《风险管理与欺诈防范》由会员分享,可在线阅读,更多相关《风险管理与欺诈防范(6页珍藏版)》请在金锄头文库上搜索。
1、风险管理与欺诈防范 数字商品商家的最佳实践PayPal商业指南文:PayPal数字商品风险咨询经理Michael Liberty、独立风险管理咨询师Ohad Samet 2010 PayPal, Inc.保留所有权利。PayPal和其标识是PayPal, Inc.的注册商标。所有商标与品牌均为其各自所有者的财产。风险管理与欺诈防范: 数字商品商家的最佳实践2概述每一笔网络交易都存在欺诈的可能性。对于数字商品商家而言,这类风险尤为严重。数字商品的独特性使其很容易 被再次销售,这也使其成为骗术高超的行骗者们垂涎的目标。但这并不意味着您不得不承担业务中的欺诈损失 也并不表示您每天都应当花数小时去查看
2、可疑的交易。只要您 采用了正确的工具和流程,您就可以大幅减少退单费和收入损失。本业务指南提供了帮助您管理风险的实用战略,并介绍了PayPal如何帮您防范某些类型的欺诈。如需了解我们为数 字商品商家提供的最新风险管理窍门,请定期访问https:/www.paypal- 在网络上实施金融欺诈有许多方法,但大多可以归为两类:善意欺诈和蓄意欺诈。善意欺诈善意欺诈不带有欺骗的意图。例如,儿童可能在未经允许的情况下用其父亲的信用卡进行购物。父亲在信用卡对账 单上发现一笔意外的收费,于是提出争议,并导致退单。重复交易则是另一种善意欺诈。购物者如果在点击付款按 钮后没有立刻得到响应,通常会再次点击,产生二次收
3、费。他们一般会要求退回其中一笔款项。虽然这些情况不涉 及欺骗和盗窃,商家还是需要处理因此造成的退单。 遗憾的是,善意欺诈是无法有效预防的 但我们可以提供以下指导: 收到退单后与您的客户联系,为他们提供其他的补偿方式。这样做可以鼓励他们今后再遇到问题,能够先联系您或PayPal。 敦促您的客户教育其子女,告诉他们未经授权的网络购物可能导致的经济和法律后果。 在您的支付按钮旁添加一条声明,提醒购物者只点击按钮一次,并等待购物确认。蓄意欺诈为了帮助您防范蓄意欺诈,您需要对行骗者有所了解。行骗者一般是精通电脑的年轻男性,知道如何隐藏身份,并 经常浏览网络论坛以获取关于侵入安全系统的信息。行骗者进行网络
4、欺诈有三个主要原因: 1. 谋取经济利益。许多行骗者希望不付款就能下载数字商品。他们可能会将这些物品留作自用,更有可能的是将其出售,赚取100%的利润。 2010 PayPal, Inc.保留所有权利。PayPal和其标识是PayPal, Inc.的注册商标。所有商标与品牌均为其各自所有者的财产。风险管理与欺诈防范: 数字商品商家的最佳实践32. 享受更多网络游戏的乐趣。许多网络游戏要求玩家在达到一定级别后才能获得特定的权限或使用升级后的武器。一些行骗者采取作弊方式提前获得这些权限 这样对其他玩家毫无公平可言。3. 从挑战中获得乐趣。一些行骗者只是把侵入安全系统作为一种乐趣。这种欺诈在支付系统
5、中较为少见,通常行骗者都是为了谋取经济利益。行骗者的手段网络行骗者通常使用下列两种方法之一来窃取数字商品和资金: 盗用账户。许多数字商品商家为客户提供存有个人信息、财务信息和购买记录的网上账户。行骗者经常通过网络钓鱼技术侵入这些账户。最常见的一种骗术是行骗者发送电子邮件,诱使用户透露其用户名和密码。行骗者会利用这些信息登录账户,修改密码,然后进行未经授权的购物。另一种盗用账户的方法只在游戏中出现。一些玩家购买游戏代练服务,允许一名技能熟练的玩家临时控制其账户并帮助其游戏角色闯过较难的级别。但在此过程中,这些代练公司中的行骗者将取得玩家的用户名和密码,并利用这些信息对该账户进行永久控制。 身份盗
6、用。虽然零售商们在存储和保护客户数据方面十分谨慎,但行骗者仍然能够侵入数据库,并盗取用户名、密码、信用卡信息和个人信息。现已广为人知的一个案例是开始于2007年的一系列黑客攻击,黑客团伙从哈特兰支付系统公司(Heartland Payment Systems)和另两家公司下载了约1.3亿个信用卡卡号。黑客在窃取了信用卡卡号后,通常将其出售给其他行骗者,而这些行骗者在零售网站上用盗取的信用卡号支付购物款。由于许多人不会仔细查看信用卡对账单,所以这种欺诈难以察觉 而且受害者一般不知道有人以他们的名义开通了新的网上账户。PayPal在幕后保护数字商品商家,帮助他们避免支付欺诈的风险,投入人力和技术来
7、识别和应对支付过程中常见的 漏洞。 PayPal的大型欺诈防范团队对账户周期内每个阶段的风险进行评估和分析。首先,PayPal团队不断加强PayPal网 站的访问安全级别,网站访问是受到密码保护的。其中最重要的是尽量减少PayPal用户受到的网络钓鱼攻击。 PayPal与大型电邮服务提供商合作,打击网络钓鱼和垃圾邮件,并与互联网服务提供商合力关闭钓鱼网站。 PayPal还与合作伙伴一同监测行骗者出售和交易被盗账户信息的论坛的运营。追踪这些对话有助于PayPal更好地 了解网络卖家和买家日常面临的风险。 PayPal通过PayPal平台的三个主要层面来追踪欺诈行为: 交易层面。PayPal利用强
8、大的统计引擎和规则组合检测出通常有账户和身份盗用嫌疑的高风险行为。通过预先发现这些风险,PayPal可以防止许多欺诈支付。一旦交易完成,PayPal将运用更为高级的模型来进一步分析该交易。这为交易增加了一道新的安全屏障 并使PayPal能够在事后撤销可疑的交易。PayPal如何帮助您管理风险 2010 PayPal, Inc.保留所有权利。PayPal和其标识是PayPal, Inc.的注册商标。所有商标与品牌均为其各自所有者的财产。风险管理与欺诈防范: 数字商品商家的最佳实践4 账户层面。PayPal不断监测账户层面的活动,能够及时发现以欺骗性或有问题的方式进行操作的用户。高风险行为包括异常
9、频繁的支付或可疑的账户信息变更。例如,如果一名居住在美国的买家突然将送货地址变更为澳大利亚的一个地址,那么该用户可能就是账户盗用的受害者。 网络层面。行骗者通常将盗取的资金合并后放入一个账户中,然后将该账户出售给其他行骗者。为了抓住这些行骗者,PayPal将监测PayPal系统内每个账户与其他账户互动的情况。经常将资金从几个账户转入一个中央账户可能促使我们对账户进行审查。PayPal 调解中心即使有这些欺诈防范措施,买卖双方之间的争议还是无法完全避免。如果您在PayPal上收到可疑的退单,或者客户 声称其未收到他们已经付款的物品,这时PayPal调解中心能帮助买卖双方解决问题。这一争议处理系统
10、为买家提供 了另一种解决争议的方式,不必选择退单或撤销交易 让大家都能节省时间和金钱。争议发生后,PayPal调解中心允许买家直接与卖家联系。如果双方不能达成一致意见,那么买家可以将争议升级为 补偿申请。PayPal将派一名训练有素的裁决人员对交易进行评估并作出最终裁定。采取积极的风险管理方法规划您的风险管理策略虽然PayPal为卖家提供了许多欺诈防范工具,但每一笔网上交易仍然含有一定的风险因素。PayPal建议所有数字 商品商家采取积极的风险管理方法,原因有三: 您比其他人更了解自己的业务系统。您知道哪些是您的大买家,并熟悉他们的购买模式。您了解您的软件的机制及您的游戏中隐藏的窍门。因为付款
11、处理商无法在这些领域超越您,因此您亲自参与风险管理是至关重要的。 PayPal每年要处理数百万笔交易。因此,您的系统中的一些变化趋势在PayPal系统中看来并不具备统计上的重要性。所以PayPal可能无法根据您的细微需求来设置其欺诈防范工具。当我们在尽量对您的行业动态作出响应之时您也需要针对您的业务面临的各种具体风险找出防范的方法。 PayPal打击欺诈的效果取决于您的参与。PayPal希望了解您与PayPal系统的互动方式,包括监测付款速度、追踪购买行为和解除对买家的限制等等。这样我们就能够在行骗者利用您的流程漏洞之前找到它们并对其作出处理如果您是PayPal 用户,请将您对PayPal 欺
12、诈防范工具的意见和建议反馈给PayPal客户经理。,。如果您是一位新的数字商品提供商,您进行风险管理的方式可能是查看每天的交易,然后根据直觉决定哪些交易应 当接受,哪些应当阻止。但随着您的销售量增加,您需要评估的可疑交易的数量也会增加,也将有更加复杂的行骗者需要拦截。除了使用 PayPal或其他付款处理商提供的风险管理服务以外,请考虑聘用一名专职的欺诈管理员并采用欺诈管理工具。 2010 PayPal, Inc.保留所有权利。PayPal和其标识是PayPal, Inc.的注册商标。所有商标与品牌均为其各自所有者的财产。风险管理与欺诈防范: 数字商品商家的最佳实践5聘用欺诈管理员专职的欺诈管理
13、员能够为小企业主分担许多负担。他可以专注于审查退单和可疑付款,省去长达数小时的繁冗工作 同时追回数百或数千美元的收入损失和退单费。如果您的收入主要来自单笔付款,而非行骗者不太可能购买的租用形式,那么您需要考虑尽快聘用一名欺诈管理员 推荐的方法是在您拥有15至20名员工时聘用一名欺诈管理员。您也可以等到月欺诈率超过您可接受的程度时聘用 请记住,一名新的欺诈管理员一般需要在岗工作3-4个月才能有效地减少损失。如果您等到欺诈损失严重影响到您 的业务才聘用欺诈管理员,那就太晚了。在您面试候选的欺诈管理员时,请考虑以下两个标准: 熟知您所在的行业。欺诈和风险与人们的动机密切相关。在您的欺诈管理员收集到足
14、够的真实数据来制作用户实际行为模型之前,他只能靠直觉来工作。如果一个人对您的市场没有热情,那么他很难理解您买家的行为,无论买家诚实与否。因此,如果您提供网络视频游戏,您可以考虑聘用一名游戏玩家做您的欺诈管理员。如果您销售歌曲下载,则可以雇佣一名音乐发烧友。 能够理解、吸收和解释数据。统计技能和直觉对于防范欺诈同样重要。您要聘用的人不仅要能够分析数据并创建统计模型,而且要能够通过分析这些数据提供实用的见解。选用合适的工具在您聘用了欺诈管理员后,还应为他提供合适的业务工具。但要记住,没有一种工具既能阻止每一笔欺诈交易,又 能让诚实的购物者们毫无麻烦地完成交易。即便是当前最佳的欺诈防范工具也会随着时
15、间流逝逐渐失效。例如,人们曾以为CAPTCHA技术能几乎万无一失地 防止自动机器人向网站提交数千份请求。但现在,CAPTCHA工场雇佣发展中国家的人员输入CAPTCHA谜题的答 案,让机器人能突破这一安全防线。 您需要不断采用最新的风险管理和欺诈防范技术。以下是PayPal目前推荐的工具。 周转速度规则。运用您特有的业务知识,对同一账户在一天内的可接受购买数量和总值设置限额。即便您没有聘用欺诈管理员,也没有对用户行为创建模型,设置周转速度规则也能缩小您的风险敞口。 黑名单。许多数字商品商家都保有一份曾在其支付系统内进行过欺诈的电邮地址名单。他们将根据这些名单阻止某些用户再次开设账户或进行购物。
16、虽然黑名单有一定作用,但要注意在使用过程中不要误罚了诚实的用户。例如,商家可能会阻止一名欺诈用户的IP地址 但如果这个IP地址是同一个小公司或大学计算机实验室内的多台电脑共享的,许多诚实的用户可能就无法在该网站进行购物了。一种更为灵活的方式是将这些名单作为“灰名单”将其与周转速度规则和其他工具结合起来使用,以决定是否允许某些交易。 地址验证系统(AVS)。主要在美国、英国和加拿大使用。AVS对信用卡中存储的账单地址中的数字部分与信用卡公司资料中登记的地址进行比对。该工具已包含在PayPal产品中。商家可将其与其他工具一同使用。,。 。, 2010 PayPal, Inc.保留所有权利。PayPal和其标识是PayPal, Inc.的注册商标。所有商标与品牌均为其各自所有者的财产。风险管理与欺诈防范: 数字商品商家的最佳实践6 卡验证值(CVV)。这一
