支付欺诈防范:哪些有效,哪些无效
两款支付应用,同样的威胁,却截然不同的结果。一边是 Cash App,其母公司因处理客户欺诈索赔的方式不当,被勒令在 2025 年初支付 1.75 亿美元。另一边是PayPal ,当年交易额超过万亿美元,但损失率却保持在交易额的 0.08% 左右。两款应用都面临着同样的欺诈者、同样的被盗信用卡、同样的社交工程攻击脚本。那么,为什么一款应用最终出现在监管机构的新闻稿中,而另一款应用却只出现在财报电话会议的脚注里呢?
差距不在于预算,而在于各公司押注于哪些管控措施。大多数所谓的支付欺诈防范措施都只是作秀:它们看起来令人放心,能填满幻灯片,但实际上几乎什么也阻止不了。真正有效的管控措施寥寥无几。PayPal 和 Cash App 就是一个清晰的天然实验案例,可以用来区分两者,因为监管机构已经为它们进行了评估。以下是一份实用指南,展示了哪些措施行之有效,哪些措施悄然失效。
支付欺诈现在给经济造成了多大的损失
这些数字之大令人震惊。 据美国联邦贸易委员会消费者哨兵网络(Consumer Sentinel Network)的数据显示,2024年美国人因欺诈损失了125亿美元,一年内增长了25%。全球信用卡欺诈损失高达334.1亿美元,其中美国约占全球信用卡交易量的四分之一,却承担了约42%的损失。
更重要的事实隐藏在总额之下:资金究竟从何流失。据报告,损失金额最高的两种支付方式是银行转账(20.9亿美元)和加密货币(14.2亿美元),而非银行卡。这并非巧合。这些支付渠道旨在快速便捷地转移资金,却没有内置的追回机制。银行卡网络拥有数十年的纠纷处理机制,而账户间转账通常缺乏此类机制。欺诈行为总是沿着最难逆转的路径进行。
| 指标(最新) | 数字 | 来源 |
|---|---|---|
| 美国报告的欺诈损失,2024 年 | 125亿美元(同比增长25%) | 美国联邦贸易委员会消费者哨兵 |
| 损失最大的方式:银行转账 | 20.9亿美元 | 美国联邦贸易委员会,2024年 |
| 加密货币损失 | 14.2亿美元 | 美国联邦贸易委员会,2024年 |
| 2024年全球信用卡欺诈损失 | 334.1亿美元 | 尼尔森报告 |
| 美国在全球信用卡欺诈中所占份额 | 约42%(占总体积的约26%) | 尼尔森报告 |
常见的支付欺诈类型,按付款方排序
每本防诈骗指南都会列出十几种相同的攻击类型。更有效的做法是按实际损失承担者进行排序,因为这决定了你是否应该重视这些攻击。常见的支付诈骗类型造成的损失并非均等。
商业电子邮件诈骗和授权推送支付诈骗位居榜首,因为它们诱骗受害者自行汇款,而且受害者通常无法追回损失。英国金融协会 (UK Finance) 记录显示,仅在 2025 年上半年,推送支付诈骗金额就高达 2.575 亿英镑,比上年增长 12%。账户盗用紧随其后:诈骗分子入侵真实账户并将其中的资金全部盗走,这意味着合法账户持有人必须证明并非自己所为。信用卡诈骗十分普遍,但对消费者而言,大部分损失最终由发卡机构通过拒付来承担。此外还有“友好欺诈”,即真实客户对真实购买行为提出异议——据估计,此类欺诈占电子商务拒付总额的 75% 至 79%,最终由商家承担损失。深度伪造和语音克隆诈骗是新出现的诈骗手段,目前金额较小,但增长迅速。其规律很简单:支付方式的可逆性越低,诈骗就越容易落入最无力承担损失的人手中。
Cash App:欺诈预防案例研究
如果你想看看大规模的防欺诈作秀是什么样子,看看Cash App就知道了。监管机构介入时,它已经拥有大约5600万个活跃账户,而且应用程序界面简洁友好。但它缺少的是屏幕背后那些不为人知的运作机制:真正的调查、畅通的电话热线,以及公司认为未经授权的转账是自身责任的意识。
监管机构实际发现了什么
2025年1月,美国消费者金融保护局(CFPB)责令Cash App的母公司Block支付1.75亿美元——其中1.2亿美元赔偿受害用户,5500万美元罚款。这份判决书的措辞值得仔细研读。CFPB指出,该公司“故意草率地进行调查”,以求在欺诈案件中为自己谋利。拨打欺诈举报热线的用户只能听到预先录制的语音留言;多年来,根本无法联系到任何真人客服。同月,由48个州监管机构组成的联盟又追加了8000万美元的罚款,原因是Block在反洗钱方面存在失职。总计损失约2.55亿美元。这一切并非源于黑客的狡猾,而是因为这家公司认为接听电话是可有可无的。
为什么不可逆的P2P转账是结构性缺陷
在执法事件的背后,隐藏着一个设计选择。Cash App 的转账方式与现金转账类似,都是在不同的账户之间进行。一旦资金转移出去,没有任何卡组织可以追回损失。这在用户被欺骗或账户被盗用之前是没问题的,但一旦发生这种情况,“就像现金一样”的模式就变成了“你只能自求多福”。联邦法律(E条例)实际上要求银行和支付应用程序调查未经授权的电子转账,并赔偿用户的损失。我一直关注的是,这种失误其实很常见:它并非数据泄露,而仅仅是将未经授权的转账视为用户自身问题的决定。但美国消费者金融保护局(CFPB)却将这种决定视为违规行为。
PayPal的欺诈检测机制是如何运作的
PayPal 是“行之有效”的典型例子,但其营销宣传却存在问题。PayPal 并非完全杜绝欺诈,而掩盖真相只会让人更加困惑。其自身披露的文件显示,到 2025 年,交易和信用损失将达到 17.2 亿美元,比上一年增长 19%。欺诈在 PayPal 内部依然猖獗。关键在于接下来会发生什么。
买卖双方保护作为可逆层
PayPal 在产品中内置了可逆机制,以保障交易双方的安全。符合条件的购买可享受买家保障,卖家也有自己的保障,此外还有争议和索赔流程。一旦发生欺诈,系统通常可以退款给买家或撤销交易,而不是让买家蒙受损失。这正是 Cash App 所缺乏的。此外,PayPal 的费用高昂、速度慢,而且存在诸多特殊情况,因此也收到了大量用户投诉。但是,“令人沮丧的争议处理流程”和“无法接通的电话”并非同一类型的失败。
交易时机器学习风险评分
第二层是检测。PayPal 会根据数百个信号(设备、位置、历史记录、交易速度、行为等)实时对交易进行评分,从而在资金转移前标记出可疑交易。最终结果是,即使绝对损失随着规模的扩大而增加,损失率也一直徘徊在总支付额的 0.08% 左右,接近历史最低水平。将这两个数字结合起来,就能得出真实的结论:交易量越大,欺诈金额自然也就越大,但自适应评分机制有效地降低了损失率。这套系统并非魔法,而是需要持续维护。
行之有效的方法:减少欺诈的最佳实践
那么,究竟是什么因素真正影响了欺诈率呢?抛开供应商的繁琐流程,真正能防止欺诈的控制措施其实既简短又乏味。它们有一个共同的特点:它们会根据实际情况进行调整,或者增加第二道独立的检查,而不是依赖单一的静态验证。
多因素身份验证是成本最低、效果最显著的控制措施。微软报告称,多因素身份验证可以阻止超过 99.9% 的自动化账户盗用尝试,而且几乎所有被盗用的账户都从未启用过该功能。机器学习交易评分、设备指纹识别和行为生物识别技术能够捕捉到固定规则无法识别的模式;一家银行报告称,在部署行为分析后,欺诈损失减少了约 35%,但该数据由供应商提供,仅供参考,并非绝对标准。通过3-D Secure 2进行强客户身份验证,可以在信用卡支付过程中增加一个验证步骤;虽然这会带来一定的摩擦成本(大约五分之一的身份验证尝试会失败),但它可以转移责任,并有效阻止相当一部分被盗信用卡的使用。此外,在客户注册时进行“了解你的客户”(KYC)检查以及限制交易速度也是有效的安全措施。
| 控制 | 它阻止了什么 | 证据 | 判决 |
|---|---|---|---|
| 多因素身份验证 | 账户接管 | 拦截超过 99.9% 的自动化攻击(微软) | 作品 |
| 机器学习/行为评分 | 异常交易 | PayPal式的损失率接近0.08% | 作品 |
| 3-D Secure 2 / SCA | 盗刷信用卡 | 责任转移;约五分之一的人放弃 | 摩擦力作用 |
| 设备指纹识别 | 惯犯诈骗犯 | 行业标准信号 | 作品 |
| 在入职流程中进行 KYC 认证 | 合成身份 | 监管基线 | 作品 |
安全作秀:失败的欺诈保护
现在来说说那些浪费预算、看似能防欺诈实则几乎毫无作用的控制措施。安全问题就是其中最糟糕的例子。答案(比如你母亲的娘家姓、你的第一只宠物)很容易被猜到、抓取或破解,美国标准组织NIST现在正式禁止将基于知识的身份验证作为有效的登录因素。它不是“增加了一层安全保障”,而是增加了一层虚假的安全保障。
短信验证码是下一个陷阱。它们看似多因素身份验证(MFA),但实际上依赖于攻击者可以通过SIM卡交换窃取的电话号码。行业研究表明,SIM卡交换首次尝试的成功率高达80%左右;仅2024年,FBI记录的SIM卡交换损失就高达约2600万美元。此外,还有那些只会执行固定规则、永不学习的静态引擎,以及缓慢的人工审核流程,这些流程会让欺诈行为在人工审核之前就被放行。而最昂贵的骗局莫过于Cash App教给我们的:默认设置转账不可逆,并美其名曰“速度”。工程师往往把可逆性视为设计上的障碍,并试图将其消除。但对受害者而言,这恰恰是骗局的关键所在。
账户盗用欺诈:模型分裂
账户盗用欺诈是对整个论点最直接的检验,因为两家公司面临的攻击完全相同:犯罪分子获取了真实用户的凭证,并试图转移资金。同样的输入,却产生了截然不同的结果。
在预防方面,应对措施已经相当成熟:强制执行强大的多因素身份验证(而非短信验证码),监控与账户所有者不符的登录行为,并限制可疑交易的进行速度。但预防措施总会有漏洞,第二个问题是,一旦出现漏洞该怎么办。PayPal 的可逆性和争议处理流程为被盗用户提供了恢复账户的途径。而 Cash App 过去一直认为未经授权的转账是用户自身的问题,这使得用户束手无策,也正是这一点最终导致一起安全事件演变成 1.75 亿美元的追责案件。同样的欺诈行为,却有着截然相反的结局,而决定因素在于政策选择而非代码本身。
| 正面 | PayPal | Cash App(2025 年前) |
|---|---|---|
| 货币模型 | 卡背式,可双面使用 | 账户对账户,不可逆转 |
| 当欺诈发生时 | 买家/卖家保护,纠纷解决途径 | 视为用户的问题 |
| 检测 | 实时机器学习风险评分 | 有限,增长优先 |
| 欺诈支持 | 理赔流程(缓慢但真实有效) | 电话线多年未接通 |
| 监管记录 | 文件中披露的损失率约为0.08%。 | 美国消费者金融保护局(CFPB)责令罚款1.75亿美元,州政府罚款8000万美元。 |
发生欺诈事件后该如何应对
检测只是成功的一半;监管机构真正评判的是应对措施。当未经授权的转账漏网时,美国支付应用程序的法律底线是E条例:必须立即调查,如果转账未经授权,则必须全额赔偿用户。这意味着要进行真正的调查,安排专人负责,并且要有时间限制。Cash App被罚款1.75亿美元与黑客攻击无关,而是与该公司事后的应对措施(或拒绝应对)有关。关键在于建立有效的应对机制,而不仅仅是设置障碍。
欺诈趋势:预防措施的发展方向
下一阶段将是一场双方都使用同一种武器的军备竞赛。生成式人工智能正在驱动增长最快的攻击手段:德勤预测,美国因人工智能引发的欺诈损失将从2023年的123亿美元飙升至2027年的约400亿美元,而据业内估计,深度伪造技术引发的诈骗将在2025年达到数十亿美元。然而,同样的技术也驱动着最佳的防御手段。《尼尔森报告》指出,人工智能打造了信用卡行业迄今为止最强大的反欺诈模型。谁迭代速度更快,谁就能赢得胜利,这正是静态防御注定失败而自适应防御却能取胜的原因。
这对预防支付欺诈意味着什么
PayPal 和 Cash App 的教训并非“在技术上投入更多资金”。它们都投入了大量资金。制胜之道在于一些看似不起眼却至关重要的东西:可逆性、问责制以及一些能够灵活应对而非虚张声势的控制措施。作秀固然便宜,但监管机构一旦发现,就会对其处以 1.75 亿美元的罚款。因此,请对照上表审视自身的技术体系,并问自己一个至关重要的问题:如果你无法撤销欺诈性转账,或者无法在客户被盗时接听电话,那么你并没有真正做好支付欺诈防范,你只是拥有一个漂亮的标志而已。
