ハクソク

世界を動かす技術を、日本語で。

Stripeは「フレンドリーフラウド」に優しい

7時間前原文(gingerlime.com)

概要

  • Friendly fraud (フレンドリーフラウド)の実態と課題を解説
  • Stripe など大手決済プロバイダーの対応の限界を指摘
  • 小規模事業者が チャージバック詐欺 に直面した体験談
  • 機械学習型不正検知 の期待と現実のギャップ
  • 今後の課題と問題点を整理

フレンドリーフラウドと決済システムの限界

  • Friendly fraud とは、顧客自身が正規のカードで商品を購入し、後から虚偽の理由でチャージバック(支払い取消)を申請する詐欺手法
  • 決済システムや Stripe のような大手プロバイダーでも根本的な防止は困難
  • 商品(Ciglue:シガーグルー)を購入し、配送証明も提出したが、顧客が虚偽の主張でチャージバック
  • 顧客は「銀行のミス」と説明しつつ、実際は意図的な詐欺行為
  • 銀行は顧客側に有利な判断を下し、販売者側は 返金・商品・送料・手数料 すべてを失う

Stripeの対応と現状の課題

  • 販売者が 証拠 (配送・顧客対応・利用規約)を提出しても、銀行の判断が最終決定
  • Stripeは他の加盟店に対して チャージバック悪用顧客 の情報共有や内部対策を行わない方針
  • Stripeの Radar (不正検知サービス)は、ネットワーク全体のシグナルを活用するとうたうが、実際は個別加盟店の範囲でしか対策できない
  • 他の加盟店では同じ顧客による詐欺が再発するリスク
  • Radarによる 顧客ブロック も有料アップグレードが必要なケースが多い

フレンドリーフラウドの本質的な難しさ

  • 取引自体は正規であり、配送先やカード情報も一致しているため、事前検知が困難
  • 悪用は 後からのチャージバック申請 という形で現れる
  • 新たな証拠が後日判明しても、提出期限やシステム上の制約で対応困難
  • 小規模事業者は銀行や決済プロバイダーに対して 交渉力が極めて弱い

まとめと今後の課題

  • フレンドリーフラウドは「友好的」どころか、 販売者にとって深刻な損害 をもたらす実害
  • Stripeなど決済プロバイダーの現状の仕組みでは、 被害拡大の抑止が不十分
  • ネットワーク全体での 不正利用者情報の共有や再発防止策 の強化が課題
  • 小規模事業者が安心して取引できる環境整備の必要性

Hackerたちの意見

Stripeは明らかにフレンドリーフラウドに関するデータを記録してるよね。少なくとも、Visaのコンペリングエビデンス3.0を実装してるし、(https://support.stripe.com/questions/how-does-stripe-support...)Stripeサポートからのメッセージのスクリーンショットを載せてないから、彼らが何かあいまいで法的に問題のないことを言って、あなたを追い払おうとしてたんじゃないかな。それが怒りのブログ記事に変わったんだと思う。

そのリンクによると、顧客のあなたとの未争議の取引が4〜12ヶ月前にあった場合、その争議の取引が実際には正当だったことを示すかもしれないけど、この記事は争議のある購入を1〜2週間以内にしかしていない人についてのものだね。

何が言いたいの?Stripeが何を言ったかが重要だと思う?彼らが何を言えば、怒りのブログ記事を正当化しなかったと思う?

ストライプは明らかにフレンドリーフラウドに関するデータを記録してるね。私がストライプに対して唯一気になるのは、更新するつもりのないサブスクリプションのカード情報を削除できないこと。サービスの請求ページで更新しない設定にはしてるのに。

彼らはあなたを追い払うために、慎重に曖昧で法的に compliant なことを言ってたんじゃないかな。問題を完全に無視すること自体が欺瞞なら、それは特に大きな改善じゃないよね!

彼らの返答をそのままシェアするのは全然構わないよ。かなり長いやり取りだったからね。最新のメールの一部を紹介するけど、これが彼らが俺が提供した証拠を使わないことをはっきり示してると思う。「あなたのフィードバックはしっかり受け止めて、チームに伝えます。取引後の悪用検出についてのあなたの指摘は正当です。Stripeは強力なネットワークレベルの詐欺検出を持っていますが、確認された詐欺の商人提供の証拠を活用して、より広い商人エコシステムを守ることにはギャップがあるようです。直接的な証拠を持つ商人からのこの種のフィードバックは、これらのシステムを改善するために貴重です。」

私はSaaSを運営していて、たまにこういうことがあるんだ。基本的なルールとして、チャージバックがあったら、その顧客をデータベースから完全に禁止する必要があるよ。具体的には:- カード禁止 - メールアドレス禁止 - アクセスの指紋を取って禁止 これをやっておけば、再度サインアップや商品購入を試みたときに同じトラブルを避けられるから、めっちゃ楽になるよ。

iOSアプリの場合はDeviceCheckを使ってね。Uberはアカウント間で禁止するためにこれを使ってるよ。

そんなポリシーを持つなら、正当な顧客サポートの問い合わせには迅速に対応した方がいいよ。

悪用する人たちは簡単にこれを回避できるよ。結局、少数の人たちが全ての悪事を働いてるんだ。

その3つの識別子は、高度なユーザーによって簡単に変更できるよね。「アクセスをフィンガープリンティングする」ってどういう意味?オンデマンドのフィンガープリンティングみたいなこと?ブラウザのフィンガープリンティングしか見たことないんだけど。

私は不正なチャージバックに遭ったことがある(購入が無許可だったという主張で、その人がクラスに直接現れた)けど、さらに悪いのは、彼らがLinkを通じて支払ったから、Stripeが2FAで彼らを確認していたってこと。誰か、Stripe(または競合他社)が「今年、この商人に対して> xチャージバックを申請したカードの取引を拒否する」という設定を提供しない理由を説明してくれない?

購入が無許可だったという主張で、その人がクラスに直接現れた。確かにその人はクラスに現れたけど、どうやってそのクレジットカードが使われた人だとわかるの?

これが理由かは分からないけど、もし私がそんなシステムを作るように頼まれたら、フェア・クレジット・レポーティング法の規定に基づいて消費者報告になるんじゃないかと心配になるな。確かに、そんなニュースドラマは見たくないよ。「私はただの貧しい無邪気なおばあちゃんで、Facebookの広告には信頼を寄せてたのに、ストライプに詐欺にあったせいでネットの半分の店から追放された!」

彼らのビジネスモデルは、できるだけ多くの「有効な」取引を許可することであって、「クライアント」をサポートすることじゃない。彼らはPSPなんだよね…

うん、でもこのルールはちょっと厄介だね。誰かが本当にカードを悪用された場合はどうなるんだろう。俺が気になるのは、Stripeが機械学習のレーダールールとかを自慢してるのに、実際に価値のあるデータを提供できないってこと。Stripeのサポートは、俺を騙した顧客からのメールを見て、これは明らかにフレンドリーフラウドのケースだって完全に同意してたけど、その情報を何も活用しなかったんだ。

彼らは、ある商人からのチャージバックの悪用の証拠を使って、他の商人に対する顧客のカードやメールアドレス、その他の詳細に対して行動を起こすためのクロス商人の詐欺信号を作成しないと言ってたよ。Stripeがこれをはっきりと述べたのには驚いた。こういう詳細を実際にコミュニケーションしてくれるのはいいね。でも、多くの大企業が「ご報告ありがとうございます。適切に対処します」というような不透明なメッセージで返事をする理由がわかるよね。本当のことを言うと、みんなもっと怒っちゃうから。

いや、曖昧さの方がもっとイライラするけど、その場合は書くことが何もないんだよね。

いや、漠然とした返答の方がもっと腹が立ったと思うよ。それでも、何も対策してないのはやっぱりイライラした。(はっきりした答えを得るまでちょっとやり取りが必要だったけど、結局はっきりした答えがもらえた。サポートは俺の経験からするとまだ素晴らしいし、コミュニケーションも良かったよ。)

私の提案は、特定の地域や国を禁止すること。そうすれば、この詐欺の80%を減らせるよ。どの国かは具体的には言わないけど、こういう対策を整えるまではグローバルに展開するべきじゃない。特定の手口に対して脆弱だと知られると、その地域や国ではすぐに広まるからね。高い信頼社会がなぜ高い信頼を維持するのか、低い信頼社会がなぜ高い信頼社会に変わらないのか、何度も思い知らされるよ。

その国では暗号通貨を受け入れたらいいよ。チャージバックがないし、金融システムに脆弱な人たちを助けることができるから。

その国々の名前ははっきり言わないつもりだよ。なんで?

ここ4年間で、ビジネスに関して13件のチャージバックがあったんだ。そのうち10件はアメリカのカードからで、残りの3件はオーストラリア(俺の国)からだった。ネットの見知らぬ人からのアドバイスをそのまま受け取るのは気をつけた方がいいよ。

このケースはカナダだった。アメリカとカナダはチャージバックが簡単にできることで知られてるよね。ヨーロッパでの経験から言うと、消費者がチャージバックを始めるのもすごく大変なんだ。

なんで名前を出したくないの?

「何度も思い知らされるのは、高い信頼社会が高い信頼を保ち続ける理由と、低い信頼社会が高い信頼社会に変わることがほとんどない理由だ。」韓国以外で、アメリカの大きな助けを受けて、そんなことがあった?

業界の誰かに聞いたんだけど、ニュージーランドはNZを出て帰国してチャージを否定する旅行でトップなんだって。

現時点で、ストライプはペイパルの2.0版だと確信してる、少なくとも精神的にはね。* プラットフォーム上の不正行為を見て見ぬふり * お金を取った後に成人クリエイターや販売者を締め出す * どこにでもあるけど、あまり好かれてない ストライプがフィンテックのゲームを変えて、より多くの人にアクセス可能にしたのは素晴らしいけど、最近は「ストライプは避けた方がいいよ」ってアドバイスを求めてくる人に何度も言ってる自分がいる。

代わりに誰をおすすめする?

これが業界の性質なんだよね。1) 既存の企業は遅くて、扱いにくくて、長年の制約が積もり積もってるから 2) 新しい企業は、機敏で扱いやすいことで差別化して、市場シェアを奪える 3) 時間が経つにつれて、新しい企業は増え続ける監視や詐欺、オーバーヘッド、CYA的な慣行に対処しなきゃいけなくなる 4) 新しい企業が今や既存の企業になり、1)に戻る。

顧客があなたを裏切り、その後に銀行も裏切った。Stripeは関係ないよ。なんでタイトルや記事でStripeが責められてるのか分からない。確かに、RadarなしでStripeがもっとできたかもしれないけど、1つのベンダーの苦情をもとに顧客を全ネットワークからブロックするビジネスをしてたら、問題が起きる可能性もあるよね。

そうだね。でも、Stripeは次の商人が同じ罠にハマらないように何もしてないよ。証拠は全部揃ってたのに、無視された。それが俺がブログで言いたかったポイントなんだ。確かに、商人が消費者を簡単にブロックできるのもフェアじゃないけど、どこか妥協点があるはずだよ。Stripeは、そういう報告には何もしないってはっきり言ってた。単に無視されるだけなんだ。

「一人の不満を持った商人が、全てのStripe決済システムで誰かをブロックできるようなシステムは望ましくないだろう。でも、“この人をどこでも自動的にブロック”と“スクリーンショットありがとう、Radarを考慮してね”の間にはかなり大きなギャップがあって、ここがイライラするところなんだ。」

これはただの詐欺だよ。「フレンドリー詐欺」は偶発的なものか、正しい意図で行われるもの – 例えば、顧客が請求を認識せずにチャージバックする場合とか。

そうだね、Stripeはもっと良い対策ができるはずなのに、全然やってない。

それがポイントだよ。刑事告訴もできるし、民事裁判で勝つこともできる。

いい投稿だね。俺にとっての重要なポイントは、Stripeがフレンドリーフラウドの取引後の証拠を使ってクロス商人シグナルをレーダーに構築しないって認めたことだ。それに、顧客がチャージバックに勝った後に自慢してるのを見ると、システムがインディーセラーに対してどれだけ不公平かがわかるよ。シェアしてくれてありがとう。

Stripeで何百万ドルものチャージバックを扱ったことがある。チケットを売ってたんだけど、再販が簡単で、顧客は世界中から来る観光客だった。Stripe Radarはあまり良い製品じゃなかった。怪しい取引がたくさんあって、リスクレベルが1か2(100点満点中)だった。MLのバックグラウンドはないけど、彼らの方法論には何か欠陥があるように感じた。まるで内部に配線が緩んでいるかのようだった。残念ながら、彼らはあまり気にするインセンティブがないと思う。