线上消费平台为降低盗刷等犯罪行为带来的风险,普遍支持3D验证,对进行支付的用户进行身份核实,此类消费平台,被盗刷分子们称为3D通道,与之对应的则是2D通道,即仅支持2D验证方式的消费平台,如2D现金通道。但由于金融机构、司法机关的要求,当前2D通道日渐稀少,如CVV行业中常说的2D现金通道,多指代个人网站或特殊类型的网站,例如慈善捐赠网站等,越来越难以为盗刷分子们所利用,因此我们不再对2D通道进行深入介绍,以下所讲述的消费平台特指支持3D通道。
之前在介绍卡料时提到了当前的信用卡,根据支付时验证方式的不同可以分为2D卡和3D卡,后者在前者的基础之上增添了一层防护,持卡人需要在提供基本支付信息之外,提供如支付密码、安全问题以及OTP等信息,方能验明身份进而完成支付。也正是处于二者验证方式的不同,盗刷分子们通常会将2D卡作为自己的第一选择,试图绕过更为繁琐、更难以通过的3D验证。
但现实并非那么简单,当前主流的线上消费平台与发卡组织及金融机构的合作愈发紧密,即便消费者使用2D信用卡支付,平台方依然可以同发卡组织和银行方面一起,对该消费者进行额外的身份核验,以判断该消费者是否盗用他人卡片,如北欧及东欧地区部分银行要求客户在办理信用卡时,提供父名等隐私信息,平台方便可要求消费者提供此类信息,并经由发卡组织和发卡行进行验证;北美部分平台会要求此类消费者提供申请信用卡时预留的驾照信息或者中间名等信息,以此判断消费者是否为卡主人;日本的部分电商网站在遇到2D卡支付的客户时,会通过电话或邮件与其联系,并要求提供身份信息。
以上种种针对2D信用卡消费者的验证方式,也常常被视作更为广义的3D验证的子集,因为这种验证同狭义的3D验证一样,也是在2D验证之上增添了一层防护。可以说,时至今日,对于绝大多数正规平台而言,利用2D卡和3D卡进行盗刷的难度基本一致,也正因此有经验的盗刷分子并不会如新手那般,高价求购2D卡料。
理论上,3D验证技术的推广应用可以防范绝大多数盗刷犯罪,但正如本站首篇文章中所讲述的那样,3D验证需要消费者跳转至由银行等机构提供的页面进行验证,较为繁琐,因而难以广泛地被消费者所接收。因而绝大多数线上消费平台出于保障客户消费体验的目的,试图在安全性与消费体验之间寻求平衡,并不会对所有消费者进行详细的身份验证,这也给了盗刷分子们可乘之机。在欧美及日本等信用卡体系成熟且发达的地区,线上使用信用卡消费时往往仅需提供个人姓名、账单地址、卡号、CVV、有效期等基本信息便可完成支付验证,这样的验证方式,即2D验证,我们称之为“基础验证”.
在基础验证之外,所需要的无论是狭义的3D验证,还是广义的3D验证,或是平台方人工验证等,我们都称之为“额外验证”。线上消费平台绝大多数情况下,会根据风控系统的判断,对那些被判断为存在风险的消费者进行额外验证,对于其他被判断为不存在风险、风险可以接受的用户,则仅采用基础验证。可以说,无论是正常的消费者,还是风险用户,在使用信用卡支付时所遇到的验证方式,是线上平台风控系统风险评估的结果,而非风控本身。
风控系统的存在与发展,在一定程度上满足了线上消费平台在保障用户支付安全,同时兼顾用户消费体验的需求。典型的风控系统,平台方可以根据某一用户的种种行为数据,利用一定的运算规则,计算出该用户的风险值,即该用户此次消费是异常消费(主要是盗刷,同时也包含其他异常消费,如刷单等)的概率值,数值范围从0-1,数值越大,风险程度越高。平台方同样会设置一个阈值,即该平台可以接受的用户的风险程度,高于该阈值的用户需要进行额外验证,低于该阈值的用户仅需基础验证即可。
当一个平台在特定的时间段内,遭受盗刷等非法行为数量较多时,该平台便会降低阈值,对更多的用户进行额外验证以保障自身利益;反之,某一段时间内遭受的非法行为较少,平台会提高阈值,此时更多的用户仅需基础验证便可支付下单。这样,线上消费平台们便可以在安全性与消费体验这两个极端之间来回变动,时而偏向一方时而偏向另一方。这也是刷手群体中,极少分享通道信息的原因:放出某一通道盗刷简单的信息之后,大量刷手涌入该通道,平台方便会降低阈值,让盗刷变得更加困难。