क्रेडिट कार्ड धोखाधड़ी भी एक बिज़नेस है - इनके पास अपनी supply chain और QC संगठन भी हैं

• Stripe के एक कर्मचारी ने 3 विषयों को जोड़कर एक दिलचस्प कहानी बताई

→ charitable donation

→ क्रेडिट कार्ड धोखाधड़ी के लिए supply chain

→ global financial infrastructure

• क्रेडिट कार्ड ठगों के पास बेहद परिष्कृत और specialized ecosystem होता है

→ dedicated infrastructure और response speed को लेकर प्रतिस्पर्धा करने वाले quality control विभाग भी होते हैं

• ज़्यादातर चोरी किए गए कार्ड चोर/हैकर खुद इस्तेमाल नहीं करते, बल्कि इस market में बेचते हैं

→ इससे काम का specialization संभव होता है

→ इस market में product quality सुनिश्चित करने के लिए star ratings और reviews जैसे तरीकों से managed quality standards भी होते हैं

• इस "quality" का मतलब है "क्या खरीदार वास्तव में इस कार्ड से पैसा निकाल सकता है?"

→ यह तथाकथित "card testing" के ज़रिए बिक्री से पहले (या बाद में) सुनिश्चित किया जाता है

• ऐसे कार्डों की उपयोगिता समय के साथ घटती जाती है (क्योंकि कार्ड cancel या block हो जाते हैं)

→ चोर बिक्री से ठीक पहले "test transactions" चलाते हैं, ताकि दिखा सकें कि इन कार्डों की कीमत ज़्यादा होनी चाहिए

→ खरीदारों के लिए यह test इसलिए महत्वपूर्ण है, क्योंकि अगर इन अवैध रूप से खरीदे गए कार्डों से "card fraud" की कोशिश विफल हो जाए, तो वे इन्हें खरीदने में इस्तेमाल किए गए दूसरे दुर्लभ resources भी गंवा सकते हैं

• वैध व्यवसायों और charities का उपयोग "large-scale card testing" के लिए किया जाता है (एक बार में लाखों लोगों तक)

→ ठग यहां से सीधे कुछ हासिल नहीं करते

→ बस अगर यह पता चल जाए कि कार्ड से भुगतान सफल हो रहा है, तो market में उससे ज़्यादा पैसे मिल सकते हैं

• charities पूरे card testing प्रयासों का 11% हिस्सा हैं

→ दूसरे industries में यह बहुत कम है (religion/education/insurance आदि की तुलना में 3 गुना से भी ज़्यादा)

• ठग charities को प्राथमिकता से क्यों निशाना बनाते हैं?

→ वजहों में से एक यह है कि (dedicated payments team वाली बड़ी charities को छोड़कर,)

→ कई charities यह सोच भी नहीं पातीं कि कोई व्यक्ति charity को पैसे देते हुए उनका अवैध उपयोग भी कर सकता है

• e-commerce में anti-fraud ज़रूरी है, लेकिन charities के पास अक्सर इसकी क्षमता नहीं होती

• लेकिन यह card testing charities के लिए वास्तव में बुरा है

• इस तरह हुए payments, card owner के आपत्ति करने पर reverse हो जाते हैं, और ऐसा होने देने के कारण financial industry में नुकसान उठाना पड़ता है

• सबसे खराब स्थिति में, बार-बार होने वाली ऐसी card testing को न रोक पाने के कारण card donation स्वीकार करना ही असंभव हो सकता है

• जिन छोटी charities के लिए online card donations ही सब कुछ हैं, उनके लिए यह लगभग विनाशकारी है

• pandemic के दौरान card testing attacks तेज़ी से बढ़े

• मेरे रहने वाले Asia में, Stripe network भर में यह अपेक्षा से 56% ज़्यादा उछल गया

• इस पर छोटी charities क्या कर सकती हैं?

• Stripe की ज़िम्मेदारी है कि वह ऐसी चीज़ों से सुरक्षा दे, और इसे रोकने के लिए उसने कई कदम उठाए

→ backend में card testing attacks को पहचानने के लिए लगातार काम चल रहा है

→ frontend पर और मज़बूत दखल संभव है, लेकिन छोटी संस्थाओं के पास इसे implement करने के resources नहीं हैं

→ (आम charities के staff में developers नहीं होते)

• इसलिए Stripe Checkout में एक moderation model लागू किया गया

→ हमले के कारण card payments को पूरी तरह block करना charities को नुकसान पहुंचाता है

→ इसलिए हमला होने पर Captcha जैसी चीज़ डाली जाती है। यह बहुत प्रभावी है.

→ आम तौर पर, हमला होने पर Captcha में सिर्फ 1.6% सफलता मिलती है

→ यह सभी पर लागू नहीं होता; Captcha सिर्फ उन्हीं users को दिखता है जिन्हें attacker के रूप में पहचाना जाता है, इसलिए वैध users में से बहुत कम लोग इसे देखते हैं