实上,没有什么是好是坏,只适合或不适合,需要根据商家的风险偏好和行业进行综合判断。例如,在一些市场,如奢侈品和航空公司,由于客户单价高,风险偏好趋于保守,消费者行为模式非常稳定,企业更倾向于成熟的规则导向和人工审计风险控制体系。
随着时间的推移,电子商务等消费行为模式不断变化的商家更适合结合机器学习和规则导向的风险控制系统,以便及时跟踪和防止欺诈。
(图片来源:Adyen官方)
因此,风险控制管理应灵活,不断进步。因为风险控制的发展实际上是在与欺诈者竞争。商家要把握退款政策的规模,减少友好欺诈(friendly fraud)。并通过洞察发现可疑收款,评估欺诈风险,降低退款和欺诈风险,确保商家收入最大化。
自PSD2正式生效以来,3DS验证在欧洲市场得到了广泛的应用。
在一些亚洲国家,如新加坡和马来西亚,更习惯于使用3DS验证。在一些风险控制相对较差的国家,需要一个专业和有针对性的风险控制系统来护送该地区的商家。
美国市场比较特殊,更倾向于通过地址验证系统验证,因为3DS的采用程度不如欧洲,(Address Verification System),加强欺诈风险控制管理,如账单地址等信息。
一些海外国家的消费者更喜欢使用它本地支付方式,例如,电子钱包拒绝交易的可能性较低。
不同的市场面临着不同的欺诈风险和手段。作为一个商家,他们不应该被暂时的利益所蒙蔽,而应该有勇气和习惯于拒绝高风险的交易。
面对各种各样的欺诈行为,在与“欺诈犯”斗智斗勇的道路上,商家应该更宏观、更全面地看待风险控制与收入的关系,不断优化支付体验。
同时,风险控制设置不是“一次性”任务,而是需要定期调整和优化风险设置,以更好地平衡风险与交易授权之间的关系。
(图片来源:Adyen官方)
(编辑:江同)
本地支付方式