加強支付驗證 與詐騙罪犯鬥智鬥力
撰文︰Visa 香港及澳門區風險管理總經理麥佰風 (Pavan Muttireddy)
受疫情影響,普羅大眾的消費習慣於過去數年有重大改變。網上購物成為消費新主流,但亦令詐騙罪案由傳統的騙案擴展至虛擬或網購騙案。
支付驗證對商戶和消費者來說已非新鮮事,它能透過確認消費者身份以防止信用卡遭盜用的情況發生。早在互聯網支付的早期,Visa 已聯手合作夥伴建立協定,為網上交易提供額外安全保護,亦即是現時大眾熟悉的 3D Secure。它為各電商、支付平台和金融機構建立身份驗證的橋樑,以便彼此共享和分析相關交易的數據。
隨著網上支付逐漸盛行,安全風險也與日俱增,一次性密碼 (One Time Password,OTP) 因而創建。此服務僅於配備 3D Secure 的商戶的網站上運作,透過實時短訊傳送系統使用 OTP 確認消費者的身份。然而,某程度上由於該技術太成功,商戶及機構過份依賴此單一驗證系統,令詐騙罪犯有機可乘,以致網上騙案日益增加。大量消費者輕則因而獲得不良的支付驗證體驗,使他們對發卡銀行失去信心;重則陷入騙案蒙受巨額損失。
於電子商務、手機支付及跨境支付盛行的世代,減低支付風險至關重要。隨著電商業務日趨成熟,網上信用卡遭盜用的案件亦不斷遞增。數據顯示2021 年此類投訴案件是 2020 年的3.7 倍;有關信用卡卡主個人身分及資料被盜和電話詐騙案件的新聞報導無日無之;金管局的數據亦顯示,截至 2022 年 12 月 8 日,與未經授權信用卡交易相關的投訢已超過 2021 年時的數據。
面對日益盛行的無卡支付以及其催生的詐騙或盜用案例,無疑引起大眾對交易安全的疑慮。所以,提供更簡化和更安全的支付體驗以保障消費者變得至關重要。
從EMV®3-D Secure 1.0 演變至 2.0
EMV®3-D Secure (3DS 1.0) 是針對消費者於桌上電腦進行網上交易而建構。但處於流動裝置時代,3DS 1.0 已不能提供最佳的用戶體驗和有效防範信用卡詐騙。現今的支付模式每每涉及多個層面,需要安全的點對點交易,讓每個程序都經過加密和保護。為確保新世代支付方式的安全,EMV®3D Secure 2.0 (3DS 2.0) 應運而生,它的理念是建基風險的身份驗證 (Risk-Based Authentication,RBA),以提供更穩固的欺詐預測和監管。
建基風險的身份驗證 (RBA) 是一種智能系統,透過使用第一方數據界定交易的風險級別,然後以相應安全程序驗證身份,從而識別高危情況以防範騙徒。發卡機構亦可同時偵測多種數據,並結合例如生物識別技術等最高級別的驗證方式,確保交易安全。不過,在大部分情況下,RBA能夠在系統後台進行驗證,使合法持卡人可以輕鬆進行交易。
例如,使用獲識別的手機支付恆常的小額網上帳單,會被歸類為低風險,因此無需額外的身份驗證即可完成支付。相反,首次在網上購買昂貴的奢侈品則需要進行個人驗證。
信譽有價:避免依賴單一安全解決方案
品牌信譽需時建立,而重建信譽更非易事。研究顯示,近 90% 的信用卡卡主在遭受詐騙後會減少甚至放棄使用相關電子支付。3DS 2.0 並非無關痛癢的升級方案,因為商戶一旦不採用該技術而發生支付安全事故時會失去保障,遭受詐騙的消費者可要求商戶全額償還款項,更嚴重的後果是商戶會因此而失去客戶。
EMV®3-D Secure 能夠提供雙因素認證,同時符合由歐盟頒布的 「第二號支付服務指令」(Second Payment Services Directive,PSD2) 中對「強效顧客驗證」(Strong Customer Authentication,SCA) 的要求。這項技術已證明能夠透過多種設備之間的實時數據交換,提供更強大的保護措施防止欺詐,滿足商戶和消費者不斷演變的保安需求。
縱使安全技術非常強大,依賴單一系統仍然十分危險。代碼化 (Tokenization) 則可為打擊欺詐添加另一層保護,在交易和獎賞計劃中提供保障。以代碼替代敏感數據可令數據喪失用武之地,無法再被惡意使用,與其他防欺詐解決方案結合使用時,可為商戶提供更多選擇,從而提高安全保障。
維持支付安全人人有責
60 多年來,Visa 一直引領全球支付安全,其持續不懈的發展成為至今業務成功的關鍵。「Visa高級授權」 (Visa Advanced Authorization, VAA) 技術於2021 年已打擊涉及超過 260 億美元的詐騙。於過去五年,Visa 花費超過 100 億美元發展科技以針對減少詐騙和提高網絡安全。
在數碼世代,企業有責任持續創新,尤其要持續投放資源於保安系統,令客戶擁有更安全、方便和快捷的網上購物體驗。EMV®3-D Secure 有助防止詐騙,並為各方提供快速、安全的身份驗證以加強商戶的電子業務。
關於作者
麥佰風 (Pavan Muttireddy) 是 Visa 香港及澳門區風險管理總經理,專責與客戶、本地監察機構及業務相關的風險管理事務。麥佰風在銀行、科技及支付卡領域擁有超過 17 年金融罪行管理經驗。他所涉獵的職務範疇包括風險管理、欺詐預防及監察、信用卡欺詐分析、打擊洗錢、法例監管及合規諮詢、制裁檢核、客戶身份確認 (KYC)、客戶盡職調查 (CDD),以及監察名單管理等。
.
.