（文末附报告下载) 全球支付研习社|魔高一尺，道高一丈，关于企业出海防欺诈风控的那些事儿

全球支付研习社：集结海内外行业大咖以及支付专家，对谈海外消费与支付趋势。

本文为万字干货长文，分【基础篇】和【实践篇】预计阅读时间10-15分钟，建议收藏阅读。

后疫情时代的跨境电商与品牌出海，

一面是大批量的新用户与新订单，另一面是暗流下的欺诈危机。

当名为“企业”的这艘快船，

随着业绩水涨船高，单方面追求流量，是看不见船行时的漏水的。

我们常常忽视了“风控”才是保驾护航的那块“铁板”。

俗话说，有人的地方就有”江湖”，海外市场的欺诈行为其实非常猖獗，无信用卡（CNP) 诈骗的普遍程度超乎想象，

出海企业更需要提高风控意识。

今天我们邀请到Adyen亚太区总部的风控专家 Xinying Teo和Adyen中国区客户经理Ziwan Zou，分别从专业的风控角度与出海企业角度，共同探讨应该如何从风控入手规避欺诈行为。

疫情爆发后，大量消费行为转为线上。海量的新消费者，以及商户引入的更多支付方式，为欺诈犯提供了更多可乘之机。“知己知彼”才能“百战不殆”，要想规避欺诈，需要先摸清欺诈犯的“套路”。

Ziwan: 首先，他们是一群很聪明且狡猾的人，非常善于利用漏洞，欺诈手段也在不断翻新。

国内前一段时间流行一种诈骗手法，一些诈骗犯针对年轻群体的投机侥幸心理，通过所谓的“刷单兼职”机会，利用网络消费信贷产品，先以“商家代付”和“空卡绑定”等手段减轻对方警惕，进一步骗取支付信息进行诈骗。

这类行为不只是在国内，有关虚拟服务产品的诈骗行为在国外也屡见不鲜。Adyen就曾有欧洲电商客户遭遇过“银行卡测试”欺诈（card testing）。欺诈者通常先订阅某项首月免费的服务，再输入银行卡详细信息进行验证。因为在收取实际金额之前，会先收一笔金额为零的交易，因此更有甚者，会进行批量卡类测试（bot attack）。这些验证成功有效的银行卡，将被欺诈者盗取以更高的价格出售。

其次，交易体量大的商户更容易成为欺诈犯的目标。一些有投机心理的诈骗犯，甚至会去逐一尝试对一些头部公司进行欺诈犯罪。

最后我认为，欺诈犯更喜欢在某些风口行业犯案。由于新型行业存在某些灰色地带，欺诈犯们有更大空间“施展拳脚”。

比如海外的直播平台是最容易受到诈骗攻击的新型行业之一。一些欺诈犯通过机器打赏，一天24小时进行交易，进行洗钱。反洗钱也是支付公司的重要工作，一个良好的风控系统在专业人士的有效运用下，能成为打击洗钱行为的关键“利刃”。

因此，我们看到为了应对层出不穷的欺诈手段，各个市场也都出台了相应法规。

但很多出海企业对于在销售量还是阻隔潜在欺诈行为之间的取舍仍有疑虑。这很大程度上是由于他们缺乏对风控的全面认知。

Xinying:支付成功率，也就是支付成功的百分比; 主要由两个因素决定：

1. 支付审核通过的的成功交易数量；

2. 最初成功但随后发现存在欺诈的交易数量。这是企业销售漏斗的最后一公里的支付环节 中最为看重的数据指标之一。

而风控是由商户的风险偏好（risk appetite）设置与风险预测（risk profile）决定的。

风控和支付成功率就像是一枚硬币的两面，是采取激进型策略来最大化交易通过率，还是采取保守型策略以尽可能规避风险（risk averse）以杜绝欺诈，商户需要找到完美的均衡点。优化风控解决方案，能有效帮助商户监测并预防支付欺诈行为，侧方面提升支付流程速度与安全性。

Ziwan: 首先，风控不足会带来各种隐形成本，最终影响商户的营运收入。

比如说欺诈犯可以盗刷消费者信用卡进行消费并造成消费者拒付费用（chargeback fees）。

目前很多商户对海外消费者“拒付”的这项权利知之甚少，但随着市场成熟，不少出海企业会通过自身欺诈案例的“切肤之痛”，慢慢体会到风控的重要性。

此前，一家亚洲商户因被追踪到过度拒付行为，常年被纳入Visa卡组的欺诈监测项目（Visa Fraud Monitoring Program），遭到巨额罚款。

此时他们真正意识到风控的重要性。

之后，借助风控产品，并每月与风控专家监控数据，以及对风控系统进行定期优化，这家亚洲商户得以更准确地识别欺诈行为，进行有效预防并降低风险。

第二，太多诈骗交易会让商誉受损。除了受骗消费者可能引发的社交媒体舆论，商户也会收到来自卡组织的警告，从而影响中国商户在海外的品牌声誉。

反过来看，过高的风控门槛在无形中会拒绝掉一些潜在的优质消费者，从而造成欺诈误报（false decline）。同样的，过度加强风控，例如添加多重身份验证，有可能影响用户体验，导致消费者在结账时弃购。这种情况欺诈和拒付率减少了，但支付成功率也减少了，影响了销售量。

Xinying: 一般来讲风控服务有两种。

一是支付公司自己的风控服务，二是第三方防欺诈工具。

两种模式都各有优势，商户可以考虑择其一或两者相辅相成。

支付公司拥有整套闭环服务的优势，Adyen作为金融收单机构就拥有第一手的交易数据信息，以及从卡组织得到欺诈风险提示（fraud notification）、拒付风险提示（chargeback notification)等信息。这些信息将及时被风控系统捕捉。

其次，作为国际支付平台日均处理大量交易，从而能通过大规模交易数据获取大量消费者画像，也让持卡人的每一笔跨商户交易都可以被追踪。

此外，像Adyen这种的一站式平台，数据流从持卡人、发卡行、一直到银行卡组，信息链不会产生遗漏，能极大保证了信息质量，最大程度上规避欺诈行为的发生。

Ziwan: 放眼全球，各地市场的欺诈类型都有各自的特点。

■美国市场，我们看到欺诈更多来自于本地银行卡。由于大部分欺诈来自本地，有时候商户会难以区分一笔普通交易和一笔欺诈交易。相应的，欺诈的pattern并不那么容易发现。美国的3DS验证也并非大规模得到采用，因为美国的大型企业会更注重客户购物体验，所以他们在做强验证这块会比较谨慎，同时这也导致了消费者对3DS 的认知并不是那么广泛。

■亚太地区，有些国家的欺诈会较多，如东南亚某些国家等。主要是由于这些国家的银行风控体系不如欧美发达国家完善，经常会受到一些银行卡BIN Attack的攻击。不少欺诈者会在暗网盗取一整批信用卡，并开发软件自动下单，欺诈犯无需手动操作，一分钟内便可达成20-30笔交易。

■在欧洲，曾经“银行卡测试”和“批量卡类测试”等欺诈行为盛行，同时也有较多国际欺诈分子。现在由于PSD2的实施，总体拒付和欺诈都有了明显的改善。但同时也发现，越来越多的欺诈攻击针对Authentication 。当欺诈者针对大批量银行卡BIN进行攻击的时候，如果发现某些BIN会有challenge flow（挑战验证）的时候，他们会认为这是一个有效的银行卡。欺诈者就会针对这个银行卡BIN去亚太风控比较薄弱的地区进行欺诈攻击。

■美国市场，发卡行会相对更偏向消费者，一些消费者会声称并未收到货品，除非商户有强有力的发货证明，不然通常会处于不利地位。这导致美国市场的友好欺诈或恶意拒付行为，比其他市场更加普遍。

■亚太地区，不少欺诈者会在暗网盗取一整批信用卡，并开发软件自动下单，欺诈犯无需手动操作，一分钟内便可达成20-30笔交易。

■欧洲市场，则是“银行卡测试”和“批量卡类测试”等欺诈行为盛行。不同地区的消费者偏好和环境差异都会导致不同类型的欺诈行为。

Ziwan: 首先，我认为商户应该先充分了解行业基准，并安排专业的风控团队，做好各种应对预案。

Xinying: 同意，很多商户认为没有必要专门设置风控团队，只是将其挂靠在支付或是财务团队底下，处于一个边缘化的位置。

可是，一旦有大规模的诈骗事件发生，商户将无法及时妥当地进行处理，从而造成损失。所以一个专业的风控团队其实至关重要。

无论是小规模的2-3人，还是5-10人，都可以组成一个成熟的风控团队。

根据商户自身的不同需求，风控团队的人员构成大致分为两种类型。

第一种：根据业务所在区域，商户可以针对不同市场，安排专人负责当地的风控规则配置。

第二种：商户根据不同业务，分配人员专门负责风控工作。

风控团队的工作除了风控规则配置以外，还包括消费者购物时的身份验证设置，尤其随着欧盟支付服务修订法案第二版（PSD2）于今年正式生效，其中强客户验证机制（Strong Customer Autentication）势必会对商户的支付成功率造成一定影响。

因此，商户需要了解当地市场的专业人士，设置合理的风控。

由于单个商户数据体量的局限，仅靠商户自身团队进行风控作业是远远不够的。Adyen的许多中国商户，会将自有风控体系与外部合作伙伴的风控系统资源进行整合。

并且我觉得支付成功率和拒付率（chargeback rate）都应被关注，商户可以在此基础上制定松紧得当的风控规则，避免因诈骗拒付而导致惨重的损失。

现实中的案例是，有些商户虽然销售量很高，但是因为其中含有大量诈骗交易，光拒付成本就损失惨重。

我们听说过不少企业曾因为在海外市场中存在大量欺诈交易，而进入了卡组的欺诈监测项目并被罚款。除了罚款，更严重的后果是发卡行将有权发起拒付，商户在很长一段时间内，即使向银行发送了3DS（Three-Domain Secure）支持性数据，也不再受到责任转移的保护。

很多商户会问我们，到底是机器学习的风控系统更好，还是人工规则导向的风控更好。其实没有孰优孰劣，只有适合还是不适合，需要根据商户的风险偏好和所在行业来综合评判。比如说，在有些市场像奢侈品和航空公司，因为客单价较高，对于风险偏好设置趋向保守， 并且消费者行为模式已经非常稳定，企业更倾向于已经成熟的规则导向和人工审核风控体系。

而那些消费行为模式随时间不断变化的商户，比如电商类商户，则更适合机器学习与规则导向相结合的风控体系，以便及时追踪并阻止欺诈行为。

所以说，风控管理要灵活，同时要不断进步，因为风控的发展其实是在与诈骗犯赛跑。商户要把握好退货退款政策的尺度，减少友善欺诈（friendly fraud）。并通过洞察发现可疑收款，评估欺诈风险，来减少退款和欺诈的风险，确保商家的收入最大化。

最后，针对那些希望进军多个国家的商户，需要根据具体当地市场情况作出个性化风控设置。

欧盟自PSD2今年正式生效后，3DS验证已经在欧洲市场广泛使用。

在亚洲某些国家，例如新加坡和马来西亚，更习惯使用3DS验证。而一些风控相对较为不那么完善的国家，则更需要有一套专业的、有针对性的风控系统来为商户在该区域的业务保驾护航。

美国市场比较特殊，由于对3DS的采纳程度不如欧洲，所以更倾向于通过地址验证系统校验（Address Verification System），账单地址之类的信息，来加强欺诈风控管理。

还有一些海外国家的消费者更喜欢使用本地支付方式，比如电子钱包，拒付交易的可能性更低。

不同市场面临的欺诈风险和手段都不尽相同，作为商户不能被一时的利益蒙住双眼，要勇于并习惯拒绝高风险交易。

面对花样百出的欺诈行为，在和”欺诈犯”斗智斗勇的路上，商户应该更加宏观、整体地看待风控与收入的关系，不断优化支付体验。

同时，风控设置不是”一次性“任务，而是需要定期调整优化风险设置，才能更好平衡好风险和交易授权间的关系。