クレジットカード詐欺もビジネスだ―彼らにも独自のサプライチェーンとQC組織がある

• Stripeの社員が3つのテーマを束ねて解説した興味深い話

→ 慈善寄付

→ クレジットカード詐欺のためのサプライチェーン

→ グローバル金融インフラ

• クレジットカード詐欺師たちは、非常に精巧で専門化されたエコシステムを持っている

→ 専用インフラや対応速度をめぐって競争する品質管理部門まである

• 盗まれたカードの大半は泥棒やハッカー自身が使うのではなく、このマーケットで販売される

→ これが作業の専門分化を可能にしている

→ この市場には、製品品質を保証するために星評価レビューなどで管理される品質基準まである

• この「品質」は、「購入者が実際にこのカードから金を引き出せるか？」を意味する

→ これはいわゆる「カードテスティング」によって販売前（または販売後）に保証される

• こうしたカードの有用性は時間が経つにつれて低下する（カードがキャンセルまたは停止されるため）

→ 泥棒たちは販売の直前に「テスト取引」を実行し、これらのカードが高値に値することを示す

→ 購入者は、このように不正入手したカードで「カード詐欺」の試みが失敗すると、それを購入するために使った別の希少な資源まで無駄にしてしまうため、このテストは重要だ

• 合法的な企業や慈善団体が「大規模カードテスティング」に利用されている（1回で数百万人規模）

→ 詐欺師たちはここから直接何かを奪うわけではない

→ 単にカード決済が通るかどうかを確認できれば、市場でより高く売れるため

• 慈善団体がカードテスト試行全体の11%を占める

→ 他業種ははるかに低い（宗教／教育／保険などの3倍以上）

• なぜ詐欺師は慈善団体を優先的に狙うのか？

→ 理由のひとつは、（専任の決済チームがいる大規模慈善団体を除けば、）

→ 多くの慈善団体が、誰かが慈善団体に金を払うことで自分たちを不正利用できるとは考えていないからだ

• EC事業者にとって anti-fraud（不正対策）は必須だが、慈善団体にはそれを行う余力がない

• しかし、このカードテストは慈善団体にとって 本当に良くない

• こうして決済されたものはカード所有者が異議を申し立てれば取り消され、そのような事態を起こしたことで金融業界から不利益を受ける

• 最悪の場合、このような繰り返されるカードテスティングを防げず、カードによる寄付の受け付け自体が不可能になることもある

• これはオンラインのカード寄付がすべてである小規模慈善団体にとっては災害級だ

• パンデミック期間中、カードテスト攻撃は急速に増加した

• 私が住むアジアでは、Stripeネットワーク全体で予想より56%も急増した

• これに対して小規模慈善団体は何ができるのか？

• Stripeにはこれを保護する責任があり、それを防ぐためにさまざまな取り組みを行ってきた

→ バックエンドでカードテスティング攻撃を認識できるよう継続的に取り組んでいる

→ フロントエンドではさらに強力な介入も可能だが、小規模団体にはそれを実装するリソースがない

→ （一般的な慈善団体にはスタッフに開発者がいない）

• そこでStripe Checkoutに仲裁モデルを実装した

→ 攻撃を理由にカード決済を完全に遮断すると慈善団体に被害が出る

→ そのため攻撃が起きたときにはCaptchaのようなものを挿入する。これは非常に効果的だ。

→ 通常、攻撃時にはCaptchaの成功率は1.6%にとどまる

→ 全員に対してではなく、攻撃者だと認識されたユーザーにだけCaptchaを表示するため、これを見る正当なユーザーはほとんどいない