Stripe ist „friendly fraud“ gegenüber zu freundlich

 (gingerlime.com)
1 Punkte von GN⁺ 22 시간 전 | 1 Kommentare | Auf WhatsApp teilen
  • Friendly Fraud bezeichnet den Fall, dass Kund:innen nach Erhalt einer Ware die Zahlung bestreiten; gerade Stripe mit seinen vielen Zahlungssignalen sollte das eigentlich besser verhindern können
  • Ein Ciglue-Kunde reichte nach einer ersten Bestellung mit DHL-Zustellnachweis einen Streitfall ein, erklärte dies als Bankfehler, korrigierte ihn tatsächlich aber nicht
  • Der Händler reichte Versandnachweise, Kundengespräche und Richtlinien ein, doch die Bank stellte sich auf die Seite des Kunden, sodass Geld, Ware, Versandkosten und Streitfallgebühr komplett verloren gingen
  • Sogar ein Screenshot, auf dem der Kunde mit seiner Masche prahlte, wurde an Stripe weitergegeben, doch Stripe antwortete, dies nicht als händlerübergreifendes Betrugssignal zu nutzen
  • Stripes Reaktion bleibt auf Radar-Regeln im Händlerkonto beschränkt, sodass der nächste Händler denselben wiederholten Missbrauch durch denselben Kunden von vorn ertragen muss

Überblick über den Vorfall und das Ergebnis des Streitfalls

  • Friendly Fraud ist das Problem, dass Kund:innen nach Erhalt eines Produkts die Zahlung bestreiten; der Ausgangspunkt ist die Frage, warum ein großer Anbieter wie Stripe mit so vielen Zahlungssignalen darauf nicht besser reagieren kann
  • Der Kunde kaufte zweimal Produkte von Ciglue, einem Klebstoffprodukt für Zigarren, und die erste Bestellung wurde per DHL versendet und mit Zustellnachweis als zugestellt markiert
  • Der Kunde verlangte weder eine Rückerstattung noch eine erneute Lieferung, sondern eröffnete direkt einen Streitfall; später erklärte die Bank, sie habe diese Zahlung irrtümlich mit tatsächlichen betrügerischen Transaktionen auf den Philippinen zusammengefasst
  • Der Kunde sagte, er werde seine Bank kontaktieren und erneut per PayPal bezahlen, korrigierte den Vorgang bei der Bank jedoch nicht und behauptete stattdessen, das Produkt nicht erhalten zu haben
  • Die Bank entschied zugunsten des Kunden, und der Händler verlor Geld, Ware, Versandkosten und Streitfallgebühr; auch eingereichte Versandnachweise, Kundengespräche und Website-Richtlinien änderten nichts am Ergebnis
  • Noch bevor der erste Streitfall einging, platzierte derselbe Kunde eine zweite Bestellung mit nicht nachverfolgbarem Versand, und wenige Tage nach dem ersten Streitfall wurde auch der zweite angefochten
  • Nachdem der erste Streitfall zugunsten des Kunden entschieden worden war, prahlte dieser per E-Mail mit seiner Methode, und der Händler leitete den entsprechenden Screenshot an Stripe weiter

Stripes Reaktion und ihre Grenzen

  • Der Händler schickte Stripe den Screenshot und fragte, ob dieser Nachweis bei der Bank, in einem Netzwerk zur Betrugsmeldung oder zumindest intern bei Stripe ordentlich gemeldet werden könne
  • Es ging nicht darum, einen bereits abgeschlossenen Streitfall umzudrehen oder Geld zurückzuholen, sondern darum, dass ein klarer Nachweis von Chargeback-Missbrauch in irgendeiner Weise sinnvoll verwendet wird
  • Stripe antwortete, dass Nachweise über Chargeback-Missbrauch, die von einem Händler stammen, nicht in händlerübergreifende Betrugssignale umgewandelt und auch nicht für Maßnahmen genutzt würden, die sich bei anderen Händlern auf die Karte, E-Mail-Adresse oder andere Details des Kunden auswirken
  • Es wäre zwar nicht wünschenswert, wenn wegen eines einzelnen verärgerten Händlers jemand im gesamten Stripe-Zahlungssystem automatisch blockiert würde, doch zwischen einer „globalen Sperre“ und „wir haben den Screenshot erhalten, prüfen Sie Radar“ liegt eine große Lücke
  • Stripe vermarktet Radar mit vielen Zahlungen und Signalen, besserer Betrugserkennung und maschinellem Lernen durch Netzwerkeffekte, doch konkrete Nachweise für Chargeback-Missbrauch durch echte Kund:innen werden in der Praxis nicht zu einem Netzwerksignal
  • Die empfohlene Lösung besteht darin, mit Radar-Regeln weitere Käufe dieses Kunden zu blockieren; dafür muss der Händler möglicherweise upgraden und Stripe zusätzliche Gebühren zahlen
  • Diese Transaktion wirkte unauffällig, bestand die Prüfungen und die echte Adresse stimmte ebenfalls, weshalb sich eine Situation wie „der Kunde erhält das Produkt und lügt danach bei der Bank“ schwer mit Checkout-Regeln herausfiltern lässt
  • Kleine Händler haben in Streitfällen kaum Verhandlungsmacht; die Bank entscheidet, und während Stripe auf die Bank verweist, verliert der Händler Geld, Ware, Gebühren und Bearbeitungszeit
  • Wenn neue Beweise erst später auftauchen, kann es bereits zu spät sein, sie noch einzureichen, und selbst wenn derselbe Kunde das anderswo wiederholt, kann der nächste Händler erneut geschädigt werden
  • Daran ist nichts „friendly“, und weil Stripe nichts unternimmt, entsteht faktisch eine Struktur, die für Betrüger besonders freundlich ist

Verwandte Beiträge

1 Kommentare

 
GN⁺ 22 시간 전
Hacker-News-Kommentare

  • Hier ist Josh, ich leite bei Stripe das Radar-Produkt zur Betrugsprävention. Solcher Betrugsmissbrauch ist wirklich frustrierend und nicht die Erfahrung, die Stripe seinen Nutzern bieten möchte.
    Der Kernpunkt, den hier viele ansprechen, ist berechtigt. Es geht nicht nur darum, ob ein einzelner Streitfall im Nachhinein rückgängig gemacht werden kann, sondern darum, ob Belege für Chargeback-Missbrauch genutzt werden können, um den nächsten Händler zu schützen.
    Gleichzeitig wollen wir auch keine Welt, in der allein die Meldung eines einzelnen Händlers dazu führt, dass ein Käufer bei allen Stripe-Händlern automatisch blockiert wird. Es gibt legitime Streitfälle, Kundenkonten werden auch übernommen, und False Positives durch zu aggressive Sperren können echten Käufern schaden.
    Trotzdem gibt es offensichtlich eine Lücke zwischen „diese Person überall automatisch blockieren“ und „danke für den Screenshot“, und genau diesen Bereich möchten wir lösen.
    Da friendly fraud stark zunimmt, erweitern wir Radar von reiner Transaktionsbetrugsprävention zu einem Produkt, das Betrug und Missbrauch über den gesamten Kundenlebenszyklus hinweg verhindert, etwa bei Registrierung, Testphase und mehr.
    Wir arbeiten derzeit daran, wiederholte Chargeback-Missbraucher über das gesamte Stripe-Netzwerk hinweg zu identifizieren und sie Händlern vor einer Transaktion anzuzeigen, damit sie dies in ihre Entscheidungen einbeziehen können, das kumulierte Missbrauchsrisiko eines Kundenkontos selbst zu bewerten und bei friendly fraud mit Smart Disputes bessere Belege zusammenzustellen, damit Händler Streitfälle eher gewinnen.
    Wer Feedback zu Radar hat, kann es an jackerman at stripe dot com schicken.

  • Ich betreibe ein SaaS und erlebe so etwas gelegentlich. Wenn ein Chargeback eingeht, sollte man diesen Kunden grundsätzlich vollständig in der Datenbank sperren.
    Wenn man Karte, E-Mail-Adresse und Zugriffs-Fingerprint alle sperrt, reduziert das viel Aufwand, falls sie sich erneut anmelden oder das Produkt wieder kaufen, um denselben Ärger zu verursachen.

    • Missbraucher umgehen solche Sperren leicht. Die Leute, die das systematisch machen, sind eine kleine Gruppe.
    • Fortgeschrittene Nutzer können alle drei Identifikatoren wie Karte, E-Mail und Fingerprint problemlos ändern. Ich frage mich, was mit „Zugriffs-Fingerprint“ genau gemeint ist.
      Ich habe alle möglichen Browser-Fingerprints zum User-Tracking gesehen, weiß aber nicht, ob damit so etwas wie Fingerprint-Erfassung nur bei Bedarf gemeint ist.
    • Erzwingt einfach 3D Secure, dann liegt die Haftung bei der Bank des Kunden. Wenn sie das Produkt wirklich wollen, haben die meisten kein großes Problem damit, auf dem Handy die Banking-App zur Bestätigung der Transaktion zu öffnen.
    • Wenn ihr so eine Richtlinie habt, solltet ihr bei berechtigten Support-Anfragen schnell reagieren.
    • Wenn es eine iOS-App ist, könnt ihr auch DeviceCheck nutzen. Uber verwendet das für kontoübergreifende Sperren.

  • Ich finde es überraschend, dass Stripe so klar sagt, man mache „Belege für Chargeback-Missbrauch eines Händlers weder zu einem übergreifenden Betrugssignal für andere Händler noch nutze man Karten-, E-Mail- oder andere Kundendaten, um gegenüber anderen Händlern Maßnahmen zu ergreifen“.
    Es ist gut, dass Stripe solche Details tatsächlich kommuniziert. Aber ich verstehe auch die Logik, warum viele Großunternehmen stattdessen nur undurchsichtige Antworten wie „Danke für Ihre Meldung, wir werden sie angemessen bearbeiten“ geben. Wenn man die Wahrheit sagt, werden die Leute noch wütender.

    • Nein. Eine vage Antwort hätte mich deutlich mehr verärgert. Ich war weiterhin wütend darüber, dass sie trotzdem nichts unternehmen.
      Es gab ein paar Hin-und-her-Nachrichten, bis ich eine klare Antwort bekam, aber am Ende bekam ich sie, und meiner Erfahrung nach ist der Stripe-Support nach wie vor hervorragend und kommuniziert gut.
    • Nein. Eine unklare Antwort macht viel wütender. Nur hat man in so einem Fall nichts, worüber man schreiben könnte.

  • Der Kunde hat dich betrogen, und danach hat es auch die Bank des Kunden getan. Stripe war das nicht. Ich verstehe nicht, warum Stripe in Titel und Beitrag dafür kritisiert wird.
    Natürlich könnte Stripe auch ohne Radar mehr tun, aber wenn Stripe ein Geschäft daraus machen würde, Kunden im gesamten Netzwerk nur aufgrund der Beschwerde eines einzelnen Verkäufers zu sperren, wäre das riskant. Bei so einem Ansatz gäbe es sicher viele Probleme.

    • Stimmt. Aber Stripe hat nichts getan, um zu verhindern, dass der nächste Händler in dieselbe Falle läuft. Sie hatten alle Belege und haben sie ignoriert.
      Darum ging es im Blogbeitrag. Natürlich wäre es auch unfair, wenn Händler Verbraucher zu leicht sperren könnten. Aber es muss doch eindeutig einen Mittelweg geben.
      Stripe hat sehr ausdrücklich gesagt, dass sie mit solchen Meldungen nichts machen. Es wird einfach ignoriert.
    • Doch, Stripe trägt ebenfalls Verantwortung. Dass die Bank des Kunden Chargebacks entscheidet, ist ein verbreitetes Missverständnis. Tatsächlich entscheidet nach mehreren Runden im Verfahren am Ende das Kartennetzwerk.
      Ich habe mehrere Jahre auf der Issuer-Seite gearbeitet und oft Einreichungen von Händlern gesehen, die Stripe nutzen. Ich kenne Fälle, in denen Stripe es abgelehnt hat, Streitfälle anzufechten, obwohl nach den Netzwerkregeln klar war, dass sie zu gewinnen gewesen wären.
      Stripe scheint entschieden zu haben, dass es sich finanziell nicht lohnt, die meisten Chargebacks anzufechten. Vermutlich, weil man die Kosten auf die Händler abwälzen kann und davon ausgeht, dass sie ohnehin nicht wechseln.
    • Man will sicher kein „System, bei dem ein einzelner verärgerter Händler jemanden im gesamten Stripe-Zahlungssystem sperren kann“. Aber zwischen „diese Person überall automatisch blockieren“ und „vielen Dank für den Screenshot. Schauen Sie sich doch mal Radar an“ liegt eine ziemlich große Lücke, und genau das ist frustrierend.

  • Ich habe bei Stripe Chargebacks in Millionenhöhe bearbeitet. Wir haben Tickets verkauft, die sich leicht weiterverkaufen ließen, und unsere Kunden waren Touristen aus aller Welt, die für Veranstaltungen angereist sind.
    Stripe Radar war kein gutes Produkt. Es kam oft vor, dass hochgradig verdächtige Transaktionen mit einem Risikowert von 1 oder 2 auf einer Skala bis 100 bewertet wurden. Ich habe keinen Machine-Learning-Hintergrund, aber methodisch schien da etwas fehlerhaft zu sein, als würde intern eine Leitung fehlen. Leider scheint Stripe keinen großen Anreiz zu haben, sich darum zu kümmern.

  • Inzwischen bin ich ziemlich sicher, dass Stripe zumindest mental PayPal 2.0 nähersteht.
    Man drückt bei Betrug auf der Plattform beide Augen zu, kassiert das Geld und sperrt danach erwachsene Creator oder Verkäufer, und man ist zwar überall präsent, aber nicht gerade beliebt.
    Es ist gut, dass Stripe die Fintech-Welt verändert und mehr Menschen programmatischen Zugang ermöglicht hat, aber aus diesen Gründen sage ich Leuten, die heute nach Empfehlungen für Zahlungsanbieter fragen, inzwischen oft: „Meidet Stripe.“

    • So ist nun einmal die Natur dieser Branche. Die etablierten Player haben über Jahre Beschränkungen angesammelt und sind langsam, unbeholfen und unangenehm im Umgang.
      Neue Anbieter differenzieren sich durch Agilität und gute Zusammenarbeit und gewinnen damit Marktanteile.
      Mit der Zeit müssen aber auch die Neuen zunehmend Regulierung, Betrug, operative Lasten und Praktiken zur Haftungsvermeidung bewältigen.
      Dann werden die Neuen zu den Etablierten, und alles beginnt wieder von vorn.
    • Wen würdest du als Alternative empfehlen?

  • Ich hatte einen betrügerischen Chargeback-Fall. Es wurde behauptet, der Kauf sei nicht autorisiert gewesen, aber die Person ist persönlich zum Unterricht erschienen. Noch schlimmer war, dass über Link bezahlt wurde, also hat Stripe die Person per Zwei-Faktor-Authentifizierung aktiv verifiziert
    Kann mir jemand erklären, warum Stripe oder ein Wettbewerber keine Einstellung wie „Transaktionen mit Karten ablehnen, die dieses Jahr mehr als x Chargebacks gegen Händler ausgelöst haben“ anbietet?

    • Solche Regeln wirken etwas heikel. Jemandes Karte könnte ja tatsächlich gestohlen worden sein
      Frustrierend ist, dass Stripe mit Radar-Regeln auf Basis von Machine Learning und Ähnlichem wirbt, dort aber offenbar keine wirklich wertvollen Daten einfließen lässt
      Der Stripe-Support hat E-Mails gesehen, in denen der Kunde damit prahlte, mich betrogen zu haben, und völlig zugestimmt, dass es sich eindeutig um Friendly Fraud handelte, aber mit dieser Information nichts unternommen
    • Ich weiß nicht, ob das der Grund ist, aber wenn ich gebeten würde, so ein System zu bauen, hätte ich ziemliche Sorgen, dass es unter den Fair Credit Reporting Act als Verbraucherbericht fallen könnte
      Ich hätte auch keine Lust auf das unvermeidliche Mediendrama. So etwas wie: „Ich bin nur eine arme, ahnungslose Oma und habe bloß einer Facebook-Werbung geglaubt, und jetzt hat Stripe mich aus der Hälfte aller Online-Shops ausgesperrt, weil ich betrogen wurde!“
    • Du sagst, es wurde behauptet, der Kauf sei nicht autorisiert gewesen, und die Person sei persönlich zum Unterricht erschienen, aber woher weißt du, dass die Person, die zum Unterricht kam, auch der Inhaber der verwendeten Kreditkarte war?
    • Ihr Geschäftsmodell besteht darin, möglichst viele „gültige“ Transaktionen zuzulassen, nicht darin, ihre „Kundenunternehmen“ zu bedienen. Sie sind ein Zahlungsdienstleister

  • Das ist einfach Betrug. Mit „Friendly Fraud“ sind Fälle gemeint, in denen Kunden versehentlich oder in guter Absicht einen Chargeback auslösen, etwa weil sie die Buchung auf der Abrechnung nicht erkennen

    • Etwas auf der Abrechnung nicht zu erkennen, ist an sich kein Betrug. Für Betrug braucht es Vorsatz oder zumindest grobe Fahrlässigkeit, etwa nach dem Motto: „Wenn mir etwas nicht bekannt vorkommt, fechte ich einfach alles an und bemühe mich kaum, mich zu erinnern“
      Der Ausdruck „einfach Betrug“ wird bereits für Fälle verwendet, in denen „Krimineller c die Karte des ahnungslosen Karteninhabers a bei dem ahnungslosen Händler b benutzt“. Mich würde also interessieren, was an dem Ausdruck „Friendly Fraud“ so problematisch sein soll
    • Genau das ist der Punkt. Man kann strafrechtlich Anzeige erstatten und vor dem Zivilgericht ebenfalls gewinnen
    • Genau. Und Stripe könnte das viel besser verhindern, tut es aber nicht

  • Guter Artikel. Der Kernpunkt war für mich, dass Stripe eingeräumt hat, Belege für Friendly Fraud nach einem Streitfall nicht als Radar-Signal über Händler hinweg zu verwenden
    Zusammen mit dem Umstand, dass der Kunde nach gewonnenem Chargeback buchstäblich noch damit angegeben hat, zeigt das, wie stark das System gegen unabhängige Verkäufer verzerrt ist

  • Dass Stripe Daten zu Friendly Fraud erfasst, ist ziemlich klar. Zumindest Visa Compelling Evidence 3.0 haben sie implementiert https://support.stripe.com/questions/how-does-stripe-support...
    Da wir keinen Screenshot der Nachricht vom Stripe-Support haben, vermute ich, dass man dich mit einer vorsichtigen, rechtlich unverfänglichen, vagen Antwort abwimmeln wollte und daraus dann ein wütender Blogpost wurde

    • Ich kann Stripes Antworten wörtlich teilen. Es war ein ziemlich langer Austausch. Ein Teil der jüngsten E-Mail lässt ziemlich klar erkennen, dass sie die von mir gelieferten Belege nicht verwenden
      „Ich nehme das Feedback auf und leite es an das Team weiter. Der Hinweis auf Missbrauchserkennung nach der Transaktion ist berechtigt. Stripe verfügt über eine starke Betrugserkennung auf Netzwerkebene, aber es scheint eine Lücke dabei zu geben, von Händlern bereitgestellte bestätigte Betrugsbelege zum Schutz des breiteren Händler-Ökosystems zu nutzen. Solches Feedback von Händlern mit direkten Belegen ist wertvoll für die Verbesserung des Systems.“
    • Falls „man wollte dich mit einer vorsichtigen, rechtlich unverfänglichen, vagen Antwort einfach abwimmeln“ zutrifft, ist das auch nicht viel besser, denn das Problem vollständig abzubügeln, wäre selbst schon irreführend
    • In dem Link geht es darum, dass frühere unbeanstandete Transaktionen mit dir vor 4 bis 12 Monaten belegen können, dass die jetzt angefochtene Transaktion tatsächlich legitim war
      Im Fall aus dem Artikel geht es aber um eine Person, die nur den strittigen Kauf innerhalb von 1 bis 2 Wochen getätigt hat
    • Mein einziger Einwand gegen die Aussage, dass Stripe Daten zu Friendly Fraud erfasst, ist, dass man bei einem laufenden Abo, das man nicht verlängern will und auf der Zahlungsseite des Dienstes bereits auf „nicht verlängern“ gestellt hat, die Karteninformationen nicht löschen kann
    • Was genau ist der Punkt? Glaubst du, es wäre wichtig, was Stripe gesagt hat? Ich frage mich, welche Antwort es gegeben haben könnte, die einen wütenden Blogpost nicht gerechtfertigt hätte