关注跨境电商
专注分享实操干货

由跨境独立站支付安全联想到的电商”刷单”

网站除了获取流量意外,另外一个重要的环节就是支付安全。国内还好有支付宝、微信等即时到账的收款方案。但是跨境电商就有点不一样,绝大部分是通过PayPal或者信用卡。流量有了就有必定会发生的一个事情:Chargeback(拒付)。这不得不使我去花费大量精力去研究拒付的原因以及支付网关是如何识别这些拒付用户的。当然也可以从标题里面看到另外一个看似毫无关联但其实是有千丝万缕联系的单词:刷单。

先来简单概括哪些信息异常平台会拒绝交易。

1.当购买者所填关键信息有误(邮编和姓名是最重要的),平台会拒绝交易。

2.信用卡Billing Address与收货地址不符合(High risk score高风险用户)。

3.电话号码。

3.Billing Address与购买者所在地不符,特别是距离很远,又或者这一秒在纽约,1小时后却在洛杉矶交易(高风险,可能拒绝交易)。

4.Geolocation地址与Billing Address偏差太大。

5.电子邮件地址是否为高风险邮箱提供商。

6.系统语言是否为当地语言。

7.电脑MAC地址、硬盘ID等硬件检测。

8.系统时间是否匹配当地时区时间。

9.浏览器指纹(包含有User-Agent、Header、浏览器版本、Cookies、Session、插件、Config、语言、Java、Flash、WebGL、WebRTC、字体、Canvas等等等)。

10.IP是否为代理或者黑名单(包括常见的VPN、socks5等)

11.是否为虚拟机

当然还有很多没有说,我也说不清楚。大家也不要被这些繁琐检查吓的以后不敢做独立平台了,这些大部分风险检测工作都是支付公司来完成的。比如像Stripe公司处理流程,会帮你处理掉大部分过于明显的信用卡欺诈订单,其他订单会先收进来,然后进行风险模型评估打分,退款还是接受取决你自己。

看完上面我简单列出来风险订单判定条件,对于下面来讲的刷单大家就很容易理解了。

可以说市面上90%的刷单流程是不靠谱的

列举一下集中常见的刷单方式:

 

1.找一台专用电脑,每次刷清理一下浏览器cookies,然后换IP,继续。

风险:无论你怎么换IP,MAC地址、硬盘识别码、浏览器指纹、系统语言、时区等被平台一览无余,炮灰级别的刷单。

2.虚拟机,这种稍微好点。但硬件信息是硬伤,不信的可以找台虚拟机看看,就拿vultr的来说,它的CPU型号是Vultr-2.2GHz这种。

3.硬件级虚拟机,这种相对来说比较高级。在硬件方面是或许可以骗过平台系统的,主要问题是在IP以及支付渠道上

4.再高级点,获得管理员权限的Iphone然后通过修改手机串号、IMEI等信息,然后还是IP问题无法解决。

还有更多的方法,为了不教坏人这里就不一一列举。

在平台面前或许你是“没穿衣服的”

亚马逊的风险控制是没有人可以知道的,这里拿上面提到了美国最大的第三方支付公司Stripe风险控制来讲,基本大同小异。它是基于Maxmind数据库,来看看它牛X在哪里。先上图

跨境电商支付风险指数评分图3

上图中City、Region、Country分值越高越好,第三项为IP地址与账单地址越近(也就是越匹配)分值越低,其他的大家自行看小子英文注释。

跨境电商支付风险指数评分图4

跨境电商支付风险指数评分图5

以上测试信息是用我自己的IP,自己的账单地址。

ProxyScore:0

这个分数是判定你是否为VPN、socks5等代理软件。

RiskScore:0.58

判断标准,低于5%为正常用户,超过10%属于高风险用户,这也是stripe判断欺诈订单的重要依据。然后我更换为美国IP,美国收货人信息来测试,如下图:

ProxyScore:10

RiskScore:61.69

IP为美国同州同city,但是经过Maxmind数据分析以后风险任然很高。这一结果也仅仅是IP因素,系统自己也会根据我上面所列出的那些常见因素进行综合分析,可见市面上任何常见的刷单方式都是极其危险的。这里就会有一个问题了,为什么风险系数无论怎么处理都都会高为什么亚马逊刷单依然屡禁不止?

作死方法一:

其实答案很简单,大部分商家都是通过Gift card来操作的,gift card基本不需要经过信用卡风控模型,只要卡没问题就能付成功。但是这样一来又出现了一个问题。

打个比方:

A买家-Gift card-卖家Lising1

B买家-Gift card-卖家Lising1

C买家-Gift card-卖家Lising1

D买家-Gift card-卖家Lising1

E买家-真实买家(通过自己的卡片购买)-卖家Lising1,

那么这个店铺的listing1通过礼品卡付款率是80%,真实用户占比20%,还说不定你买到的是黑卡。

结果:封店。

仔细想想,难道我们去京东买产品,会先换成京东电子卡然后再去买东西?这不是脱裤子放屁么,所以大家经常说Gift card是最low的一种方式。

作死方法二:

那么如果我用虚拟卡购买呢?那更简单了,只需要鉴别信用卡Bin即可。

1.信用卡BIN指的是发卡行识别码,英文全称是 Bank Identification Number,缩写为 BIN。
2. 通常,银行卡卡号的前六位是用来表示发卡银行或机构的,这就是发卡行识别码。根据ISO/IEC7812文件的规定,9字头BIN号由一国国内的标准组织分配,不适用于全球通用。2002年10月底,中国银联代表各家发卡机构向ISO申请了800个国际和国内通用的6字头BIN号。
3. 银联标准卡是按照中国银联的业务、技术标准发行,卡面带有唯一的“银联”标识,发卡行识别码(BIN)经中国银联分配和确认的银行卡。目前,由中国银联各成员机构发行的银联标准卡 BIN 是“62”字头的。
4. 另外,一些成员机构使用独立向国际标准化组织(ISO)申请的 BIN 发行的银行卡,卡面带有唯一的“银联”标识,经检测符合中国银联的业务、技术标准,并经过与中国银联签署协议,也纳入银联标准卡管理。

无论是信用卡、电子礼品卡、预付卡只需要卡号前六位即可鉴别。

A买家-虚拟卡-卖家Lising2

B买家-虚拟卡-卖家Lising2

C买家-虚拟卡-卖家Lising2

D买家-虚拟卡-卖家Lising2

E买家-真实买家(通过自己的卡片购买)-卖家Lising2,

虚拟卡购物百分比80%,封号。

亚马逊无论是刷单还是在刷review都喜欢秋后算账,我想应该是在收集大数据吧,封谁的号只在于他们一个下拉-筛选的动作而已。

刷单有风险,入行需谨慎!

赞(4) 打赏
未经允许不得转载:外贸每日一贴 » 由跨境独立站支付安全联想到的电商”刷单”
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏