การป้องกันการฉ้อโกงการชำระเงิน: อะไรได้ผล และอะไรเป็นแค่การแสดง
แอปชำระเงินสองแอป ภัยคุกคามเดียวกัน แต่ผลลัพธ์ตรงกันข้าม แอปหนึ่งคือ Cash App ซึ่งบริษัทแม่ถูกสั่งให้จ่ายเงิน 175 ล้านดอลลาร์ในช่วงต้นปี 2025 จากกรณีการจัดการข้อเรียกร้องการฉ้อโกงของลูกค้า ส่วนอีกแอปหนึ่งคือ PayPal ซึ่งมียอดธุรกรรมมากกว่าหนึ่งล้านล้านดอลลาร์ในปีนั้น แต่ยังคงรักษาอัตราการสูญเสียไว้ได้ใกล้เคียง 0.08% ของปริมาณธุรกรรม ทั้งสองแอปเผชิญกับมิจฉาชีพกลุ่มเดียวกัน บัตรที่ถูกขโมยแบบเดียวกัน และกลโกงทางสังคมแบบเดียวกัน แล้วทำไมแอปหนึ่งถึงไปอยู่ในข่าวประชาสัมพันธ์ของหน่วยงานกำกับดูแล ในขณะที่อีกแอปหนึ่งไปอยู่ในหมายเหตุท้ายรายงานผลประกอบการ?
ช่องว่างไม่ได้อยู่ที่งบประมาณ แต่อยู่ที่ว่าแต่ละบริษัทเลือกใช้ระบบควบคุมแบบไหน ส่วนใหญ่แล้วสิ่งที่เรียกว่าการป้องกัน การฉ้อโกงการชำระเงิน นั้นเป็นเพียงการแสดง: มันดูน่าเชื่อถือ มันเติมเต็มสไลด์ และแทบจะไม่ได้ป้องกันอะไรเลย มีระบบควบคุมเพียงไม่กี่อย่างเท่านั้นที่ได้ผลจริง PayPal และ Cash App เป็นตัวอย่างที่ชัดเจนในการแยกแยะความแตกต่างระหว่างสองระบบนี้ เพราะในกรณีของทั้งสองระบบ หน่วยงานกำกับดูแลได้ทำการประเมินให้เราแล้ว นี่คือคู่มือการทำงานที่แสดงให้เห็นว่าอะไรได้ผลและอะไรล้มเหลวอย่างเงียบๆ
การฉ้อโกงการชำระเงินสร้างความเสียหายต่อเศรษฐกิจมากเพียงใดในปัจจุบัน
ตัวเลขที่ปรากฏนั้นมากจนน่าตกใจ ชาวอเมริกันรายงานว่าสูญเสียเงิน 12.5 พันล้านดอลลาร์จากการฉ้อโกงในปี 2024 ซึ่งเพิ่มขึ้น 25% ในปีเดียว ตามข้อมูลจากเครือข่ายเฝ้าระวังผู้บริโภคของ FTC การฉ้อโกงบัตรเครดิตทั่วโลกมีมูลค่าสูงถึง 33.41 พันล้านดอลลาร์ และสหรัฐอเมริการับผิดชอบความเสียหายประมาณ 42% จากปริมาณการใช้บัตรเครดิตทั่วโลกเพียงประมาณหนึ่งในสี่
ข้อเท็จจริงที่สำคัญกว่านั้นซ่อนอยู่ภายใต้ตัวเลขรวม: คือจุดที่เงินรั่วไหลจริง ๆ วิธีการชำระเงินสองอันดับแรกที่มีรายงานการสูญเสียมากที่สุดคือ การโอนเงินผ่านธนาคาร (2.09 พันล้านดอลลาร์) และสกุลเงินดิจิทัล (1.42 พันล้านดอลลาร์) ไม่ใช่บัตรเครดิต นี่ไม่ใช่เรื่องบังเอิญ ระบบเหล่านั้นถูกสร้างขึ้นเพื่อเคลื่อนย้ายเงินอย่างรวดเร็วและไปข้างหน้า โดยไม่มีกลไกในการเรียกคืนเงิน เครือข่ายบัตรเครดิตมีกลไกการแก้ไขข้อพิพาทมานานหลายทศวรรษ แต่การโอนเงินระหว่างบัญชีมักไม่มีกลไกเหล่านี้ การฉ้อโกงจึงเลือกเส้นทางที่มีความสามารถในการย้อนกลับน้อยที่สุด
| หน่วยวัด (ล่าสุด) | รูป | แหล่งที่มา |
|---|---|---|
| ความเสียหายจากการฉ้อโกงที่สหรัฐฯ รายงานในปี 2024 | 12.5 พันล้านดอลลาร์สหรัฐ (+25% เมื่อเทียบกับปีก่อน) | FTC Consumer Sentinel |
| วิธีที่ทำให้สูญเสียมากที่สุด: การโอนเงินผ่านธนาคาร | 2.09 พันล้านดอลลาร์สหรัฐ | เอฟทีซี, 2024 |
| การขาดทุนของสกุลเงินดิจิทัล | 1.42 พันล้านดอลลาร์สหรัฐ | เอฟทีซี, 2024 |
| มูลค่าความเสียหายจากการฉ้อโกงบัตรเครดิตทั่วโลก ปี 2024 | 33.41 พันล้านดอลลาร์สหรัฐ | รายงานนิลสัน |
| ส่วนแบ่งของสหรัฐอเมริกาในการฉ้อโกงบัตรเครดิตทั่วโลก | ประมาณ 42% (จากปริมาณประมาณ 26%) | รายงานนิลสัน |
ประเภทของการฉ้อโกงการชำระเงินที่พบบ่อย เรียงลำดับตามผู้ที่จ่ายเงิน
คู่มือการป้องกันการฉ้อโกงทุกเล่มมักจะให้รายการประเภทการโจมตีแบบเดียวกันถึงสิบสองประเภท แต่สิ่งที่สำคัญกว่าคือการจัดประเภทตามว่าใครเป็นผู้รับความเสียหายจริง ๆ เพราะนั่นคือสิ่งที่ตัดสินว่าคุณควรใส่ใจหรือไม่ ประเภทการฉ้อโกงการชำระเงินที่พบบ่อยไม่ได้แบ่งความเสียหายอย่างเท่าเทียมกัน
การฉ้อโกงทางอีเมลธุรกิจและการฉ้อโกงการชำระเงินแบบ Push Payment อยู่ในอันดับต้น ๆ เนื่องจากเป็นการหลอกลวงเหยื่อให้ส่งเงินเอง และโดยปกติแล้วเหยื่อจะไม่สามารถเรียกเงินคืนได้ UK Finance รายงานว่ามีการฉ้อโกงการชำระเงินแบบ Push Payment มูลค่า 257.5 ล้านปอนด์ในช่วงครึ่งแรกของปี 2025 เพิ่มขึ้น 12% จากปีก่อนหน้า การยึดบัญชีเป็นรูปแบบการฉ้อโกงที่ร้ายแรงรองลงมา: ผู้ฉ้อโกงเข้าถึงบัญชีจริงและถอนเงินออกไปจนหมด ซึ่งหมายความว่าเจ้าของบัญชีตัวจริงต้องพิสูจน์ว่าไม่ใช่ตนเอง การฉ้อโกงบัตรเครดิตเป็นเรื่องที่แพร่หลาย แต่สำหรับผู้บริโภค ส่วนใหญ่แล้วผู้ออกบัตรจะเป็นผู้รับผิดชอบค่าใช้จ่ายผ่านการเรียกคืนเงิน นอกจากนี้ยังมี การฉ้อโกงโดยลูกค้าเอง ซึ่งลูกค้าตัวจริงโต้แย้งการซื้อจริง – ซึ่งเป็นสาเหตุของการเรียกคืนเงินในอีคอมเมิร์ซประมาณ 75% ถึง 79% และผู้ขายจะเป็นผู้จ่าย การฉ้อโกงด้วย Deepfake และการปลอมแปลงเสียงเป็นรูปแบบการฉ้อโกงใหม่ล่าสุด ปัจจุบันมีมูลค่าไม่มาก แต่กำลังเพิ่มขึ้นอย่างรวดเร็ว รูปแบบนั้นง่ายมาก: ยิ่งวิธีการชำระเงินนั้นยากต่อการกู้คืนมากเท่าไหร่ การฉ้อโกงก็จะยิ่งตกอยู่กับคนที่อ่อนแอที่สุดเท่านั้น
แอป Cash App: กรณีศึกษาด้านการป้องกันการฉ้อโกงในรูปแบบละคร
ถ้าคุณอยากเห็นภาพจำลองการป้องกันการฉ้อโกงในระดับใหญ่ ลองดูแอป Cash App สิ เมื่อหน่วยงานกำกับดูแลเข้ามาตรวจสอบ แอปนี้มีบัญชีผู้ใช้งานประมาณ 56 ล้านบัญชี และแอปที่ดูดีและใช้งานง่าย แต่สิ่งที่แอปนี้ขาดไปคือกลไกเบื้องหลังที่ไม่น่าดึงดูดใจ: การสืบสวนที่แท้จริง สายโทรศัพท์ที่ใช้งานได้ และความรู้สึกใดๆ ว่าการโอนเงินที่ไม่ได้รับอนุญาตเป็นปัญหาที่บริษัทต้องแก้ไข
สิ่งที่หน่วยงานกำกับดูแลค้นพบจริง ๆ
ในเดือนมกราคม 2025 สำนักงานคุ้มครองผู้บริโภคทางการเงิน (CFPB) สั่งให้ Block บริษัทแม่ของ Cash App จ่าย เงิน 175 ล้านดอลลาร์ โดยแบ่งเป็นเงินคืนให้กับผู้ใช้ที่ได้รับความเสียหาย 120 ล้านดอลลาร์ และค่าปรับ 55 ล้านดอลลาร์ ถ้อยคำ ในคำสั่งนั้นควรค่าแก่การอ่านอย่างละเอียด CFPB กล่าวว่าบริษัทใช้ "วิธีการสืบสวนที่หละหลวมโดยเจตนา" เพื่อปิดรายงานการฉ้อโกงให้เป็นประโยชน์ต่อตนเอง ลูกค้าที่โทรไปที่สายด่วนแจ้งการฉ้อโกงจะได้ยินแต่เสียงบันทึกอัตโนมัติ และเป็นเวลาหลายปีที่ไม่มีเจ้าหน้าที่ให้บริการเลย ในเดือนเดียวกันนั้น กลุ่มหน่วยงานกำกับดูแลของ 48 รัฐได้เพิ่มค่าปรับอีก 80 ล้านดอลลาร์สำหรับการละเลยการป้องกันการฟอกเงิน รวมแล้วความเสี่ยงอยู่ที่ประมาณ 255 ล้านดอลลาร์ ทั้งหมดนี้ไม่ได้เกี่ยวกับแฮกเกอร์ที่ฉลาดหลักแหลม แต่เป็นเรื่องของบริษัทที่ตัดสินใจว่าการรับโทรศัพท์เป็นเรื่องที่ไม่จำเป็น
เหตุใดการถ่ายโอนข้อมูลแบบ P2P ที่ไม่สามารถย้อนกลับได้จึงเป็นข้อบกพร่องเชิงโครงสร้าง
เบื้องหลังเรื่องการบังคับใช้กฎหมายนั้น มีการเลือกวิธีการออกแบบอยู่ แอป Cash App โอนเงินจากบัญชีหนึ่งไปยังอีกบัญชีหนึ่ง เหมือนกับการโอนเงินด้วยเงินสด เมื่อเงินถูกโอนไปแล้ว ก็ไม่มีเครือข่ายบัตรเครดิตใดที่จะสามารถยกเลิกได้ ซึ่งก็ไม่มีปัญหาอะไร จนกว่าจะมีคนถูกหลอกหรือถูกแฮ็ก แล้วโมเดล "มันก็เหมือนกับการโอนเงินด้วยเงินสด" ก็จะกลายเป็น "คุณต้องรับผิดชอบเอง" กฎหมายของรัฐบาลกลาง (ระเบียบข้อบังคับ E) กำหนดให้ธนาคารและแอปชำระเงินต้องตรวจสอบการโอนเงินทางอิเล็กทรอนิกส์ที่ไม่ได้รับอนุญาตและชดเชยความเสียหายให้กับผู้ใช้ สิ่งที่ผมคิดอยู่เสมอคือ ความผิดพลาดนั้นเป็นเรื่องธรรมดามาก ไม่ใช่การละเมิด แต่เป็นการตัดสินใจที่จะถือว่าการโอนเงินที่ไม่ได้รับอนุญาตเป็นปัญหาของลูกค้า CFPB เรียกการตัดสินใจนั้นว่าเป็นการละเมิด
ระบบตรวจจับการฉ้อโกงของ PayPal ทำงานอย่างไรกันแน่
PayPal เป็นตัวอย่างที่เห็นได้ชัดเจนว่า "อะไรได้ผล" แต่เวอร์ชันทางการตลาดนั้นผิดพลาด PayPal ไม่ได้ปราศจากการฉ้อโกง และการแสร้งทำเป็นว่าปราศจากการฉ้อโกงนั้นเป็นการปกปิดบทเรียนที่แท้จริง รายงานของ PayPal เองแสดงให้เห็นว่ามีการสูญเสียจากการทำธุรกรรมและเครดิตถึง 1.72 พันล้านดอลลาร์ในปี 2025 เพิ่มขึ้น 19% จากปีก่อนหน้า การฉ้อโกงยังคงมีอยู่และแพร่หลายภายใน PayPal ความแตกต่างอยู่ที่ว่าจะเกิดอะไรขึ้นต่อไป
การคุ้มครองผู้ซื้อและผู้ขายในฐานะกลไกการกลับคืนสภาพเดิม
PayPal สร้างระบบการยกเลิกธุรกรรมไว้ในผลิตภัณฑ์เพื่อปกป้องทั้งสองฝ่าย การซื้อที่เข้าเกณฑ์จะได้รับการคุ้มครองผู้ซื้อ และผู้ขายจะได้รับการคุ้มครองของตนเอง พร้อมด้วยกระบวนการระงับข้อพิพาทและการเรียกร้องค่าเสียหาย เมื่อเกิดการฉ้อโกง ระบบมักจะสามารถคืนเงินให้ผู้ซื้อหรือยกเลิกธุรกรรมได้ แทนที่จะปล่อยให้พวกเขาต้องรับภาระแต่เพียงผู้เดียว นี่คือสิ่งที่ Cash App ขาดไป นอกจากนี้ Cash App ยังมีค่าใช้จ่ายสูง ช้า และมีกรณีพิเศษมากมาย และ PayPal ก็ได้รับข้อร้องเรียนมากมายเกี่ยวกับเรื่องนี้ แต่ "กระบวนการระงับข้อพิพาทที่น่าหงุดหงิด" และ "สายโทรศัพท์ที่ใช้งานไม่ได้" ไม่ใช่ความล้มเหลวในระดับเดียวกัน
การประเมินความเสี่ยงด้วยการเรียนรู้ของเครื่องจักร ณ เวลาทำธุรกรรม
ชั้นที่สองคือการตรวจจับ PayPal จะประเมินธุรกรรมแบบเรียลไทม์โดยพิจารณาจากสัญญาณหลายร้อยอย่าง เช่น อุปกรณ์ สถานที่ ประวัติ ความเร็ว และพฤติกรรม เพื่อระบุธุรกรรมที่น่าสงสัยก่อนที่เงินจะถูกโอน ผลลัพธ์ที่สำคัญคือ อัตราการสูญเสียที่อยู่ใกล้เคียงกับ 0.08% ของปริมาณการชำระเงินทั้งหมด ซึ่งใกล้เคียงกับระดับต่ำสุดเป็นประวัติการณ์ แม้ว่าการสูญเสียโดยรวมจะเพิ่มขึ้นตามขนาดก็ตาม เมื่อพิจารณาตัวเลขทั้งสองนี้ร่วมกัน คุณจะได้ภาพที่แท้จริง: ปริมาณที่มากขึ้นหมายถึงเงินที่ได้จากการฉ้อโกงที่มากขึ้น แต่ระบบการให้คะแนนแบบปรับได้ช่วยรักษาอัตราการสูญเสียให้ต่ำ ระบบนี้ไม่ใช่เวทมนตร์ มันแค่ได้รับการดูแลรักษาเท่านั้น
สิ่งที่ได้ผล: แนวทางปฏิบัติที่ดีที่สุดที่ช่วยลดการฉ้อโกง
แล้วอะไรกันแน่ที่ทำให้ตัวเลขเปลี่ยนแปลง? หากตัดส่วนประกอบของผู้ขายออกไป ระบบควบคุมที่ป้องกันการทุจริตได้อย่างแท้จริงนั้นก็สั้นและน่าเบื่อ พวกมันมีลักษณะร่วมกันอย่างหนึ่งคือ พวกมันปรับตัวได้ หรือเพิ่มการตรวจสอบอิสระอีกขั้นตอนหนึ่ง แทนที่จะพึ่งพาระบบตรวจสอบแบบคงที่เพียงระบบเดียว
การตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) เป็นวิธีการควบคุมที่มีประสิทธิภาพสูงและราคาถูกที่สุด ไมโครซอฟต์รายงานว่า MFA สามารถบล็อกความพยายามในการเจาะบัญชีอัตโนมัติได้มากกว่า 99.9% และบัญชีที่ถูกเจาะเกือบทั้งหมดไม่เคยเปิดใช้งาน MFA การให้คะแนนธุรกรรมด้วยแมชชีนเลิร์นนิง การตรวจสอบลายนิ้วมือของอุปกรณ์ และไบโอเมตริกเชิงพฤติกรรม สามารถตรวจจับรูปแบบที่กฎตายตัวมองข้ามไปได้ ธนาคารแห่งหนึ่งรายงานว่าสามารถลดการสูญเสียจากการฉ้อโกงได้ประมาณ 35% หลังจากนำการวิเคราะห์เชิงพฤติกรรมมาใช้ อย่างไรก็ตาม ตัวเลขดังกล่าวเป็นรายงานจากผู้ขายและควรพิจารณาว่าเป็นเพียงตัวบ่งชี้ ไม่ใช่ข้อสรุปที่แน่นอน การตรวจสอบสิทธิ์ลูกค้าอย่างเข้มงวดผ่าน 3-D Secure 2 เพิ่มขั้นตอนการตรวจสอบในการชำระเงินด้วยบัตร ซึ่งมีต้นทุนด้านความยุ่งยาก (ประมาณหนึ่งในห้าของการพยายามตรวจสอบสิทธิ์ล้มเหลว) แต่จะช่วยลดความรับผิดชอบและหยุดการใช้บัตรที่ถูกขโมยได้เป็นอย่างมาก การตรวจสอบข้อมูลลูกค้า (Know-your-customer checks) ในขั้นตอนการลงทะเบียนและการจำกัดความเร็วในการทำรายการก็เป็นอีกวิธีหนึ่งที่ช่วยเสริมประสิทธิภาพ
| ควบคุม | สิ่งที่มันหยุด | หลักฐาน | คำตัดสิน |
|---|---|---|---|
| การตรวจสอบสิทธิ์แบบหลายปัจจัย | การเข้ายึดบัญชี | ป้องกันการโจมตีอัตโนมัติได้มากกว่า 99.9% (Microsoft) | ผลงาน |
| ML / การให้คะแนนเชิงพฤติกรรม | ธุรกรรมที่ผิดปกติ | อัตราการขาดทุนแบบเดียวกับ PayPal ใกล้เคียง 0.08% | ผลงาน |
| 3-D Secure 2 / SCA | การใช้บัตรที่ถูกขโมย | การเปลี่ยนภาระความรับผิด; ประมาณ 1 ใน 5 ละทิ้งที่อยู่อาศัย | ทำงานโดยใช้แรงเสียดทาน |
| การระบุลายนิ้วมือของอุปกรณ์ | พวกมิจฉาชีพที่กระทำการฉ้อโกงซ้ำซาก | สัญญาณมาตรฐานอุตสาหกรรม | ผลงาน |
| KYC ในขั้นตอนการลงทะเบียน | เอกลักษณ์สังเคราะห์ | เกณฑ์พื้นฐานด้านกฎระเบียบ | ผลงาน |
การแสดงความปลอดภัยที่ล้มเหลว: การป้องกันการฉ้อโกงที่ไร้ผล
ทีนี้มาถึงส่วนที่สิ้นเปลืองงบประมาณ ระบบควบคุมที่ดูเหมือนจะป้องกันการฉ้อโกงแต่แทบไม่ได้ผลอะไรเลย คำถามเพื่อความปลอดภัยนี่แหละคือตัวการที่แย่ที่สุด คำตอบ (เช่น นามสกุลเดิมของแม่ หรือสัตว์เลี้ยงตัวแรก) นั้นเดาได้ง่าย ถูกดึงข้อมูลไป หรือถูกเจาะระบบได้ และหน่วยงานมาตรฐานของสหรัฐฯ อย่าง NIST ก็ได้ห้ามใช้การตรวจสอบสิทธิ์แบบใช้ความรู้เป็นปัจจัยการเข้าสู่ระบบที่ถูกต้องแล้ว มันไม่ได้ "เพิ่มชั้นความปลอดภัย" แต่มันเพิ่มชั้นความปลอดภัยที่ผิดพลาดต่างหาก
รหัสใช้ครั้งเดียวทาง SMS คือกับดักถัดไป มันดูคล้ายกับ MFA (Multi-Factor Authentication) แต่จริงๆ แล้วมันอาศัยหมายเลขโทรศัพท์ที่ผู้โจมตีสามารถขโมยได้ผ่าน การสลับซิม ซึ่งจากการวิจัยในอุตสาหกรรมพบว่ามีโอกาสสำเร็จในครั้งแรกประมาณ 80% FBI บันทึกความเสียหายจากการสลับซิมไว้ประมาณ 26 ล้านดอลลาร์สหรัฐในปี 2024 เพียงปีเดียว นอกจากนี้ยังมีระบบที่ใช้กฎเกณฑ์ตายตัวและไม่เรียนรู้ รวมถึงคิวการตรวจสอบด้วยตนเองที่ช้า ทำให้การฉ้อโกงผ่านไปได้ก่อนที่มนุษย์จะตรวจสอบ แต่สิ่งที่แพงที่สุดและซับซ้อนที่สุดคือสิ่งที่แอป Cash App สอนเรา นั่นคือการทำให้การโอนเงินไม่สามารถย้อนกลับได้โดยค่าเริ่มต้นและเรียกมันว่าความเร็ว วิศวกรมีแนวโน้มที่จะมองว่าการย้อนกลับได้เป็นอุปสรรคที่ต้องออกแบบให้หายไป แต่สำหรับเหยื่อแล้ว มันคือประเด็นสำคัญทั้งหมด
การฉ้อโกงการเข้ายึดบัญชี: จุดที่โมเดลต่างๆ แยกออก
การฉ้อโกงโดยการเข้ายึดบัญชีผู้ใช้เป็นการทดสอบที่ชัดเจนที่สุดของข้อโต้แย้งทั้งหมดนี้ เพราะทั้งสองบริษัทเผชิญกับการโจมตีแบบเดียวกัน: อาชญากรได้ข้อมูลประจำตัวของผู้ใช้จริงและพยายามโอนเงิน ข้อมูลนำเข้าเหมือนกัน แต่ผลลัพธ์แตกต่างกันมาก
ในด้านการป้องกันนั้น วิธีการรับมือได้รับการวางรากฐานอย่างดีแล้ว ได้แก่ การบังคับใช้ MFA ที่เข้มงวด (ไม่ใช่รหัส SMS) การตรวจสอบสัญญาณพฤติกรรมสำหรับการเข้าสู่ระบบที่ไม่ตรงกับเจ้าของบัญชี และการควบคุมความเร็วในการทำธุรกรรมที่น่าสงสัย แต่การป้องกันก็มักจะมีช่องโหว่อยู่บ้าง และคำถามที่สองคือจะเกิดอะไรขึ้นเมื่อช่องโหว่นั้นเกิดขึ้น กระบวนการย้อนกลับและการโต้แย้งของ PayPal ช่วยให้ผู้ใช้ที่ถูกแฮ็กมีหนทางกลับมาใช้งานได้ ในขณะที่ท่าทีในอดีตของ Cash App ที่มองว่าการโอนเงินที่ไม่ได้รับอนุญาตเป็นปัญหาของผู้ใช้ ทำให้พวกเขาไม่มีทางออก ซึ่งเป็นสิ่งที่ทำให้เหตุการณ์ด้านความปลอดภัยกลายเป็นคดีเรียกร้องค่าเสียหายมูลค่า 175 ล้านดอลลาร์ การฉ้อโกงแบบเดียวกัน แต่ผลลัพธ์ตรงกันข้าม ตัดสินโดยนโยบายมากกว่าโค้ด
| ด้านหน้า | เช็ค | แอป Cash App (ก่อนปี 2025) |
|---|---|---|
| แบบจำลองเงิน | มีแผ่นกระดาษแข็งรองด้านหลัง ใช้ได้สองด้าน | โอนย้ายข้อมูลระหว่างบัญชี ไม่สามารถย้อนกลับได้ |
| เมื่อการฉ้อโกงเกิดขึ้น | การคุ้มครองผู้ซื้อ/ผู้ขาย, ขั้นตอนการระงับข้อพิพาท | ถือว่าเป็นปัญหาของผู้ใช้ |
| การตรวจจับ | การให้คะแนนความเสี่ยงด้วยแมชชีนเลิร์นนิงแบบเรียลไทม์ | จำกัด เน้นการเติบโตเป็นหลัก |
| การสนับสนุนการฉ้อโกง | กระบวนการเรียกร้องค่าสินไหมทดแทน (ช้าแต่มีอยู่จริง) | สายโทรศัพท์ใช้งานไม่ได้มาหลายปีแล้ว |
| บันทึกด้านกฎระเบียบ | อัตราการขาดทุนประมาณ 0.08% ตามที่เปิดเผยในเอกสารยื่นต่อหน่วยงานกำกับดูแล | คำสั่ง CFPB มูลค่า 175 ล้านดอลลาร์ และค่าปรับจากรัฐ 80 ล้านดอลลาร์ |
วิธีรับมือกับการฉ้อโกงหลังจากเกิดเหตุการณ์ขึ้นแล้ว
การตรวจจับเป็นเพียงครึ่งหนึ่งของงาน การตอบสนองต่างหากคืออีกครึ่งหนึ่งที่หน่วยงานกำกับดูแลจะประเมินผล เมื่อมีการโอนเงินที่ไม่ได้รับอนุญาตเกิดขึ้น กฎหมายขั้นต่ำสำหรับแอปพลิเคชันการชำระเงินในสหรัฐฯ คือ ข้อบังคับ E: ต้องตรวจสอบอย่างรวดเร็ว และชดเชยผู้ใช้หากการโอนนั้นไม่ได้รับอนุญาต นั่นหมายถึงการตรวจสอบอย่างจริงจัง มีเจ้าหน้าที่ที่สามารถติดต่อได้ และมีกำหนดเวลา ค่าใช้จ่าย 175 ล้านดอลลาร์ของ Cash App ไม่ได้เกี่ยวข้องกับการถูกแฮ็ก แต่เป็นเรื่องที่ว่าบริษัทตอบสนองอย่างไรหลังจากนั้น หรือปฏิเสธที่จะตอบ สร้างการตอบสนองที่ดี ไม่ใช่แค่สร้างกำแพง
แนวโน้มการฉ้อโกง: ทิศทางการป้องกันในอนาคต
ขั้นตอนต่อไปคือการแข่งขันด้านอาวุธที่ใช้อาวุธเดียวกันทั้งสองฝ่าย ปัญญาประดิษฐ์เชิงสร้างสรรค์ (Generative AI) กำลังขับเคลื่อนช่องทางการโจมตีที่เติบโตเร็วที่สุด: Deloitte คาดการณ์ว่าความเสียหายจากการฉ้อโกงที่ใช้ AI ในสหรัฐอเมริกาจะเพิ่มขึ้นจาก 12.3 พันล้านดอลลาร์ในปี 2023 เป็นประมาณ 40 พันล้านดอลลาร์ในปี 2027 และการหลอกลวงที่ขับเคลื่อนด้วย deepfake จะพุ่งสูงขึ้นเป็นหลายพันล้านดอลลาร์ในปี 2025 ตามการประมาณการของอุตสาหกรรม เทคโนโลยีเดียวกันนี้ยังขับเคลื่อนการป้องกันที่ดีที่สุดด้วย รายงานของ Nilson ยกย่อง AI ว่าเป็นผู้สร้างแบบจำลองการต่อสู้กับการฉ้อโกงที่แข็งแกร่งที่สุดเท่าที่อุตสาหกรรมบัตรเครดิตเคยมีมา ใครก็ตามที่พัฒนาได้เร็วกว่าจะเป็นผู้ชนะ ซึ่งเป็นเหตุผลว่าทำไมการป้องกันแบบคงที่จึงล้มเหลว และการป้องกันแบบปรับตัวได้จึงไม่ล้มเหลว
สิ่งนี้หมายความว่าอย่างไรสำหรับการป้องกันการฉ้อโกงการชำระเงิน
บทเรียนจาก PayPal และ Cash App ไม่ใช่ "ใช้เงินกับเทคโนโลยีมากขึ้น" เพราะทั้งสองบริษัทใช้เงินไปเยอะแล้ว สิ่งที่ได้ผลดีที่สุดคือการลงทุนที่แคบและไม่หวือหวา: ความสามารถในการยกเลิกธุรกรรม ความรับผิดชอบ และการควบคุมบางอย่างที่ปรับตัวได้จริง แทนที่จะเสแสร้ง การแสดงละครนั้นถูกกว่า จนกว่าหน่วยงานกำกับดูแลจะตีราคาไว้ที่ 175 ล้านดอลลาร์ ดังนั้น จงตรวจสอบระบบของคุณเทียบกับตารางข้างต้น และถามคำถามเดียวที่สำคัญที่สุด หากคุณไม่สามารถยกเลิกการโอนเงินที่ฉ้อโกง หรือรับโทรศัพท์เมื่อลูกค้าถูกปล้น คุณก็ไม่มีการป้องกันการฉ้อโกงการชำระเงิน คุณมีเพียงแค่โลโก้เท่านั้น
