تشخیص تقلب در پرداخت: انواع، روش‌ها و پیشگیری

مشکل کلاهبرداری رو به کاهش نیست. سال گذشته، ۷۹ درصد از بازارهای آنلاین با کلاهبرداری بیشتری نسبت به سال قبل از آن مواجه شدند. حملات سریع‌تر، خودکارتر و با همان مجموعه قوانینی که بازرگانان سال‌ها پیش وضع کرده‌اند، شناسایی آنها دشوارتر شده است. تشخیص کلاهبرداری در پرداخت، ویژگی‌ای نیست که در مقطعی آن را به راحتی انجام دهید - اکنون به یک امر بدیهی تبدیل شده است.

این مقاله انواع اصلی کلاهبرداری‌هایی که فروشگاه‌های آنلاین را هدف قرار می‌دهند، نحوه‌ی عملکرد سیستم‌های تشخیص مدرن، ابزارهای پیشگیری از کلاهبرداری که میزان افشای اطلاعات را کاهش می‌دهند و اعداد و ارقامی که وقتی اقدامات دفاعی به اندازه‌ی کافی خوب نیستند، به نظر می‌رسند را پوشش می‌دهد.

کلاهبرداری در پرداخت چیست و چرا اتفاق می‌افتد؟

در ساده‌ترین حالت، کلاهبرداری در پرداخت به این معنی است که شخصی از اعتبارنامه‌های پرداخت، حساب‌ها یا هویت‌هایی که متعلق به او نیست برای سرقت پول یا کالا استفاده می‌کند. این امر شامل بازرگانان، مؤسسات مالی و دارندگان کارت می‌شود - و می‌تواند قبل از تراکنش، در حین تأیید یا پس از تسویه حساب اتفاق بیفتد.

کلاهبرداری صنعتی شده است. ربات‌ها اطلاعات کارت‌های دزدیده شده را به صورت عمده آزمایش می‌کنند. کیت‌های هویت مصنوعی در بازارهای وب تاریک معامله می‌شوند. مقیاس مشکل کاملاً از مجموعه قوانینی که اکثر مشاغل پنج سال پیش ایجاد کرده بودند، فراتر رفته است.

اعداد نشان می‌دهند که چشم‌انداز با چه سرعتی در حال تغییر است. کلاهبرداری شخص ثالث، که در آن یک خریدار قانونی خرید واقعی انجام شده را زیر سوال می‌برد، اکنون ۳۶٪ از کل حملات کلاهبرداری در سال ۲۰۲۴ را تشکیل می‌دهد. در سال ۲۰۲۳ این رقم ۱۵٪ بود. این یک روند تدریجی نیست - این دسته از کلاهبرداری‌ها در یک سال بیش از دو برابر شده‌اند.

سیستم‌های قدیمی مبتنی بر قانون نمی‌توانند با این وضعیت کنار بیایند. یک قانون ایستا که تراکنش‌های بالای ۵۰۰ دلار را از IPهای ناآشنا مسدود می‌کند، برخی از کلاهبرداری‌ها را متوقف می‌کند، اما مشتریان واقعی را نیز رد می‌کند. تشخیص کلاهبرداری پرداخت تطبیقی و بلادرنگ، مستقیماً به این بده بستان می‌پردازد - بدون کاهش نرخ تبدیل، ریسک واقعی را علامت‌گذاری می‌کند.

سه دسته در اینجا اهمیت دارند: کلاهبرداری در پرداخت (استفاده غیرمجاز از اعتبارنامه شخص دیگری)، کلاهبرداری دوستانه (خریداری که پس از خرید واقعی، سیستم اختلاف نظر را به بازی می‌گیرد) و خطای فروشنده (هزینه‌های تکراری، مبالغ اشتباه) که باعث برگشت وجه می‌شود که در داده‌ها شبیه کلاهبرداری به نظر می‌رسد اما نیاز به راه حل کاملاً متفاوتی دارد. دانستن اینکه به کدام دسته نگاه می‌کنید، تعیین می‌کند که آیا از کلاهبرداری در لایه فنی جلوگیری می‌کنید یا یک مشکل فرآیندی را برطرف می‌کنید.

رایج‌ترین انواع کلاهبرداری در پرداخت

دانستن اینکه در برابر چه چیزی از خود دفاع می‌کنید، کنترل‌هایی را که انتخاب می‌کنید، شکل می‌دهد. انواع اصلی کلاهبرداری در پرداخت که بر فروشندگان آنلاین تأثیر می‌گذارد:

• کلاهبرداری بدون ارائه کارت (CNP) - یک کلاهبردار از اطلاعات کارت دزدیده شده برای خرید آنلاین بدون ارائه فیزیکی کارت استفاده می‌کند. رایج‌ترین دسته در تجارت الکترونیک.
• کلاهبرداری با استفاده از پرداخت‌های اجباری (APP) - قربانی فریب می‌خورد تا پول را مستقیماً به حساب کلاهبردار ارسال کند، که اغلب از طریق مهندسی اجتماعی انجام می‌شود. پس از ارسال، بازیابی وجه دشوار است.
• کلاهبرداری در تصاحب حساب - اعتبارنامه‌های سرقت شده به کلاهبرداران امکان دسترسی به حساب مشتری موجود را می‌دهد که آنها آن را تخلیه می‌کنند یا برای ثبت سفارش‌های با ارزش بالا استفاده می‌کنند.
• کلاهبرداری با تست کارت - هزینه‌های آزمایشی کوچکی روی کارت‌های دزدیده شده اعمال می‌شود تا قبل از استفاده از آنها برای تراکنش‌های کلاهبرداری بزرگتر، فعال بودن آنها تأیید شود. اغلب در بازه‌های زمانی کوتاه، به صورت تراکنش‌های خرد ظاهر می‌شود.
• کلاهبرداری هویت مصنوعی - ترکیب داده‌های شخصی واقعی و ساختگی برای ایجاد یک هویت جعلی جدید. تشخیص آن دشوارتر است زیرا بخش‌هایی از هویت واقعی هستند.
• کلاهبرداری دوستانه / کلاهبرداری شخص اول - یک مشتری قانونی، خرید واقعی را با بانک خود مورد اختلاف قرار می‌دهد و ادعا می‌کند که کالا هرگز نرسیده یا هزینه غیرمجاز بوده است.
• فیشینگ و مهندسی اجتماعی - کلاهبرداران خود را به جای مؤسسات مالی، بازرگانان یا ارائه دهندگان پرداخت جا می‌زنند تا اطلاعات کارت، اعتبارنامه‌های ورود یا کدهای یکبار مصرف را مستقیماً از قربانیان استخراج کنند.

کلاهبرداری شخص ثالث، سریع‌ترین رشد را در این حوزه دارد. ابزارهای استاندارد تشخیص کلاهبرداری برای شناسایی آن طراحی نشده‌اند - خود تراکنش کاملاً قانونی به نظر می‌رسد. استراتژی‌های پیشگیری از کلاهبرداری برای این نوع، به کنترل‌های متفاوتی نسبت به اقدامات امنیتی فنی نیاز دارند.

نحوه‌ی عملکرد تشخیص تقلب در پرداخت

تشخیص کلاهبرداری به صورت لایه لایه انجام می‌شود، نه با یک بررسی واحد. قبل از تراکنش، تأیید هویت انجام می‌شود، در لحظه تأیید، ریسک سنجی انجام می‌شود و پس از تسویه حساب، نظارت بر الگو انجام می‌شود.

هر مرحله با ورودی‌های متفاوتی کار می‌کند. پیش از تراکنش: اثر انگشت دستگاه، قدمت حساب، تاریخچه ورود. در زمان تأیید: مبلغ تراکنش، دسته فروشنده، موقعیت جغرافیایی، سرعت در مقایسه با خریدهای قبلی. پس از تسویه حساب: الگوهای تراکنش متقابل مانند کارتی که در عرض سه دقیقه به پنج فروشنده مختلف برخورد می‌کند - تا زمانی که به مجموع آنها نگاه نکنید، قابل مشاهده نیست.

یادگیری ماشینی، امتیازدهی را به صورت آنی انجام می‌دهد. مدل‌هایی که بر اساس میلیون‌ها رکورد تاریخی آموزش دیده‌اند، تراکنش‌های جعلی را با دقتی که هیچ کتاب قانون دست‌نویسی نمی‌تواند با آن برابری کند، شناسایی می‌کنند. تشخیص تقلب مبتنی بر هوش مصنوعی، دقت را ۹۲٪ بهبود می‌بخشد و در مقایسه با سیستم‌های صرفاً مبتنی بر قوانین، ۴۰٪ از موارد مثبت کاذب را کاهش می‌دهد. آن عدد دوم مهم است: سفارش‌های واقعی کمتری رد می‌شوند.

جریان تشخیص گام به گام:

1. تراکنش آغاز شد - اثر انگشت دستگاه، آدرس IP، داده‌های مرورگر و سیگنال‌های رفتاری ثبت شده در هنگام پرداخت
2. امتیازدهی موتور ریسک به صورت آنی - صدها سیگنال که در عرض چند میلی‌ثانیه در برابر مدل یادگیری ماشینی تجزیه و تحلیل می‌شوند
3. تأیید یا علامت‌گذاری خودکار - تراکنش‌های کم‌خطر فوراً تأیید می‌شوند؛ تراکنش‌های پرخطر مسدود می‌شوند یا به چالش امنیت سه‌بعدی ارسال می‌شوند
4. صف بررسی دستی - تراکنش‌های مرزی برای ارزیابی توسط یک تحلیلگر انسانی علامت‌گذاری می‌شوند.
5. نظارت پس از تراکنش - داده‌های تسویه حساب به مدل بازخورد می‌دهند، الگوهای کلاهبرداری با تأخیر را شناسایی کرده و امتیازدهی آینده را اصلاح می‌کنند

برخلاف یک مجموعه قانون ایستا، این مدل یاد می‌گیرد. هر تراکنش تایید شده، علامت‌گذاری شده یا معکوس شده به داده‌های آموزشی تبدیل می‌شود. این حلقه بازخوردی است که تشخیص تقلب تطبیقی را پیش می‌برد - سیستم‌های صرفاً مبتنی بر قوانین به این شکل به‌روزرسانی نمی‌شوند.

روش‌ها و ابزارهای تشخیص تقلب در پرداخت

هیچ روش واحدی نمی‌تواند همه انواع کلاهبرداری را شناسایی کند. تشخیص مؤثر کلاهبرداری در پرداخت، چندین کنترل را در کنار هم قرار می‌دهد که هر کدام به بردارهای حمله متفاوتی می‌پردازند. فروشندگان اکنون به طور متوسط از 5 ابزار کلاهبرداری در هر کسب‌وکار استفاده می‌کنند، که این رقم در سال 2022، 4 مورد بوده است.

روش‌های اصلی مورد استفاده در نرم‌افزارهای تشخیص تقلب:

• امنیت سه‌بعدی (3DS2) - احراز هویت شبکه کارت که دارنده کارت را در هنگام پرداخت به چالش می‌کشد. در صورت پیاده‌سازی صحیح، مسئولیت تراکنش‌های جعلی از فروشنده به صادرکننده کارت منتقل می‌شود.
• سیستم تأیید آدرس (AVS) - آدرس صورتحساب وارد شده در هنگام پرداخت را با سوابق کارت موجود در نزد صادرکننده مطابقت می‌دهد. کارت‌های دزدیده شده‌ای را که کلاهبردار آدرس صورتحساب واقعی را نمی‌داند، شناسایی می‌کند.
• تأیید CVV/CVC - با درخواست کد امنیتی، مالکیت فیزیکی کارت را تأیید می‌کند. در صورت نقض کامل داده‌ها، در معرض خطر قرار می‌گیرد، اما همچنان بسیاری از تلاش‌های اولیه برای کلاهبرداری CNP را مسدود می‌کند.
• بررسی سرعت تراکنش - فراوانی غیرمعمول تراکنش‌ها را نشان می‌دهد: یک کارت در ده دقیقه به پنج پذیرنده حمله می‌کند، یا پنجاه تلاش پرداخت از یک IP واحد در یک ساعت.
• اثر انگشت دستگاه - نمایه‌ای از دستگاه مورد استفاده ایجاد می‌کند و آن را در طول جلسات ردیابی می‌کند و کلاهبرداران برگشتی را حتی زمانی که از اطلاعات کارت جدید استفاده می‌کنند، شناسایی می‌کند.
• تأیید موقعیت جغرافیایی - مکان تراکنش را با موقعیت جغرافیایی مورد انتظار دارنده کارت مطابقت می‌دهد. تأیید موقعیت جغرافیایی، کلاهبرداری در پرداخت‌های موبایلی را تا ۲۸٪ کاهش می‌دهد.
• امتیازدهی ریسک یادگیری ماشینی - امتیازدهی تطبیقی که با پردازش هر تراکنش بهبود می‌یابد و الگوهایی را که برای قوانین دستی بسیار ظریف هستند، انتخاب می‌کند.
• تجزیه و تحلیل رفتاری - حرکت ماوس، سرعت تایپ، رفتار اسکرول و زمان حضور در صفحه را برای شناسایی فعالیت ربات‌ها و تلاش‌های تصاحب حساب کاربری رصد می‌کند.

چگونه این روش‌ها در انواع کلاهبرداری با هم مقایسه می‌شوند:

آنها را روی هم قرار دهید - هیچ لایه واحدی کافی نیست. کلاهبرداری که AVS را دور می‌زند، ممکن است همچنان توسط تجزیه و تحلیل رفتاری یا بررسی سرعت گیر بیفتد.

هزینه واقعی کلاهبرداری در پرداخت برای بازرگانان

قیمت برچسب‌گذاری شده برای کلاهبرداری به ندرت عدد کامل است. به ازای هر ۱ دلار کلاهبرداری، بازرگانان ۴.۶۱ دلار در کل هزینه‌ها را از دست می‌دهند، به علاوه هزینه‌های برگشت وجه، کالاهای از دست رفته، نیروی کار برای رسیدگی به دعاوی و هزینه‌های اداری. این ضریب، خسارت را بسیار فراتر از ارزش تراکنش افزایش می‌دهد.

پیش‌بینی می‌شود که تنها هزینه برگشت وجه در سال ۲۰۲۶ برای بازرگانان ۲۸.۱ میلیارد دلار باشد. هر تراکنش مورد اختلاف، صرف نظر از نتیجه، هزینه‌ای بین ۱۵ تا ۱۰۰ دلار دارد، وقت کارکنان را برای اختلاف تلف می‌کند و در نرخ برگشت وجه بازرگان - معیاری که شبکه‌های کارت متریک برای علامت‌گذاری حساب‌های پرخطر استفاده می‌کنند - محاسبه می‌شود.

اگر از ۱٪ بیشتر شود، پردازنده شروع به نظارت می‌کند. اگر همین مقدار باقی بماند، فروشنده در معرض خطر از دست دادن کامل پردازش کارت قرار می‌گیرد.

بازار نرم‌افزارهای تشخیص تقلب نشان می‌دهد که کسب‌وکارها چقدر این مشکل را جدی می‌گیرند. سرمایه‌گذاری جهانی در تشخیص تقلب در پرداخت در سال ۲۰۲۶ به ۱۳.۷ میلیارد دلار رسید و پیش‌بینی می‌شود تا سال ۲۰۳۵ با نرخ رشد مرکب سالانه ۱۴.۷۸ درصد به ۴۷.۵ میلیارد دلار برسد.

ضررهای ناشی از کلاهبرداری به مسائل مالی مستقیم محدود نمی‌شود. نرخ بالای برگشت وجه به روابط با پردازنده‌های پرداخت آسیب می‌رساند. تکرار کلاهبرداری، اعتماد مشتری را از بین می‌برد.

نقض داده‌ها مرتبط با کلاهبرداری در پرداخت، بازرگانان را در معرض جریمه‌های نظارتی از سوی موسسات مالی و شبکه‌های کارتی قرار می‌دهد. پیشگیری از کلاهبرداری ارزان‌تر از جبران خسارت است - تفاوت هزینه بین مسدود کردن یک تراکنش جعلی و پردازش بازپرداخت قابل توجه است.

چگونه به عنوان یک فروشنده از کلاهبرداری در پرداخت جلوگیری کنیم

پیشگیری از کلاهبرداری یک رشته چند لایه است. کنترل‌های فنی، حملات سیستماتیک را مدیریت می‌کنند؛ کنترل‌های فرآیندی، حملات انسانی را هدف قرار می‌دهند. در اینجا یک چک لیست عملی ارائه شده است:

1. برای تمام تراکنش‌های بدون حضور کارت، از 3D Secure استفاده کنید. وقتی 3DS به درستی فعال شود، مسئولیت به صادرکننده کارت منتقل می‌شود. همین امر به تنهایی ریسک برگشت وجه در تراکنش‌های احراز هویت شده را از بین می‌برد.
2. قوانین ایستا را با امتیازدهی تقلب مبتنی بر یادگیری ماشین جایگزین کنید. قوانین به سرعت کهنه می‌شوند - کلاهبرداران آنها را یاد می‌گیرند. یادگیری ماشین به طور مداوم با الگوهای جدید سازگار می‌شود.
3. محدودیت‌های سرعت را روی کارت‌ها، IPها و دستگاه‌ها تنظیم کنید. حملات تست کارت به فرکانس بالا متکی هستند. بررسی‌های سرعت، آنها را قبل از اینکه کلاهبردار تایید کند کدام کارت‌ها فعال هستند، شناسایی می‌کنند.
4. آدرس‌های صورتحساب را از طریق AVS در تمام سفارشات کارت تأیید کنید. از سهم قابل توجهی از استفاده از کارت‌های دزدیده شده اولیه که در آن کلاهبردار فقط شماره کارت را دارد و جزئیات کامل صورتحساب را ندارد، جلوگیری می‌کند.
5. پیاده‌سازی اثر انگشت دستگاه. یک کلاهبردار که کارت را می‌سوزاند و با یک کارت جدید برمی‌گردد، همچنان همان امضای دستگاه را دارد.
6. کارکنان را برای تشخیص مهندسی اجتماعی آموزش دهید. کلاهبرداری و فیشینگ پرداخت‌های اجباری مجاز، افراد را هدف قرار می‌دهند، نه سیستم‌ها را. نماینده خدمات مشتری که بازپرداخت غیرمعمول به یک حساب بانکی جدید را تأیید می‌کند، یک مسیر کلاهبرداری است.
7. دسترسی و استفاده از سیاست‌های بازپرداخت و مرجوعی کالا را آسان کنید. مشتریانی که می‌توانند وجه خود را به صورت قانونی پس بگیرند، نیازی به ثبت درخواست استرداد وجه ندارند. کاهش این اصطکاک یکی از ساده‌ترین راه‌ها برای جلوگیری از کلاهبرداری از نوع دوستانه آن است.
8. نرخ‌های بازپرداخت را بر اساس روش پرداخت رصد کنید. روش‌های پرداخت مختلف، پروفایل‌های کلاهبرداری متفاوتی دارند. اگر یک کانال پرداخت دیجیتال، سه برابر کانال دیگر، کلاهبرداری ایجاد می‌کند، این یک سیگنال است - نه یک اختلال. به جای اعمال تنظیمات یکسان برای همه، کنترل‌ها را برای هر کانال تنظیم کنید.
9. سوابق تراکنش‌ها را با جزئیات ثبت کنید. تأییدیه‌های سفارش، داده‌های ارسال، گزارش‌های IP و سوابق ارتباطی، مواد اولیه برای برنده شدن در یک درخواست بازپرداخت وجه هستند. نداشتن مدرک به معنای نداشتن دفاع است.

پرداخت‌های کریپتو به عنوان جایگزینی مقاوم در برابر کلاهبرداری

برخی از مسیرهای کلاهبرداری وصله‌ای ندارند - آنها ساختاری هستند. کلاهبرداری بدون کارت وجود دارد زیرا کارت‌ها برای استفاده فیزیکی طراحی شده و برای پرداخت‌های آنلاین تطبیق داده شده‌اند. شماره کارت یک اعتبارنامه است که می‌تواند دزدیده، آزمایش و مورد سوءاستفاده قرار گیرد. این نقص طراحی با اضافه کردن لایه‌های بیشتر تشخیص برطرف نمی‌شود؛ با انتقال به یک ساختار پرداخت متفاوت، می‌توان آن را دور زد.

تراکنش‌های ارز دیجیتال ذاتاً برگشت‌ناپذیر هستند. هیچ اطلاعات کارتی برای سرقت وجود ندارد، هیچ اعتبارنامه‌ای قابل فیشینگ نیست، هیچ مکانیزم بازگشت وجهی برای سوءاستفاده کلاهبرداران پس از وقوع حادثه وجود ندارد. پرداخت ارز دیجیتال روی بلاکچین انجام می‌شود و تسویه می‌شود. این امر، مسیر حمله بازگشت وجه را به طور کامل از بین می‌برد.

استیبل کوین‌هایی مانند USDT و USDC ثبات قیمت را برای پرداخت‌های کریپتو به ارمغان می‌آورند - تاجری که USDC دریافت می‌کند، صرف نظر از حرکات بازار، معادل دلاری آن را دریافت می‌کند. مقاومت در برابر کلاهبرداری همچنان پابرجاست. برای کالاهای دیجیتال، اشتراک‌ها و تراکنش‌های فرامرزی که نرخ کلاهبرداری CNP و کلاهبرداری دوستانه در بالاترین حد خود قرار دارد، دلیل ساختاری برای کریپتو مستقیم است.

ارزهای دیجیتال تمام ریسک‌های کلاهبرداری را از بین نمی‌برند - بررسی‌های KYC و AML هنوز اعمال می‌شوند و حملات مهندسی اجتماعی در هر اکوسیستم پرداختی وجود دارد. اما کل دسته از تراکنش‌های کلاهبرداری که به اعتبارنامه‌های کارت دزدیده شده یا فرآیند بازپرداخت متکی هستند را از بین می‌برد.

پلیسیو به بازرگانان اجازه می‌دهد تا بیش از ۲۰ ارز دیجیتال را از طریق یک ادغام واحد، بدون هیچ هزینه ماهانه و بدون قرار گرفتن در معرض بازگشت وجه، بپذیرند. برای کسب‌وکارهایی که هزینه‌های تشخیص تقلب در پرداخت زیاد است، این یک کاهش معنادار در سطح کلاهبرداری است.

Simon Chartan

A journalist with a strong technical background and a passion for decentralized finance. With degrees in MBA and Master of Engineering in Data Science, the author combines analytical expertise with a clear, engaging writing style. At Plisio, they cover topics such as cryptocurrency, blockchain, DeFi, and digital finance—helping readers make sense of a rapidly evolving fintech landscape.