پیشگیری از کلاهبرداری در پرداخت: چه چیزی مؤثر است و چه چیزی نمایشی

دو اپلیکیشن پرداخت، تهدید یکسان، اما نتایج متضاد. در یک گوشه، Cash App قرار دارد که شرکت مادر آن در اوایل سال ۲۰۲۵ به دلیل نحوه رسیدگی به ادعاهای کلاهبرداری مشتریان، به پرداخت ۱۷۵ میلیون دلار محکوم شد. در گوشه دیگر، PayPal قرار دارد که در آن سال بیش از یک تریلیون دلار جابجا کرد و همچنان نرخ ضرر خود را نزدیک به ۰.۰۸٪ از حجم معاملات نگه داشت. هر دو با کلاهبرداران یکسان، کارت‌های دزدیده شده یکسان و اسکریپت‌های مهندسی اجتماعی یکسان روبرو هستند. پس چرا یکی در بیانیه مطبوعاتی نهاد ناظر و دیگری در پاورقی گزارش مالی قرار گرفت؟

این شکاف، بودجه نیست. بلکه چیزی است که هر شرکت روی آن شرط‌بندی می‌کند. بیشتر آنچه که به عنوان پیشگیری از کلاهبرداری در پرداخت پذیرفته می‌شود، نمایشی بیش نیست: اطمینان‌بخش به نظر می‌رسد، یک مانع را پر می‌کند و تقریباً هیچ چیزی را متوقف نمی‌کند. تعداد انگشت‌شماری از کنترل‌ها کار واقعی را انجام می‌دهند. پی‌پال و کش اپ یک آزمایش طبیعی و تمیز برای تشخیص این دو از هم انجام می‌دهند، زیرا در مورد آنها یک نهاد نظارتی درجه‌بندی را برای ما انجام داد. این یک راهنمای عملی است که نشان می‌دهد چه چیزی دوام می‌آورد و چه چیزی بی‌سروصدا شکست می‌خورد.

چه هزینه‌هایی برای کلاهبرداری در پرداخت‌ها در حال حاضر برای اقتصاد وجود دارد؟

اعداد و ارقام اصلی آنقدر بزرگ هستند که نمی‌توان به آنها بی‌تفاوت بود. طبق گزارش شبکه نظارت بر مصرف‌کنندگان کمیسیون تجارت فدرال (FTC) ، آمریکایی‌ها در سال ۲۰۲۴، ۱۲.۵ میلیارد دلار از طریق کلاهبرداری از دست داده‌اند که افزایشی ۲۵ درصدی در یک سال را نشان می‌دهد. کلاهبرداری کارتی در سراسر جهان به ۳۳.۴۱ میلیارد دلار رسید و ایالات متحده تقریباً ۴۲ درصد از این ضررها را در حدود یک چهارم حجم کارت‌های جهانی متحمل شد.

واقعیت مفیدتر زیر مجموع مبالغ پنهان شده است: جایی که پول واقعاً نشت می‌کند. دو روش پرداخت برتر بر اساس گزارش‌های ضرر، نقل و انتقالات بانکی (۲.۰۹ میلیارد دلار) و ارز دیجیتال (۱.۴۲ میلیارد دلار) بودند - نه کارت‌ها. این تصادفی نیست. آن ریل‌ها برای انتقال سریع و رو به جلوی پول ساخته شده‌اند، بدون هیچ راه داخلی برای پس گرفتن آن. شبکه‌های کارتی دهه‌ها سازوکار اختلاف را پشت سر خود دارند. انتقال‌های حساب به حساب معمولاً هیچ کدام را ندارند. کلاهبرداری از مسیری پیروی می‌کند که کمترین برگشت‌پذیری را دارد.

انواع رایج کلاهبرداری در پرداخت، رتبه‌بندی‌شده بر اساس اینکه چه کسی پرداخت می‌کند

هر راهنمای کلاهبرداری، فهرست یکسانی از دوازده نوع حمله را در اختیار شما قرار می‌دهد. مفیدتر این است که آنها را بر اساس اینکه چه کسی واقعاً ضرر می‌کند، مرتب کنید، زیرا این همان چیزی است که تعیین می‌کند آیا باید اهمیت دهید یا خیر. انواع رایج کلاهبرداری در پرداخت، درد را به طور مساوی تقسیم نمی‌کنند.

کلاهبرداری‌های ایمیل تجاری و کلاهبرداری‌های پرداخت‌های اجباری در صدر قرار دارند، زیرا آنها قربانی را فریب می‌دهند تا خودش پول ارسال کند و قربانی معمولاً نمی‌تواند آن را پس بگیرد. بخش مالی بریتانیا تنها در نیمه اول سال 2025، 257.5 میلیون پوند کلاهبرداری پرداخت اجباری ثبت کرد که نسبت به سال قبل 12 درصد افزایش داشته است. تصاحب حساب در مرحله بعد قرار می‌گیرد: یک کلاهبردار وارد یک حساب واقعی می‌شود و آن را خالی می‌کند، به این معنی که صاحب اصلی باید ثابت کند که کار او نبوده است. کلاهبرداری کارت گسترده است، اما برای مصرف‌کنندگان، عمدتاً توسط صادرکننده از طریق بازپرداخت وجه جذب می‌شود. سپس کلاهبرداری دوستانه وجود دارد، که در آن یک مشتری واقعی یک خرید واقعی را مورد اعتراض قرار می‌دهد - تخمین زده می‌شود که 75 تا 79 درصد از بازپرداخت‌های تجارت الکترونیک را تشکیل می‌دهد و فروشنده پرداخت می‌کند. کلاهبرداری‌های دیپ‌فیک و شبیه‌سازی صوتی، ورودی جدید هستند که امروزه از نظر دلاری کوچک هستند اما به سرعت در حال افزایش هستند. الگو ساده است: هرچه روش پرداخت برگشت‌پذیرتر باشد، کلاهبرداری بیشتر روی شخصی که کمترین توانایی جذب آن را دارد، فرود می‌آید.

اپلیکیشن کش: مطالعه موردی در حوزه پیشگیری از کلاهبرداری

اگر می‌خواهید ببینید که پیشگیری از کلاهبرداری در مقیاس بزرگ چگونه است، به Cash App نگاهی بیندازید. زمانی که نهادهای نظارتی رسیدند، حدود ۵۶ میلیون حساب فعال و یک اپلیکیشن جذاب و کاربرپسند داشت. چیزی که نداشت، سازوکار نه چندان جذاب پشت صحنه بود: تحقیقات واقعی، خط تلفن فعال و هرگونه حس اینکه یک انتقال غیرمجاز مشکل شرکت است که باید حل شود.

آنچه تنظیم‌کنندگان واقعاً یافتند

در ژانویه ۲۰۲۵، دفتر حمایت مالی مصرف‌کنندگان به شرکت بلاک، شرکت مادر Cash App، دستور داد ۱۷۵ میلیون دلار بپردازد - ۱۲۰ میلیون دلار به کاربران آسیب‌دیده بازگردانده شود و ۵۵ میلیون دلار جریمه شود . خواندن این متن ارزشش را دارد که با دقت خوانده شود. CFPB اعلام کرد که این شرکت از «شیوه‌های تحقیقاتی عمداً بی‌کیفیت» برای بستن گزارش‌های کلاهبرداری به نفع خود استفاده کرده است. مشتریانی که با خط کلاهبرداری تماس می‌گرفتند، با یک پیام از پیش ضبط‌شده و بی‌اثر مواجه می‌شدند؛ سال‌ها هیچ نماینده زنده‌ای برای تماس وجود نداشت. در همان ماه، ائتلافی از ۴۸ نهاد نظارتی ایالتی، جریمه جداگانه ۸۰ میلیون دلاری را برای شکست در مبارزه با پولشویی اضافه کردند. مجموع افشاگری‌ها: تقریباً ۲۵۵ میلیون دلار. هیچ‌کدام از این‌ها مربوط به هکرهای باهوش نبود. مربوط به شرکتی بود که تصمیم گرفت پاسخ دادن به تلفن اختیاری باشد.

چرا انتقال‌های برگشت‌ناپذیر همتا به همتا، نقص ساختاری هستند؟

در زیر داستان اجرایی، یک انتخاب طراحی وجود دارد. Cash App پول را از حسابی به حساب دیگر منتقل می‌کند، مانند پول نقد. وقتی از بین رفت، هیچ شبکه کارتی برای برگرداندن آن وجود ندارد. این خوب است تا زمانی که کسی فریب بخورد یا هک شود، و سپس مدل "درست مثل پول نقد است" به "شما به حال خود رها می‌شوید" تبدیل می‌شود. قانون فدرال (مقررات E) در واقع بانک‌ها و برنامه‌های پرداخت را ملزم می‌کند که نقل و انتقالات الکترونیکی غیرمجاز را بررسی کرده و کاربران را به طور کامل آزاد کنند. چیزی که من مدام به آن برمی‌گردم این است که این شکست چقدر عادی بود: نه یک نقض، فقط یک تصمیم برای برخورد با نقل و انتقالات غیرمجاز به عنوان مشکل مشتری. CFPB این تصمیم را تخلف خواند.

نحوه‌ی عملکرد سیستم تشخیص کلاهبرداری پی‌پال

پی‌پال نمونه‌ی طبیعی «آنچه مؤثر است» است، اما نسخه‌ی بازاریابی آن اشتباه است. پی‌پال عاری از کلاهبرداری نیست و تظاهر به خلاف آن، درس واقعی را پنهان می‌کند. اسناد خود پی‌پال، زیان‌های تراکنشی و اعتباری ۱.۷۲ میلیارد دلاری را در سال ۲۰۲۵ نشان می‌دهد که نسبت به سال قبل ۱۹ درصد افزایش داشته است. کلاهبرداری در پی‌پال زنده و پابرجاست. تفاوت در اتفاقی است که بعداً می‌افتد.

حفاظت از خریدار و فروشنده به عنوان یک لایه برگشت‌پذیر

پی‌پال قابلیت برگشت‌پذیری را در محصول خود گنجانده تا از هر دو طرف معامله محافظت کند. خریدهای واجد شرایط با حفاظت از خریدار ارائه می‌شوند و فروشندگان پوشش خود را دریافت می‌کنند، به همراه یک فرآیند رسیدگی به اختلافات و ادعاها که در صدر قرار دارد. وقتی کلاهبرداری اتفاق می‌افتد، سیستم اغلب می‌تواند به جای اینکه خریدار را معطل کند، مبلغ را به او بازگرداند یا معامله را معکوس کند. این دقیقاً همان لایه‌ای است که کش اپ فاقد آن بود. همچنین گران و کند و پر از پرونده‌های حاشیه‌ای است و پی‌پال شکایات زیادی در مورد آن دریافت می‌کند. اما «یک فرآیند رسیدگی به اختلافات ناامیدکننده» و «یک خط تلفن خاموش» از یک دسته شکست نیستند.

امتیازدهی ریسک یادگیری ماشینی در زمان تراکنش

لایه دوم، تشخیص است. پی‌پال تراکنش‌ها را به صورت آنی و بر اساس صدها سیگنال - دستگاه، مکان، تاریخچه، سرعت، رفتار - امتیازدهی می‌کند تا آنهایی را که بوی اشتباه می‌دهند، قبل از جابجایی پول، علامت‌گذاری کند. نتیجه اصلی، نرخ ضرری است که نزدیک به 0.08٪ از کل حجم پرداخت‌ها، نزدیک به یک رکورد پایین، در نوسان بوده است، حتی با اینکه ضررهای مطلق با افزایش مقیاس، افزایش می‌یابند. این دو عدد را با هم بخوانید تا به نسخه صادقانه برسید: حجم بیشتر به معنای دلارهای تقلب خام بیشتر است، اما امتیازدهی تطبیقی، نرخ را پایین نگه می‌دارد. این سیستم جادویی نیست. فقط نگهداری می‌شود.

چه چیزی مؤثر است: بهترین شیوه‌هایی که کلاهبرداری را کاهش می‌دهند

پس چه چیزی واقعاً این عدد را تغییر می‌دهد؟ با حذف دسته‌های فروشندگان، کنترل‌هایی که واقعاً از کلاهبرداری جلوگیری می‌کنند، کوتاه و کسل‌کننده می‌شوند. آنها یک ویژگی مشترک دارند: آنها خود را وفق می‌دهند یا یک بررسی مستقل دوم اضافه می‌کنند، به جای اینکه به یک دروازه ثابت اعتماد کنند.

احراز هویت چند عاملی ارزان‌ترین کنترل با قدرت نفوذ بالا است. مایکروسافت گزارش داده است که MFA بیش از ۹۹.۹٪ از تلاش‌های خودکار برای نفوذ به حساب‌ها را مسدود می‌کند و تقریباً همه حساب‌های نفوذ شده هرگز آن را فعال نکرده‌اند. امتیازدهی تراکنش‌ها با یادگیری ماشین، اثر انگشت دستگاه و بیومتریک رفتاری، الگوهایی را که قوانین ثابت از دست می‌دهند، شناسایی می‌کنند؛ یک بانک گزارش داد که پس از استقرار تجزیه و تحلیل رفتاری، حدود ۳۵٪ از میزان کلاهبرداری‌ها کاسته شده است، اگرچه این رقم توسط فروشنده گزارش شده است و باید به عنوان یک پیش‌بینی در نظر گرفته شود، نه یک واقعیت قطعی. احراز هویت قوی مشتری از طریق 3-D Secure 2 یک مرحله تأیید را به پرداخت‌های کارتی اضافه می‌کند. این کار هزینه اصطکاکی دارد (تقریباً از هر پنج تلاش برای احراز هویت، یک تلاش ناموفق است)، اما مسئولیت را تغییر می‌دهد و سهم واقعی استفاده از کارت‌های دزدیده شده را متوقف می‌کند. بررسی‌های شناخت مشتری در مورد محدودیت‌های ورود به سیستم و سرعت، این لیست را تکمیل می‌کنند.

نمایش امنیتی: محافظت در برابر کلاهبرداری که شکست می‌خورد

حالا نوبت به هدر دادن بودجه می‌رسد، کنترل‌هایی که انگار محافظت در برابر کلاهبرداری هستند و تقریباً هیچ فایده‌ای ندارند. سوالات امنیتی بدترین نوع سوءاستفاده هستند. پاسخ‌ها (نام خانوادگی مادرتان، اولین حیوان خانگی‌تان) قابل حدس زدن، کپی یا نقض شدن هستند و سازمان استاندارد ایالات متحده، NIST، اکنون رسماً احراز هویت مبتنی بر دانش را به عنوان یک عامل ورود معتبر ممنوع کرده است. این کار «لایه‌ای اضافه نمی‌کند». بلکه یک لایه کاذب اضافه می‌کند.

کدهای یکبار مصرف پیامکی دام بعدی هستند. آنها شبیه MFA به نظر می‌رسند، اما از شماره تلفنی استفاده می‌کنند که یک مهاجم می‌تواند از طریق تعویض سیم‌کارت آن را بدزدد، که تحقیقات صنعتی نشان می‌دهد حدود ۸۰٪ مواقع در اولین تلاش موفق می‌شود؛ FBI تنها در سال ۲۰۲۴ تقریباً ۲۶ میلیون دلار ضرر گزارش شده در تعویض سیم‌کارت را ثبت کرد. سپس موتورهای استاتیک و صرفاً مبتنی بر قوانین وجود دارند که هرگز یاد نمی‌گیرند و صف‌های بررسی دستی کند که کلاهبرداری را قبل از نگاه انسان پاک می‌کنند. گران‌ترین قطعه نمایشی از همه، همان چیزی است که Cash App به ما آموخت: غیرقابل برگشت کردن نقل و انتقالات به طور پیش‌فرض و نامیدن آن به سرعت. مهندسان تمایل دارند برگشت‌پذیری را به عنوان اصطکاکی برای طراحی در نظر بگیرند. برای قربانی، این کل نکته است.

کلاهبرداری در تصاحب حساب کاربری: جایی که مدل‌ها از هم جدا می‌شوند

کلاهبرداری در تصاحب حساب، بی‌خطرترین آزمون کل این بحث است، زیرا هر دو شرکت با حمله یکسانی روبرو هستند: یک مجرم اعتبارنامه یک کاربر واقعی را به دست می‌آورد و سعی می‌کند پول را جابجا کند. ورودی یکسان، خروجی بسیار متفاوت.

در بخش پیشگیری، روش مقابله به خوبی تثبیت شده است: اجرای MFA قوی (نه کدهای پیامکی)، نظارت بر سیگنال‌های رفتاری برای ورود به سیستمی که با مالک مطابقت ندارد، و کاهش سرعت مشکوک. اما پیشگیری همیشه کمی نشت اطلاعات دارد و سوال دوم این است که وقتی این اتفاق می‌افتد چه اتفاقی می‌افتد. برگشت‌پذیری و فرآیند اختلاف PayPal به کاربر ربوده شده مسیر بازگشت می‌دهد. موضع تاریخی Cash App، مبنی بر اینکه انتقال غیرمجاز مشکل کاربر بوده است، آنها را سرگردان کرد، که دقیقاً همان چیزی است که یک حادثه امنیتی را به یک پرونده پاسخگویی ۱۷۵ میلیون دلاری تبدیل کرد. همان کلاهبرداری، اما در نقطه مقابل، که با یک انتخاب سیاست به جای یک قطعه کد حل شد.

چگونه پس از وقوع کلاهبرداری به آن واکنش نشان دهیم

تشخیص تنها نیمی از کار است؛ واکنش، نیمی از درجه‌بندی واقعی رگولاتورها است. وقتی یک انتقال غیرمجاز از بین می‌رود، طبق مقررات ایالات متحده، کف قانونی، مقررات E است: فوراً بررسی کنید و اگر انتقال مجاز نبوده، کاربر را مجازات کنید. این به معنای یک تحقیق واقعی، یک نیروی انسانی در دسترس و یک ساعت است. صورتحساب ۱۷۵ میلیون دلاری Cash App هیچ ارتباطی با هک شدن نداشت. موضوع مربوط به نحوه پاسخگویی یا امتناع شرکت پس از آن بود. پاسخ را بسازید، نه فقط دیوار.

روندهای کلاهبرداری: پیشگیری به کدام سمت می‌رود؟

مرحله بعدی، یک مسابقه تسلیحاتی است که هر دو طرف با سلاح یکسانی به مبارزه می‌پردازند. هوش مصنوعی مولد، سریع‌ترین رشد را در مسیر حمله ایجاد می‌کند: دیلویت پیش‌بینی می‌کند که ضررهای ناشی از کلاهبرداری مبتنی بر هوش مصنوعی در ایالات متحده از ۱۲.۳ میلیارد دلار در سال ۲۰۲۳ به حدود ۴۰ میلیارد دلار تا سال ۲۰۲۷ افزایش یابد و کلاهبرداری‌های مبتنی بر جعل عمیق طبق تخمین‌های صنعت، در سال ۲۰۲۵ به میلیاردها دلار افزایش یابد. همین فناوری همچنین بهترین دفاع را هدایت می‌کند. گزارش نیلسون، هوش مصنوعی را به خاطر تولید قوی‌ترین مدل‌های مبارزه با کلاهبرداری که صنعت کارت داشته است، تحسین می‌کند. هر کسی که سریع‌تر تکرار کند، برنده این دور می‌شود، و دقیقاً به همین دلیل است که دفاع‌های ایستا محکوم به شکست هستند و دفاع‌های تطبیقی نه.

این به معنای پیشگیری از کلاهبرداری در پرداخت است

درس پی‌پال و کش اپ این نیست که «بیشتر روی فناوری هزینه کنید». هر دو زیاد هزینه کردند. شرط برنده، محدود و بی‌روح است: برگشت‌پذیری، پاسخگویی و چند کنترل که به جای تظاهر، خود را وفق می‌دهند. تئاتر ارزان‌تر است، درست تا زمانی که یک نهاد نظارتی قیمت ۱۷۵ میلیون دلاری روی آن بگذارد. بنابراین، موجودی خود را در جدول بالا بررسی کنید و تنها سوال مهم را بپرسید. اگر نمی‌توانید یک انتقال جعلی را معکوس کنید یا وقتی مشتری مورد سرقت قرار می‌گیرد، تلفن را بردارید، شما پیشگیری از کلاهبرداری در پرداخت را ندارید. شما یک لوگو دارید.

Marco Lucchetti

Marco Lucchetti is a senior content strategist and blockchain analyst at Plisio. With over 7 years of experience in cryptocurrency research, DeFi protocols, and payment technologies, Marco specializes in creating clear, data-driven content for a global crypto audience. His work focuses on transaction tracing, crypto compliance, and the future of blockchain infrastructure.