Phòng chống gian lận thanh toán: Điều gì hiệu quả và điều gì chỉ là trò diễn.
Hai ứng dụng thanh toán, cùng một mối đe dọa, nhưng kết quả trái ngược. Một bên là Cash App, công ty mẹ của ứng dụng này đã bị yêu cầu trả 175 triệu đô la vào đầu năm 2025 vì cách xử lý các khiếu nại gian lận của khách hàng. Bên kia là PayPal , ứng dụng đã xử lý hơn một nghìn tỷ đô la trong năm đó nhưng vẫn giữ tỷ lệ tổn thất ở mức gần 0,08%. Cả hai đều đối mặt với cùng một nhóm tội phạm, cùng những thẻ bị đánh cắp, cùng những kịch bản lừa đảo qua mạng xã hội. Vậy tại sao một ứng dụng lại xuất hiện trong thông cáo báo chí của cơ quan quản lý, còn ứng dụng kia lại chỉ được nhắc đến trong phần chú thích của báo cáo thu nhập?
Khoảng cách không phải là ngân sách. Mà là mỗi công ty đặt cược vào những biện pháp kiểm soát nào. Hầu hết những gì được coi là phòng chống gian lận thanh toán chỉ là hình thức: nó trông có vẻ đáng tin cậy, nó lấp đầy một slide, nhưng lại hầu như không ngăn chặn được gì. Chỉ một số ít biện pháp kiểm soát mới thực sự hiệu quả. PayPal và Cash App là một ví dụ điển hình giúp phân biệt hai loại này, bởi vì trong trường hợp của họ, cơ quan quản lý đã đánh giá hộ chúng ta. Đây là một cẩm nang thực tiễn về những gì hiệu quả và những gì âm thầm thất bại.
Gian lận thanh toán gây thiệt hại cho nền kinh tế hiện nay như thế nào?
Những con số thống kê quá lớn đến mức khiến người ta choáng váng. Theo Mạng lưới Giám sát Người tiêu dùng của FTC , người Mỹ đã báo cáo mất 12,5 tỷ đô la do gian lận trong năm 2024, tăng 25% chỉ trong một năm. Gian lận thẻ trên toàn thế giới đạt 33,41 tỷ đô la, và Hoa Kỳ chiếm khoảng 42% tổng số thiệt hại đó, với khoảng một phần tư tổng số giao dịch thẻ toàn cầu.
Thông tin hữu ích hơn lại nằm ẩn dưới những con số tổng: tiền thực sự bị thất thoát ở đâu. Hai phương thức thanh toán gây thiệt hại nhiều nhất là chuyển khoản ngân hàng (2,09 tỷ đô la) và tiền điện tử (1,42 tỷ đô la) — chứ không phải thẻ tín dụng. Đó không phải là sự trùng hợp ngẫu nhiên. Những hệ thống này được xây dựng để chuyển tiền nhanh chóng và hiệu quả, mà không có cách nào để thu hồi lại. Các mạng lưới thẻ tín dụng có hàng thập kỷ kinh nghiệm trong việc giải quyết tranh chấp. Còn chuyển khoản giữa các tài khoản thường không có hệ thống tương tự. Gian lận thường đi theo con đường khó đảo ngược nhất.
| Số liệu (mới nhất) | Nhân vật | Nguồn |
|---|---|---|
| Thiệt hại do gian lận được báo cáo tại Mỹ, năm 2024 | 12,5 tỷ đô la (tăng 25% so với cùng kỳ năm ngoái) | Ủy ban Thương mại Liên bang (FTC) - Người tiêu dùng được bảo vệ |
| Phương thức thua lỗ hàng đầu: chuyển khoản ngân hàng | 2,09 tỷ đô la | FTC, 2024 |
| thua lỗ tiền điện tử | 1,42 tỷ đô la | FTC, 2024 |
| Thiệt hại do gian lận thẻ tín dụng trên toàn cầu, năm 2024 | 33,41 tỷ đô la | Báo cáo Nilson |
| Tỷ lệ gian lận thẻ tín dụng toàn cầu ở Mỹ | ~42% (trên ~26% thể tích) | Báo cáo Nilson |
Các loại gian lận thanh toán phổ biến, được xếp hạng theo đối tượng thanh toán.
Mọi hướng dẫn về phòng chống gian lận đều đưa ra cùng một danh sách gồm hàng tá loại hình tấn công. Việc phân loại chúng theo đối tượng chịu thiệt hại thực sự sẽ hữu ích hơn, bởi vì đó là yếu tố quyết định xem bạn có nên quan tâm hay không. Các loại hình gian lận thanh toán phổ biến không phân bổ thiệt hại đồng đều.
Tấn công chiếm đoạt email doanh nghiệp và lừa đảo thanh toán chuyển khoản ủy quyền đứng đầu danh sách các hình thức lừa đảo, bởi vì chúng lừa nạn nhân tự gửi tiền và thường không thể lấy lại được. UK Finance ghi nhận 257,5 triệu bảng Anh tiền gian lận thanh toán chuyển khoản chỉ trong nửa đầu năm 2025, tăng 12% so với năm trước. Tiếp theo là chiếm đoạt tài khoản: kẻ gian lận xâm nhập vào một tài khoản thật và rút hết tiền, điều này có nghĩa là chủ sở hữu hợp pháp phải chứng minh rằng đó không phải là họ. Gian lận thẻ tín dụng rất phổ biến nhưng đối với người tiêu dùng, phần lớn được nhà phát hành thẻ bù đắp thông qua việc hoàn tiền. Sau đó là gian lận thân thiện, trong đó một khách hàng thực sự tranh chấp một giao dịch mua hàng thực sự - ước tính chiếm từ 75% đến 79% các khoản hoàn tiền thương mại điện tử, và người bán phải trả tiền. Lừa đảo Deepfake và giả mạo giọng nói là những hình thức mới xuất hiện, hiện tại giá trị nhỏ nhưng đang tăng nhanh. Mô hình rất đơn giản: phương thức thanh toán càng khó đảo ngược, thì nạn nhân càng ít có khả năng tự bảo vệ mình nhất.
Cash App: một nghiên cứu điển hình về phòng chống gian lận trong thực tiễn.
Nếu bạn muốn thấy việc phòng chống gian lận trên quy mô lớn trông như thế nào, hãy nhìn vào Cash App. Khi các cơ quan quản lý vào cuộc, ứng dụng này đã có khoảng 56 triệu tài khoản hoạt động và một giao diện mượt mà, thân thiện. Nhưng điều mà nó thiếu chính là bộ máy vận hành không mấy hào nhoáng phía sau màn hình: các cuộc điều tra thực sự, một đường dây điện thoại hoạt động hiệu quả, và bất kỳ cảm giác nào cho thấy việc chuyển tiền trái phép là vấn đề mà công ty cần phải giải quyết.
Những gì các nhà quản lý thực sự tìm thấy
Vào tháng 1 năm 2025, Cục Bảo vệ Tài chính Người tiêu dùng (CFPB) đã ra lệnh cho Block, công ty mẹ của Cash App, phải trả 175 triệu đô la — 120 triệu đô la để bồi thường cho người dùng bị thiệt hại và 55 triệu đô la tiền phạt . Ngôn từ trong lệnh này cần được đọc kỹ. CFPB cho biết công ty đã sử dụng "các phương pháp điều tra cẩu thả có chủ ý" để đóng các báo cáo gian lận theo hướng có lợi cho chính mình. Khách hàng gọi đến đường dây tố cáo gian lận chỉ nhận được một tin nhắn ghi âm sẵn; trong nhiều năm, hoàn toàn không có nhân viên trực tiếp nào để liên lạc. Cùng tháng đó, một liên minh gồm 48 cơ quan quản lý tiểu bang đã bổ sung thêm một khoản phạt riêng biệt 80 triệu đô la vì những thiếu sót trong việc chống rửa tiền. Tổng thiệt hại ước tính khoảng 255 triệu đô la. Tất cả những điều đó không phải do tin tặc tinh ranh gây ra. Mà là do một công ty đã quyết định rằng việc trả lời điện thoại là tùy chọn.
Vì sao các giao dịch P2P không thể đảo ngược lại là lỗi cấu trúc?
Ẩn sau câu chuyện về việc thực thi quy định là một lựa chọn thiết kế. Cash App chuyển tiền từ tài khoản này sang tài khoản khác, giống như tiền mặt. Một khi tiền đã chuyển đi, không có mạng lưới thẻ nào để hoàn trả lại. Điều đó ổn cho đến khi ai đó bị lừa hoặc bị hack, và khi đó mô hình "giống như tiền mặt" trở thành "bạn phải tự lo liệu". Luật liên bang (Quy định E) thực tế yêu cầu các ngân hàng và ứng dụng thanh toán phải điều tra các giao dịch chuyển khoản điện tử trái phép và bồi thường cho người dùng. Điều tôi luôn quay lại là sự cố đó rất bình thường: không phải là vi phạm, chỉ là quyết định coi các giao dịch chuyển khoản trái phép là vấn đề của khách hàng. CFPB gọi quyết định đó là một vi phạm.
Cơ chế phát hiện gian lận của PayPal hoạt động như thế nào?
PayPal là ví dụ điển hình về "điều hiệu quả", nhưng phiên bản tiếp thị lại sai. PayPal không hoàn toàn không có gian lận, và việc giả vờ như không có gian lận che giấu bài học thực sự. Báo cáo của chính họ cho thấy tổn thất giao dịch và tín dụng lên tới 1,72 tỷ đô la vào năm 2025, tăng 19% so với năm trước. Gian lận vẫn tồn tại và phát triển mạnh mẽ bên trong PayPal. Sự khác biệt nằm ở những gì xảy ra tiếp theo.
Bảo vệ người mua và người bán như một lớp đảo ngược.
PayPal đã tích hợp tính năng hoàn trả vào sản phẩm để bảo vệ cả hai bên trong giao dịch. Các giao dịch đủ điều kiện được bảo vệ bởi Chính sách Bảo vệ Người mua, và người bán cũng được bảo vệ riêng, với quy trình giải quyết tranh chấp và khiếu nại được hỗ trợ thêm. Khi xảy ra gian lận, hệ thống thường có thể hoàn tiền cho người mua hoặc đảo ngược giao dịch thay vì khiến họ gặp rắc rối. Đó chính là lớp bảo vệ mà Cash App thiếu. Cash App cũng đắt đỏ, chậm chạp và đầy rẫy các trường hợp ngoại lệ, và PayPal nhận được rất nhiều lời phàn nàn về điều này. Nhưng "quy trình giải quyết tranh chấp gây khó chịu" và "đường dây điện thoại bị ngắt" không thuộc cùng một loại lỗi.
Hệ thống chấm điểm rủi ro bằng máy học tại thời điểm giao dịch
Lớp thứ hai là phát hiện. PayPal chấm điểm các giao dịch trong thời gian thực dựa trên hàng trăm tín hiệu — thiết bị, vị trí, lịch sử, tốc độ, hành vi — để gắn cờ những giao dịch có dấu hiệu bất thường trước khi tiền được chuyển đi. Kết quả nổi bật là tỷ lệ thất thoát luôn ở mức gần 0,08% tổng khối lượng thanh toán, gần mức thấp kỷ lục, ngay cả khi tổn thất tuyệt đối tăng lên theo quy mô. Đọc hai con số đó cùng nhau, bạn sẽ có được bức tranh trung thực: khối lượng giao dịch càng lớn thì số tiền gian lận càng nhiều, nhưng hệ thống chấm điểm thích ứng giúp giữ tỷ lệ này ở mức thấp. Hệ thống này không phải là phép thuật. Nó chỉ được duy trì mà thôi.
Những biện pháp hiệu quả: các phương pháp tốt nhất giúp giảm thiểu gian lận
Vậy điều gì thực sự làm thay đổi con số? Loại bỏ các tài liệu của nhà cung cấp và các biện pháp kiểm soát thực sự ngăn ngừa gian lận thì chúng khá đơn giản và nhàm chán. Chúng có một đặc điểm chung: chúng thích ứng hoặc bổ sung thêm một bước kiểm tra độc lập thứ hai, thay vì tin tưởng vào một cổng kiểm soát tĩnh duy nhất.
Xác thực đa yếu tố (MFA) là biện pháp kiểm soát hiệu quả cao và tiết kiệm chi phí nhất hiện nay. Microsoft báo cáo rằng MFA chặn hơn 99,9% các nỗ lực xâm phạm tài khoản tự động, và gần như tất cả các tài khoản bị xâm phạm đều chưa từng bật tính năng này. Hệ thống chấm điểm giao dịch bằng máy học, nhận dạng thiết bị và sinh trắc học hành vi giúp phát hiện các mẫu giao dịch mà các quy tắc cố định bỏ sót; một ngân hàng báo cáo đã giảm tổn thất do gian lận khoảng 35% sau khi triển khai phân tích hành vi, mặc dù con số này do nhà cung cấp báo cáo và chỉ mang tính chất tham khảo, chứ không phải là kết luận tuyệt đối. Xác thực khách hàng mạnh mẽ thông qua 3D Secure 2 bổ sung thêm bước xác minh cho các khoản thanh toán bằng thẻ; điều này gây ra một số bất lợi (khoảng một trong năm lần xác thực không thành công), nhưng nó giúp chuyển trách nhiệm và ngăn chặn một phần đáng kể việc sử dụng thẻ bị đánh cắp. Kiểm tra thông tin khách hàng (KYC) khi đăng ký và giới hạn tốc độ giao dịch cũng là những biện pháp bảo vệ khác.
| Điều khiển | Điều nó ngăn chặn | Chứng cớ | Phán quyết |
|---|---|---|---|
| Xác thực đa yếu tố | Chiếm đoạt tài khoản | Chặn hơn 99,9% các cuộc tấn công tự động (Microsoft) | Tác phẩm |
| ML / chấm điểm hành vi | Giao dịch bất thường | Tỷ lệ mất mát tương tự như PayPal, ở mức khoảng 0,08%. | Tác phẩm |
| 3-D Secure 2 / SCA | Sử dụng thẻ bị đánh cắp | Chuyển giao trách nhiệm; khoảng 1 trong 5 người bỏ đi | Hoạt động nhờ ma sát. |
| Nhận dạng dấu vân tay thiết bị | Những kẻ lừa đảo tái phạm | Tín hiệu tiêu chuẩn ngành | Tác phẩm |
| Xác minh danh tính khách hàng (KYC) khi đăng ký. | Danh tính tổng hợp | Cơ sở pháp lý | Tác phẩm |
Màn kịch an ninh: biện pháp bảo vệ chống gian lận thất bại
Giờ đến những thứ lãng phí ngân sách, những biện pháp kiểm soát tạo cảm giác như bảo vệ chống gian lận nhưng hầu như không mang lại hiệu quả gì. Câu hỏi bảo mật là thủ phạm tồi tệ nhất. Câu trả lời (tên thời con gái của mẹ bạn, thú cưng đầu tiên của bạn) đều có thể đoán được, bị đánh cắp hoặc bị lộ, và tổ chức tiêu chuẩn NIST của Mỹ hiện đã chính thức cấm xác thực dựa trên kiến thức như một yếu tố đăng nhập hợp lệ. Nó không "thêm một lớp bảo mật". Nó chỉ thêm một lớp bảo mật giả tạo.
Mã xác thực một lần qua SMS là cái bẫy tiếp theo. Chúng tạo cảm giác giống như xác thực đa yếu tố (MFA), nhưng lại dựa trên số điện thoại mà kẻ tấn công có thể đánh cắp thông qua việc hoán đổi SIM , mà theo nghiên cứu của ngành, tỷ lệ thành công trong lần thử đầu tiên khoảng 80%; FBI đã ghi nhận khoảng 26 triệu đô la thiệt hại do hoán đổi SIM chỉ riêng trong năm 2024. Sau đó là các hệ thống tĩnh, chỉ dựa trên quy tắc và không bao giờ học hỏi, cùng với các hàng đợi xem xét thủ công chậm chạp cho phép gian lận diễn ra trước khi con người kiểm tra. Chiêu trò tốn kém nhất trong tất cả là điều mà Cash App đã dạy chúng ta: mặc định làm cho các giao dịch không thể đảo ngược và gọi đó là tốc độ. Các kỹ sư thường coi khả năng đảo ngược là trở ngại cần loại bỏ trong thiết kế. Đối với nạn nhân, đó lại là toàn bộ mục đích.
Gian lận chiếm đoạt tài khoản: các mô hình phân hóa ở đâu
Gian lận chiếm đoạt tài khoản là phép thử rõ ràng nhất cho toàn bộ lập luận này, bởi vì cả hai công ty đều phải đối mặt với cùng một kiểu tấn công: tội phạm lấy được thông tin đăng nhập của người dùng thật và cố gắng chuyển tiền. Cùng một đầu vào, nhưng đầu ra rất khác nhau.
Về phía phòng ngừa, biện pháp đối phó đã được thiết lập rõ ràng: thực thi xác thực đa yếu tố mạnh mẽ (không phải mã SMS), theo dõi các tín hiệu hành vi để phát hiện đăng nhập không khớp với chủ sở hữu và hạn chế tốc độ truy cập đáng ngờ. Nhưng phòng ngừa luôn có những lỗ hổng, và câu hỏi thứ hai là điều gì xảy ra khi điều đó xảy ra. Quy trình hoàn trả và giải quyết tranh chấp của PayPal cho phép người dùng bị chiếm đoạt tài khoản có con đường quay lại. Lập trường trước đây của Cash App, cho rằng việc chuyển khoản trái phép là vấn đề của người dùng, đã khiến họ rơi vào thế khó, và chính điều đó đã biến một sự cố bảo mật thành một vụ kiện đòi trách nhiệm trị giá 175 triệu đô la. Cùng một hành vi gian lận, nhưng kết cục trái ngược, được quyết định bởi một lựa chọn chính sách chứ không phải một đoạn mã.
| Đằng trước | PayPal | Ứng dụng Cash App (trước năm 2025) |
|---|---|---|
| Mô hình tiền tệ | Có bìa cứng, có thể đảo mặt | Giao dịch giữa các tài khoản, không thể đảo ngược. |
| Khi gian lận xảy ra | Bảo vệ người mua/người bán, quy trình giải quyết tranh chấp | Được xem là vấn đề của người dùng. |
| Phát hiện | Chấm điểm rủi ro ML theo thời gian thực | Giới hạn, ưu tiên tăng trưởng |
| Hỗ trợ chống gian lận | Quy trình giải quyết khiếu nại (chậm nhưng có thật) | Đường dây điện thoại bị hỏng suốt nhiều năm. |
| Hồ sơ pháp lý | Tỷ lệ tổn thất ~0,08% được công bố trong hồ sơ. | Lệnh của CFPB trị giá 175 triệu đô la, tiền phạt của tiểu bang là 80 triệu đô la. |
Cách ứng phó với gian lận sau khi nó xảy ra
Phát hiện chỉ là một nửa công việc; phản hồi mới là nửa mà các cơ quan quản lý thực sự đánh giá. Khi một giao dịch chuyển khoản trái phép lọt qua, quy định pháp lý tối thiểu đối với các ứng dụng thanh toán tại Mỹ là Quy định E: điều tra kịp thời và bồi thường đầy đủ cho người dùng nếu giao dịch đó không được ủy quyền. Điều đó có nghĩa là một cuộc điều tra thực sự, một người có thể liên lạc được và một thời hạn nhất định. Hóa đơn 175 triệu đô la của Cash App không liên quan gì đến việc bị tấn công mạng. Vấn đề nằm ở cách công ty phản hồi sau đó, hoặc từ chối phản hồi. Hãy xây dựng phương án phản hồi, chứ không chỉ là bức tường phòng thủ.
Xu hướng gian lận: phòng chống gian lận sẽ đi về đâu?
Giai đoạn tiếp theo là cuộc chạy đua vũ trang, cả hai phía đều sử dụng cùng một loại vũ khí. Trí tuệ nhân tạo tạo sinh (Generative AI) đang thúc đẩy phương thức tấn công phát triển nhanh nhất: Deloitte dự báo thiệt hại do gian lận bằng AI tại Mỹ sẽ tăng từ 12,3 tỷ đô la vào năm 2023 lên khoảng 40 tỷ đô la vào năm 2027, và các vụ lừa đảo dựa trên deepfake đã tăng lên hàng tỷ đô la vào năm 2025 theo ước tính của ngành. Công nghệ tương tự cũng thúc đẩy khả năng phòng thủ tốt nhất. Báo cáo Nilson ghi nhận AI đã tạo ra các mô hình chống gian lận mạnh mẽ nhất mà ngành công nghiệp thẻ tín dụng từng có. Ai cải tiến nhanh hơn sẽ thắng vòng này, đó chính là lý do tại sao các hệ thống phòng thủ tĩnh sẽ thất bại còn các hệ thống thích ứng thì không.
Điều này có ý nghĩa gì đối với việc phòng chống gian lận thanh toán?
Bài học từ PayPal và Cash App không phải là "chi nhiều hơn cho công nghệ". Cả hai đều đã chi rất nhiều. Điều quan trọng là phải có những biện pháp đơn giản và không hào nhoáng: khả năng hoàn trả, trách nhiệm giải trình, và một vài biện pháp kiểm soát thích ứng thay vì chỉ giả vờ. Việc phô trương thì rẻ hơn, cho đến khi cơ quan quản lý phạt bạn 175 triệu đô la. Vì vậy, hãy tự kiểm tra hệ thống của mình so với bảng trên và đặt câu hỏi duy nhất quan trọng: Nếu bạn không thể hoàn trả một giao dịch gian lận hoặc nhấc máy khi khách hàng bị lừa đảo, bạn không có biện pháp phòng chống gian lận thanh toán. Bạn chỉ có một logo.
