Penipuan kartu kredit juga adalah bisnis — mereka pun punya rantai pasok dan organisasi QC sendiri

• Kisah menarik dari seorang karyawan Stripe yang merangkai tiga topik menjadi satu

→ donasi amal

→ rantai pasok untuk penipuan kartu kredit

→ infrastruktur keuangan global

• Para pelaku penipuan kartu kredit memiliki ekosistem yang sangat canggih dan terspesialisasi

→ bahkan ada departemen kendali mutu yang bersaing dalam hal infrastruktur khusus dan kecepatan respons

• Sebagian besar kartu yang dicuri tidak digunakan langsung oleh pencuri/peretas, melainkan dijual di pasar ini

→ hal ini memungkinkan spesialisasi pekerjaan

→ di pasar ini juga ada standar mutu yang dikelola lewat ulasan berbintang dan sejenisnya untuk menjamin kualitas produk

• "Kualitas" di sini berarti "apakah pembeli benar-benar bisa menarik uang dari kartu ini?"

→ hal ini dijamin sebelum penjualan (atau sesudahnya) melalui apa yang disebut "card testing"

• Kegunaan kartu semacam ini menurun seiring waktu (karena kartu dibatalkan atau diblokir)

→ para pencuri menjalankan "transaksi uji" tepat sebelum penjualan untuk menunjukkan bahwa kartu-kartu ini layak dihargai mahal

→ pengujian ini penting karena bila upaya "penipuan kartu" dengan kartu ilegal yang dibeli ini gagal, pembeli bisa ikut kehilangan sumber daya langka lain yang mereka gunakan untuk membelinya

• Perusahaan sah dan lembaga amal dipakai untuk "card testing skala besar" (hingga jutaan orang sekaligus)

→ pelaku penipuan tidak mengambil sesuatu secara langsung dari sini

→ mereka hanya perlu memastikan kartu bisa dipakai membayar, karena itu membuat harga jualnya di pasar lebih tinggi

• Lembaga amal menyumbang 11% dari seluruh upaya card testing

→ industri lain jauh lebih rendah (lebih dari 3 kali lipat dibanding agama/pendidikan/asuransi, dll.)

• Mengapa pelaku penipuan memprioritaskan lembaga amal?

→ salah satu alasannya adalah (kecuali lembaga amal besar yang punya tim pembayaran khusus,)

banyak lembaga amal besar tidak membayangkan bahwa seseorang bisa menyalahgunakan mereka secara ilegal sambil memberikan uang kepada lembaga tersebut

• Bagi e-commerce, anti-fraud (pencegahan penipuan) adalah keharusan, tetapi lembaga amal tidak punya kapasitas untuk itu

• Namun, card testing ini benar-benar buruk bagi lembaga amal

• Pembayaran seperti ini akan dibatalkan jika pemilik kartu mengajukan keberatan, dan karena membiarkan hal ini terjadi, mereka bisa menerima kerugian dari industri keuangan

• Dalam skenario terburuk, kegagalan mencegah card testing berulang seperti ini bisa membuat mereka sama sekali tidak lagi dapat menerima donasi dengan kartu

• Bagi lembaga amal kecil yang sepenuhnya bergantung pada donasi kartu online, ini setingkat bencana

• Selama pandemi, serangan card testing meningkat pesat

• Di Asia tempat saya tinggal, lonjakannya mencapai 56% di seluruh jaringan Stripe dibanding perkiraan

• Jadi apa yang bisa dilakukan lembaga amal kecil terkait hal ini?

• Stripe merasa punya tanggung jawab untuk melindungi mereka dan telah melakukan berbagai hal untuk menghentikannya

→ terus bekerja di backend agar bisa mengenali serangan card testing

→ intervensi yang lebih kuat di frontend memang mungkin, tetapi organisasi kecil tidak punya sumber daya untuk mengimplementasikannya

(lembaga amal pada umumnya tidak memiliki developer di antara staf mereka)

• Karena itu Stripe mengimplementasikan model mitigasi di Stripe Checkout

→ memblokir total pembayaran kartu saat ada serangan justru merugikan lembaga amal

→ jadi saat serangan terjadi, mereka menambahkan hal seperti Captcha. Ini sangat efektif.

→ biasanya saat serangan terjadi, hanya 1,6% Captcha yang berhasil diselesaikan

→ Captcha tidak ditampilkan ke semua orang, melainkan hanya kepada pengguna yang dikenali sebagai penyerang, sehingga hampir tidak ada pengguna sah yang akan melihatnya