- Friendly fraud वह समस्या है जिसमें ग्राहक सामान प्राप्त करने के बाद भुगतान से इनकार कर देता है, और Stripe जैसे प्लेटफ़ॉर्म, जिसके पास बहुत सारे payment signals हैं, उसे इसे बेहतर तरीके से रोकना चाहिए
- Ciglue के एक ग्राहक ने DHL delivery proof वाले पहले ऑर्डर के बाद dispute दायर किया, और इसे बैंक की गलती बताया, लेकिन वास्तव में उसने इसे सुधरवाया नहीं
- विक्रेता ने delivery evidence, ग्राहक के साथ हुई बातचीत, और नीतियाँ जमा कीं, फिर भी बैंक ने ग्राहक का पक्ष लिया और विक्रेता ने पैसा, उत्पाद, shipping cost, और dispute fee सब खो दिए
- ग्राहक ने अपनी तरकीब पर शेखी बघारते हुए screenshot तक Stripe को भेजा गया, लेकिन Stripe ने कहा कि वह इसे merchant-to-merchant fraud signal के रूप में इस्तेमाल नहीं करता
- Stripe की प्रतिक्रिया विक्रेता अकाउंट की Radar rules तक सीमित रही, इसलिए अगले विक्रेता को उसी ग्राहक के दोहराए गए दुरुपयोग से फिर से शुरुआत से जूझना पड़ता है
घटना का सार और dispute का नतीजा
- Friendly fraud वह समस्या है जिसमें ग्राहक सामान पाने के बाद भुगतान से इनकार कर देता है, और यह सवाल उठता है कि Stripe जैसे बड़े प्रदाता, जिनके पास बहुत सारे payment signals हैं, उन्हें इससे बेहतर तरीके से निपटने में सक्षम होना चाहिए
- ग्राहक ने सिगार गोंद उत्पाद Ciglue को दो बार खरीदा, और पहला ऑर्डर DHL से भेजा गया था तथा delivery proof के साथ सफलतापूर्वक डिलीवर भी हुआ
- ग्राहक ने refund या reshipment माँगने के बजाय dispute दायर किया, और बाद में बताया गया कि बैंक ने फ़िलिपींस के असली fraudulent transactions के साथ इस payment को गलती से जोड़ दिया था
- ग्राहक ने कहा कि वह बैंक से संपर्क करेगा और PayPal से फिर भुगतान भी करेगा, लेकिन वास्तव में उसने बैंक में कोई correction नहीं कराया और ऐसा दावा करता रहा मानो उसे उत्पाद मिला ही नहीं
- बैंक ने ग्राहक का पक्ष लिया, और विक्रेता ने पैसा, उत्पाद, shipping cost, और dispute fee सब खो दिए; जमा किए गए delivery proof, ग्राहक के साथ हुई बातचीत, और वेबसाइट policies भी नतीजा नहीं बदल सकीं
- पहला dispute आने से पहले उसी ग्राहक ने untracked shipping के साथ दूसरा ऑर्डर दिया, और पहले dispute के कुछ दिनों बाद दूसरे dispute की भी शुरुआत कर दी
- पहला dispute ग्राहक के पक्ष में समाप्त होने के बाद ग्राहक ने ईमेल में अपनी तरकीब पर घमंड किया, और विक्रेता ने उसका screenshot Stripe को भेज दिया
Stripe की प्रतिक्रिया और सीमाएँ
- विक्रेता ने Stripe को screenshot भेजकर पूछा कि क्या इस evidence को बैंक, fraud reporting network, या कम से कम Stripe के अंदर सही तरीके से report किया जा सकता है
- यह पहले से बंद dispute को पलटने या पैसा वापस पाने का अनुरोध नहीं था, बल्कि उम्मीद यह थी कि chargeback abuse के स्पष्ट evidence का किसी न किसी सार्थक तरीके से उपयोग हो
- Stripe ने जवाब दिया कि किसी एक विक्रेता से मिले chargeback abuse evidence को वह merchant-to-merchant fraud signal में नहीं बदलता, और न ही ग्राहक के card, email, या अन्य विवरणों के आधार पर ऐसे कदम उठाता है जिनका असर दूसरे विक्रेताओं पर पड़े
- यह सही नहीं होगा कि किसी एक नाराज़ विक्रेता की वजह से Stripe के पूरे payment system में कोई व्यक्ति अपने आप ब्लॉक हो जाए, लेकिन “पूरी तरह ब्लॉक” और “हमें screenshot मिला, Radar देखिए” के बीच बहुत बड़ा अंतर है
- Stripe, Radar को बहुत सारे payments और signals, बेहतर fraud detection, और machine-learning आधारित network effects के साथ बेचता है, लेकिन वास्तविक ग्राहक द्वारा किए गए chargeback abuse का evidence network signal में नहीं बदलता
- सुझाया गया समाधान यह है कि Radar rules के ज़रिए उस ग्राहक की दोबारा खरीदारी रोकी जाए, और संभव है कि विक्रेता को यह नियम इस्तेमाल करने के लिए upgrade करना पड़े और Stripe को अतिरिक्त शुल्क भी देना पड़े
- यह transaction सामान्य लग रहा था, checks भी पास कर गया था, और वास्तविक पता भी मेल खाता था, इसलिए “ग्राहक ने उत्पाद लेने के बाद बैंक से झूठ बोला” जैसी स्थिति को checkout rules से फ़िल्टर करना कठिन है
- छोटे विक्रेताओं के पास dispute में लगभग कोई bargaining power नहीं होती, बैंक फ़ैसला करता है, और जब तक Stripe बैंक की ओर इशारा करता रहता है, तब तक विक्रेता पैसा, उत्पाद, शुल्क, और processing time खोता रहता है
- अगर नया evidence बाद में सामने आए, तो उसे जमा करने में बहुत देर हो सकती है, और वही ग्राहक किसी दूसरी जगह यह दोहराए तो अगला विक्रेता फिर नुकसान झेल सकता है
- इसमें कुछ भी “friendly” नहीं है, और Stripe जब कोई कार्रवाई नहीं करता, तो नतीजतन यह ढांचा धोखाधड़ी करने वालों के लिए अनुकूल बन जाता है
1 टिप्पणियां
Hacker News की राय
मैं Josh हूँ, और Stripe में Radar fraud prevention product का नेतृत्व करता हूँ। इस तरह का fraud abuse वाकई बेहद परेशान करने वाला है, और Stripe अपने users को ऐसा अनुभव नहीं देना चाहता
यहाँ कई लोगों ने जो मुख्य बात कही है, वह सही है। मुद्दा सिर्फ यह नहीं है कि किसी खास dispute को बाद में पलटा जा सकता है या नहीं, बल्कि यह भी है कि chargeback abuse के सबूत का इस्तेमाल अगले business को बचाने के लिए किया जा सकता है या नहीं
लेकिन हम ऐसी दुनिया भी नहीं चाहते जहाँ सिर्फ एक business की रिपोर्ट के आधार पर किसी buyer को Stripe के सभी merchants के यहाँ अपने-आप block कर दिया जाए। legitimate disputes भी होते हैं, consumer accounts भी hijack हो जाते हैं, और overblocking के false positives असली buyers को नुकसान पहुँचा सकते हैं
फिर भी, “इस व्यक्ति को हर जगह auto-block कर दो” और “screenshot के लिए धन्यवाद” के बीच स्पष्ट रूप से एक खाली जगह है, और हम उसी हिस्से को सुलझाना चाहते हैं
friendly fraud बहुत बढ़ गया है, इसलिए हम Radar को सिर्फ transaction fraud prevention से बढ़ाकर signup, trial start जैसी पूरी customer lifecycle में fraud और abuse रोकने वाले product के रूप में विस्तार दे रहे हैं
अभी हम Stripe network भर में habitual chargeback abusers की पहचान करके transaction से पहले business को दिखाने और decision-making में उसे शामिल करने, customer account के cumulative abuse risk को score करने, और friendly fraud होने पर Smart Disputes के ज़रिए सबूत को बेहतर तरीके से तैयार कर disputes जीतने में मदद करने वाली defenses बना रहे हैं
Radar पर feedback हो तो jackerman at stripe dot com पर भेज सकते हैं
मैं एक SaaS चलाता हूँ, और कभी-कभी ऐसा होता है। chargeback आते ही सिद्धांत रूप में उस customer को database में पूरी तरह block कर देना चाहिए
card, email address, और access fingerprint सबको block कर दें, तो अगर वे फिर से signup करें या product खरीदकर वही परेशानी दोबारा देने आएँ, तो काफी झंझट कम हो सकता है
मैंने users को track करने वाले browser fingerprints तो देखे हैं, लेकिन पता नहीं आप ऐसा कुछ कह रहे हैं जो सिर्फ ज़रूरत पड़ने पर fingerprint collection करता हो
Stripe ने इतना साफ़-साफ़ कहा कि “एक merchant के chargeback abuse के सबूत को दूसरे merchants के लिए cross-fraud signal नहीं बनाया जाता, और न ही customer के card, email या दूसरी जानकारी का इस्तेमाल दूसरे merchants के खिलाफ action लेने में किया जाता” — यह बात चौंकाने वाली है
Stripe का इन details को वास्तव में communicate करना अच्छा है। लेकिन यह भी समझ आता है कि इतनी बड़ी कंपनियाँ अक्सर सिर्फ “रिपोर्ट के लिए धन्यवाद। हम इसे उचित तरीके से संभालेंगे” जैसे अपारदर्शी जवाब ही क्यों देती हैं। सच बोलने पर लोग और गुस्सा हो जाते हैं
साफ़ जवाब पाने के लिए कुछ बार आगे-पीछे बात करनी पड़ी, लेकिन आखिर में स्पष्ट जवाब मिला, और मेरे अनुभव में Stripe support अब भी शानदार है और communication भी अच्छा है
customer ने आपको धोखा दिया, और उसके बाद customer के bank ने भी। यह Stripe ने नहीं किया। मुझे समझ नहीं आता कि title और post में Stripe को दोष क्यों दिया जा रहा है
निश्चित रूप से Radar के बिना भी Stripe और कुछ कर सकता है, लेकिन अगर Stripe सिर्फ एक seller की शिकायत के आधार पर पूरे Stripe network में customer को block करने का business करने लगे, तो यह खतरनाक हो सकता है। ऐसे approach में साफ़ तौर पर बहुत सी समस्याएँ हो सकती हैं
blog post में मैं यही मूल बात कहना चाहता था। बेशक, यह भी fair नहीं होगा कि merchants consumers को बहुत आसानी से block कर सकें। लेकिन निश्चित रूप से बीच का कोई रास्ता होना चाहिए
Stripe ने बहुत स्पष्ट रूप से कहा कि वह ऐसी reports के साथ कुछ नहीं करता। उन्हें बस ignore कर दिया जाता है
मैं issuing side में कुछ साल काम कर चुका हूँ, और Stripe इस्तेमाल करने वाले merchants की submissions कई बार देखी हैं। मुझे ऐसे cases पता हैं जहाँ network rules के हिसाब से मामला साफ़ तौर पर जीतने लायक था, फिर भी Stripe ने contest करने से इनकार कर दिया
लगता है Stripe ने तय कर लिया है कि ज़्यादातर chargebacks से लड़ना उसके लिए आर्थिक रूप से फायदेमंद नहीं है। शायद इसलिए कि वह cost merchant पर डाल सकता है, और उसे लगता है merchant कहीं और नहीं जाएगा
मैंने Stripe में millions of dollars के chargebacks संभाले हैं। हम tickets बेचते थे, tickets को दोबारा बेचना आसान था, और customers दुनिया भर से शो देखने आने वाले tourists होते थे
Stripe Radar अच्छा product नहीं था। कई बार बहुत संदिग्ध transactions को 100 में से risk score 1 या 2 दे दिया जाता था। मेरा machine learning background नहीं है, लेकिन methodology में कुछ गड़बड़ लगती थी, जैसे अंदर कोई wire ही छूटी हो। दुर्भाग्य से Stripe के पास इसे लेकर सच में परवाह करने की मजबूत incentive नहीं दिखती
अब मुझे काफी यक़ीन है कि Stripe कम-से-कम मानसिक रूप से PayPal 2.0 के काफ़ी करीब है
यह platform पर होने वाले fraud पर आँख मूँद लेता है, पैसे लेने के बाद adult creators या sellers को lock कर देता है, और हर जगह मौजूद है लेकिन खास पसंद नहीं किया जाता
Stripe ने fintech की दुनिया को बदला और ज़्यादा लोगों के लिए programmatically access आसान बनाया, यह अच्छी बात है, लेकिन इन्हीं कारणों से मैं आजकल payment advice माँगने वालों से अक्सर कहता हूँ कि “Stripe से बचो”
नए players agility और साथ काम करने में आसानी के दम पर market share ले जाते हैं
समय के साथ नए players को भी regulatory scrutiny, fraud, operational burden, और liability-avoiding practices जैसी चीज़ें संभालनी पड़ती हैं
फिर नया player ही incumbent बन जाता है, और चक्र फिर वहीं लौट आता है
धोखाधड़ी वाला chargeback झेलना पड़ा। दावा यह था कि खरीद अधिकृत नहीं थी, लेकिन वह व्यक्ति खुद क्लास में आया था। इससे भी बुरी बात यह थी कि भुगतान Link से किया गया था, इसलिए Stripe ने 2-factor authentication के जरिए उस व्यक्ति की सक्रिय रूप से पुष्टि की थी
क्या कोई समझा सकता है कि Stripe या उसके competitors ऐसा setting क्यों नहीं देते जैसे “ऐसे कार्ड के transaction अस्वीकार करें जिसने इस साल merchants के खिलाफ x से ज़्यादा chargeback दाखिल किए हों”?
निराशा की बात यह है कि Stripe machine learning Radar rules वगैरह का ढिंढोरा पीटता है, लेकिन उसमें वास्तव में काम का data नहीं डाल पाता
Stripe support ने वह email देखी थी जिसमें customer ने शेख़ी बघारी थी कि उसने मेरे साथ fraud किया, और वे पूरी तरह सहमत थे कि यह साफ़ तौर पर friendly fraud था, फिर भी उन्होंने उस जानकारी के साथ कुछ नहीं किया
और मैं उससे निकलने वाला तयशुदा news drama भी नहीं चाहूँगा। बात कुछ ऐसी बन सकती है: “मैं तो बस एक गरीब और भोली-भाली दादी हूँ, मैंने Facebook ad पर भरोसा कर लिया, और Stripe ने मुझे आधे internet stores से block कर दिया क्योंकि मेरे साथ fraud हुआ था!”
यह बस fraud है। “friendly fraud” तब होता है जब customer charge statement को पहचान नहीं पाता और इसलिए chargeback करता है, यानी मामला accidental हो सकता है या सही इरादे से हुआ हो
“just fraud” जैसा शब्द पहले से उस स्थिति के लिए इस्तेमाल होता है जहाँ “अपराधी c, अनजान cardholder a का कार्ड, अनजान merchant b के यहाँ इस्तेमाल करता है।” तो फिर “friendly fraud” शब्द से आपत्ति क्यों है, यह जानना चाहूँगा
बढ़िया पोस्ट है। मेरे लिए मुख्य बिंदु यह था कि Stripe ने माना कि वह dispute के बाद मिले friendly fraud के सबूत को Radar के cross-merchant signal के रूप में इस्तेमाल नहीं करेगा
और इसमें यह भी जोड़ दें कि customer ने chargeback जीतने के बाद सचमुच शेख़ी भी बघारी, तो साफ़ दिखता है कि system independent sellers के ख़िलाफ़ कितना झुका हुआ है
यह तो साफ़ है कि Stripe friendly fraud से जुड़ा data रिकॉर्ड करता है। कम से कम वह Visa Compelling Evidence 3.0 implement करता है https://support.stripe.com/questions/how-does-stripe-support...
चूँकि Stripe support के भेजे message का screenshot नहीं है, मुझे लगता है उन्होंने बस सावधान, कानूनी रूप से सुरक्षित, अस्पष्ट जवाब देकर बात टालने की कोशिश की होगी, और वही बाद में गुस्से भरी blog post बन गई
“मैं आपका feedback दर्ज करके टीम तक पहुँचाऊँगा। post-transaction abuse detection पर आपकी बात वाजिब है। Stripe के पास मज़बूत network-level fraud detection है, लेकिन ऐसा लगता है कि merchants द्वारा दिए गए confirmed fraud evidence का उपयोग करके broader merchant ecosystem की सुरक्षा करने में एक gap है। सीधे सबूत रखने वाले merchants से मिलने वाला ऐसा feedback system सुधारने के लिए मूल्यवान है।”
लेकिन पोस्ट का मामला ऐसे व्यक्ति का है जिसने 1–2 हफ्तों के भीतर सिर्फ disputed purchase ही किए