3P by GN⁺ | ★ favorite | 댓글 1개
  • 한 SaaS 서비스가 카드 승인 거절률 급증을 추적하다가, 자동 생성 이름과 이상한 이메일 도메인을 쓰는 카드 테스트 공격을 발견함
  • 공격은 대규모 봇 트래픽보다 분당 최대 4장 수준의 수동·경량 자동화에 가까웠고, 카드들은 같은 은행·자금 출처·미국 발급이라는 공통점을 가짐
  • 공개 Telegram 채널과 온라인 도구에는 BIN, CVC, 만료일, 특정 웹사이트에서 통과 가능성이 높은 카드 번호 생성법과 Stripe Checkout 자동 실행 도구가 공유되고 있었음
  • 성공한 사기 결제 중 15%가 차지백으로 이어졌고, 분쟁 수락·환불·구독 취소·검증에는 ChatGPT로 만든 Python 스크립트가 활용됨
  • Stripe Radar의 기본 위험 점수는 대부분 0~5로 낮았으며, 실제 방어에는 시간 단위 실패 횟수를 제한하는 커스텀 Radar 규칙이 가장 유용했음

카드 테스트 공격 발견과 초기 대응

  • 몇 주 전 카드 승인 거절률이 평소보다 높다는 알림이 발생함
  • Stripe 대시보드에서 자동 생성처럼 보이는 이름과 이상한 이메일 도메인을 가진 사용자의 실패한 결제가 다수 확인됨
  • 서비스는 이를 전형적인 카드 테스트 공격으로 보고 Stripe Radar를 활성화했으며, 체크아웃에 CAPTCHA를 넣는 작업을 백로그에 추가함
  • 비슷한 시기에 Pieter Levels와 Danny Postma도 Twitter에서 유사한 공격을 공유함
    • Pieter Levels는 Philippines에서 온 Jake Smith라는 이름의 고객 240명을 환불·취소했고, 카드 테스트 결제 금액이 $7,000였다고 적음
    • Danny Postma는 jack smith라는 이름으로 사기 결제가 발생하고 있으며 Stripe의 빠른 해결책이 필요하다고 적음

수동에 가까웠던 공격 패턴

  • 몇 주 뒤 승인 거절률 알림이 다시 발생했고, 임시 Stripe Radar 규칙을 추가하며 대응하기 시작함
  • 트래픽을 자세히 보니 공격자는 분당 최대 4장의 카드를 테스트했고, 대부분의 시간에는 공격 강도와 일관성이 더 낮았음
  • Stripe의 카드 테스트 방지 자료를 기준으로 보면, 해당 서비스의 구현은 비교적 잘 보호된 상태였음
    • 사용자는 체크아웃을 열기 전에 로그인해야 했음
    • Payment Element를 사용하고 일부 신호도 활용 중이었음
    • Stripe 문서 기준으로는 카드 테스트 보호 수준이 excellent에 가까워야 했음
  • 추가 조사와 동료 검토 뒤, 이 트래픽은 수동 공격 또는 매우 가벼운 자동화에 가까운 것으로 판단함

공개 채널에서 유통되는 카드 파라미터와 도구

  • 공격에 사용된 카드 대부분은 같은 특성을 보임
    • 모두 같은 은행에서 발급됨
    • 같은 자금 출처를 가짐
    • 모두 미국에서 발급됨
  • 카드 파라미터가 지나치게 비슷해 실제로 은행에서 유출된 카드인지 의문이 생김
  • 공개 접근 가능한 채널에서 신용카드의 BIN, CVC, 만료일, 이 입력값으로 유효한 카드 번호를 생성하는 도구 링크가 발견됨
    • BIN은 카드 번호의 앞 6~8자리인 Bank Identification Number를 의미함
    • 자금 출처는 카드가 debit, credit, prepaid 중 무엇인지 나타냄
  • 공개 Telegram 채널에는 Spotify Premium이나 YouTube Premium을 불법적으로 얻는 방법을 안내하는 메시지도 있었음
  • 특정 웹사이트, 보통 SaaS에서 승인될 가능성이 높은 카드 파라미터를 공유하는 공개된 지하 생태계가 존재했음
  • 해당 서비스의 공격도 특정 private Discord 서버나 Telegram 채널에서 시작된 수동 공격일 가능성이 높았지만, 구체적인 출처는 찾지 못함
  • 공개 채널에는 며칠 뒤 비공개로 전환한다는 메시지가 자주 보였고, 활동의 상당 부분은 접근할 수 없는 곳에서 이루어지는 것으로 보였음
  • 자동 생성된 카드 목록을 받아 임의의 Stripe Checkout 세션에 자동으로 실행하는 온라인 도구도 다수 존재했음
    • Stripe가 종단 간 소유하는 Stripe Checkout도 자동화에 취약할 수 있다는 점이 예상 밖이었음
    • 도구 코드 일부는 Gmail의 무작위 invalid 이메일 주소를 생성하고 있었음

분쟁, 환불, 구독 취소까지 이어진 사후 정리

  • 일부 공격자는 결제에 성공해 실제로 제품을 구매했고, 이 때문에 사후 정리 비용이 커짐
  • 규모를 확인하기 위해 5월 1일 이후 실패한 결제가 5회를 넘는 고객을 데이터 저장소에서 조회함
  • ChatGPT로 Python 스크립트를 만들어 해당 고객들의 이메일 도메인을 추출함
  • 도메인 목록을 바탕으로 데이터베이스를 조회해, 같은 도메인의 이메일을 가진 고객이 만든 성공 결제 목록을 확보함
  • 또 다른 ChatGPT 생성 스크립트로 어떤 결제가 이미 분쟁 상태인지 확인함
  • 성공한 사기 결제 중 15%가 차지백으로 이어짐
    • 차지백 비율: {p:15}
  • 모든 분쟁을 수락하고 각 건당 Stripe의 £20 수수료를 감수하기로 함
  • Stripe에서 최소 권한의 restricted key를 만들고, ChatGPT로 차지백 수락 스크립트를 생성함
  • 이후 스크립트로 목록 내 결제를 가져와 분쟁이 아닌 결제를 환불하고, 해당 결제를 만든 고객의 활성 구독을 취소함
  • 환불된 결제에 대해서도 성공 결제와 환불 과정에서 Stripe 및 네트워크 수수료 손실이 발생할 수 있었음
  • 마지막 검증 스크립트로 모든 결제가 분쟁 수락 또는 환불 상태인지, 해당 고객에게 활성 구독이 남아 있지 않은지 확인함
  • ChatGPT는 스크립트 실행 시 주의와 작은 샘플 테스트를 권고했으며, 스크립트는 직접 검토했고 고객 데이터·ID·API 키는 공유하지 않았음

미국 은행의 승인 관행이 남기는 부담

  • 온라인 결제 세계는 사업자에게 불공정한 면이 크다고 봄
    • 분쟁에서 이길 가능성이 낮음
    • Stripe 기준 분쟁 활동을 0.75% 미만으로 유지해야 함
    • 사업자가 이기든 지든 분쟁마다 £20를 지불해야 함
  • 동시에 은행, 특히 미국 은행은 다음 조건에서도 결제를 승인할 수 있음
    • 전체 이름이 틀림
    • CVV/CVC가 유효하지 않음
    • 만료일이 틀림
    • 청구 주소가 일부만 제공되고 ZIP code도 틀림
  • 이런 조건에서도 3D Secure 인증이 반드시 트리거되지는 않았음
  • 카드 번호만 맞는 결제에 대해 왜 사업자가 책임을 져야 하는지 의문이 남음
  • prepaid card에서는 이런 검사의 가능성이 제한될 수 있지만, 개선 여지는 있다고 봄

실제로 효과가 있었던 Stripe Radar 규칙

  • 초기 대응은 Stripe Radar 활성화였음
  • Stripe Radar는 결제마다 점수를 매기고 일부 지표가 맞지 않으면 자동 차단하도록 설계된 머신러닝 기반 솔루션임
  • 이번 사례에서는 기본 Radar 판단이 큰 도움이 되지 않았음
    • 대부분의 사기 결제 위험 점수가 0~5로 낮게 나옴
    • 반대로 정상 고객 일부는 3D Secure 챌린지를 두 번 실패한 뒤 차단됨
    • 이 경험 때문에 고객의 운명을 머신러닝에 맡기는 것에 우려가 생김
  • 더 유용했던 기능은 Stripe Radar 커스텀 규칙이었음
    • 3D Secure 챌린지 요청
    • 수동 검토로 전송
    • 완전 차단
  • Radar 규칙은 의사코드처럼 보이지만, 악성 결제 시도를 좁히는 꽤 복잡한 로직을 표현할 수 있음
  • 가장 유용했던 대응은 고객별로 1시간, 1일, 1주 동안 가능한 결제 실패 횟수에 합리적인 제한을 거는 방식이었음
  • CAPTCHA 추가, 실패율 모니터링, 커스텀 Radar 규칙 공유가 은행의 승인 책임이 커지기 전까지 가능한 현실적 대응으로 남음

비용은 결국 사업자와 고객에게 전가됨

  • 결제 프로세서 수수료, 차지백 벌금, 엔지니어링 비용, 플랫폼 퇴출 위험까지 사기 활동의 비용은 전 세계 사업자가 부담함
  • Stripe가 사업자에게 £20 차지백 수수료를 부과하는 것도 불공정한 대우의 사례로 봄
  • 이런 비용은 결국 더 높은 가격 형태로 고객에게 전가됨
  • 매일 의존하는 결제 네트워크는 악용 가능성이 높으며, 카드 청구 가능 여부의 최종 결정은 발급 은행의 재량에 달려 있음
  • 은행이 승인에 더 많은 책임을 지지 않는 한, 사업자가 할 수 있는 일은 승인 실패율을 면밀히 보고, CAPTCHA를 추가하고, Stripe Radar 규칙을 개선하는 것에 가까움

댓글과 토론

Hacker News 의견들
  • 가장 놀라운 건 Stripe 결제를 악용하는 집단이 있다는 사실보다, 작성자가 ChatGPT로 지불 처리 자동화 스크립트를 만들게 했다는 점임
    특히 차지백 처리용이었다는 게 문제이고, 글의 맥락상 작성자가 그 스크립트를 직접 작성하거나 검증할 기술 역량이 부족해 보였음
    Stripe가 사기 방지를 맡아줄 거라 믿었다가 신뢰를 저버렸다고 분개하면서, 다시 자신이 이해하지 못하는 다른 기술을 맹신하는 셈임
    문제는 Stripe만이 아니라, 신뢰를 아무 데나 맡기고 잘되길 바라는 태도에 있음

    • 이건 좀 잘못된 묘사처럼 느껴짐
      작성자는 결제 처리를 맡긴 게 아니라, 해당 계정들의 차지백을 훑고 사실상 “수락” 버튼을 누르는 스크립트를 만든 것에 가까움
      기술 역량이 부족하다는 판단도 어디서 나온 건지 잘 모르겠고, 글에서도 “스크립트를 모두 주의 깊게 검토했고 고객 데이터, ID, API 키는 공유하지 않았다”고 했음
    • 이 사람은 수익 나는 사업을 운영하고, 고객에게 가치를 만들고, 기능을 출시하며, 자신이 완화한 위협과 배운 점을 공개하고 있음
      그 과정에서 ChatGPT로 스크립트를 만들어 시간을 아낀 것뿐임
      비기술자인지 단순히 시간을 절약하려는 건지는 모르겠지만, 솔직히 이런 실행력은 칭찬받아야 함
      이 스크립트들은 생사를 가르거나 사업 핵심 결정을 내린 게 아니라, 대량 데이터를 걸러서 수동 확인 가능한 결과를 빠르게 만들어준 도구였음
      오히려 ChatGPT가 가장 유용한 사례로 보임. 시간이 부족한 창업자가 특정 목표를 갖고 잠깐 필요한 전문 지식을 얻어 스크립트를 만드는 식의 역량 증폭 도구라는 것임
      예전 같으면 같은 결과를 내기 위해 외주를 찾고 고용하고 설명하느라 몇 주가 걸렸을 일을 이제 거의 공짜로 즉시 만들 수 있음
      이런 걸 “놀랍다”거나 무책임하다고 반사적으로 보는 건 이해는 되지만, 꽤 “요즘 것들”식 반응처럼 느껴짐
      이게 미래라면, 개발자들은 비기술자의 자기충족성이 커지는 걸 지지하고, 창업자가 ChatGPT에 스크립트를 잘 요청하는 과정을 어떻게 개선할지 고민하는 편이 낫다고 봄
    • 글 작성자임. 실행하기 전에 ChatGPT 스크립트를 꼼꼼히 검토하고 테스트했음
      이 분야의 기술 전문성이 부족하다고 하긴 어렵고, 단지 시간을 최대한 효율적으로 쓰려는 것임
    • 이런 식의 근거 없는 추측을 왜 이렇게 자주 보는지 모르겠음
      작성자는 이미 스크립트를 검토했고 민감한 데이터를 올리지 않았다고 답했으니 그 부분은 더 보탤 게 없음
      많은 사람이 ChatGPT를 효과적으로 쓰지만 결과를 맹신하지는 않음. 내게 ChatGPT는 출발점이지 최종 산출물이 아님
      환각으로 만들어진 판례 인용을 검증 없이 법률 서면에 붙여 넣은 그 변호사처럼 모두가 어리석은 건 아님
    • ChatGPT가 왜 언급됐는지 좀 이상했음. 거의 광고처럼 느껴졌음
      비슷한 글을 많이 읽었지만, 내용이 코딩이나 디버깅 자체에 대한 메타 글이 아닌데 작성자가 갑자기 Stack Overflow에 의존해 코딩했다고 말하는 경우는 잘 기억나지 않음
  • 미국에서 결제를 받는 외국 회사라면, 이런 건 그냥 영업 비용으로 예상해야 함
    미국의 신용카드 사기는 사회화되어 있음. 최종 소비자는 책임을 지지 않으니 칩과 PIN, 2단계 인증, 3D Secure 같은 걸 굳이 쓰지 않음
    의심스러운 거래를 발견하면 은행 앱에서 버튼 하나 누르고 몇 분 안에 결제가 취소됨
    은행과 결제 처리 업체도 사람들이 더 많이 쓰게 하려고 거래를 최대한 빠르고 쉽게 통과시키는 쪽으로 유인이 있음
    작성자가 말했듯 만료일, 청구 주소, 우편번호가 맞지 않아도 대체로 결제가 됨
    단점은 모든 책임이 사업자에게 밀려가고, 사업자는 이를 보전하려고 모두에게 가격을 올릴 수밖에 없다는 점임

    • 그 인과관계는 잘 납득되지 않음
      덴마크에도 같은 소비자 보호, 차지백 가능성, 은행 계좌가 털려도 소비자가 돈을 잃지 않게 하는 정부 보증이 있음
      그런데도 구매 시점에는 의무 칩과 PIN과 3D Secure 같은 강한 보호가 있음
      미국에 더 나은 카드 보안이 없는 데 합리적 이유가 있다고 보진 않음. 그냥 원하지 않는 것처럼 보임
    • 여기에 카드사가 가맹점에 부과하는 터무니없는 수수료도 더해짐
      미국에서는 보통 거래액의 약 2% 이고, EU는 최대 0.3%로 제한함
      그마저도 옮기는 돈의 규모를 생각하면 여전히 커 보임
      이 비용도 결국 사회화되어 소비자에게 전가되고, 현금으로 내는 사람도 더 높은 가격으로 부담하게 됨
      참고로 3D Secure에서는 일부 은행 약관상 카드 소유자가 사기 결제 책임을 질 수 있음
      휴대폰 2단계 인증이라면 휴대폰과 지갑을 같이 도난당하는 것만으로도 충분하고, 실제로 수천 달러를 잃은 사례를 뉴스에서 봤음
    • 미국인과 캐나다인은 거래 하나를 처리하기 위해 뒤에서 벌어지는 혼란으로부터 차단되어 있음
      이들은 달러당 1~2센트, 많아야 5센트 정도의 보상을 “포인트” 형태로 볼 뿐이고, 1센트가 100포인트처럼 표시되니 그럴듯해 보임
      보이지 않는 건 전반적인 상품 가격의 3~5% 이상 가산, 차지백과 처리 비용, 사기 결제, 취약한 보안, 여전히 마그네틱 띠를 받는 매장, 수많은 중간상임
      은행 수수료, 카드 발급사 수수료, 네트워크 수수료, 프리미엄 카드 수수료가 계속 붙음
      완전한 혼돈이고 정말 싫음
      FedNow로 바뀌길 기대함. 사람들 돈을 빨아먹는 중간상을 없애고, 기생충과 낭비를 없애야 함
    • 미국 은행에 초점이 맞춰진 게 웃겼음. Telegram 사진 하나는 프랑스 파리 주소를 쓰라고 되어 있었기 때문임
      내가 속한 두 조직을 지난 2년간 운영했는데, 둘 다 프랑스 은행 카드를 쓰는 자동 신용카드 확인 봇에 당했고 많은 카드가 통과됐음
      물론 두 조직 모두 결제 사이트를 강화하라는 내 이전 경고를 무시한 사연이 있고, 그중 하나는 아직 Magento 1을 쓰고 있었음
      일화일 뿐이지만, 진짜 문제는 신용카드가 ACH만큼이나 임시방편으로 덧댄 유물이고 아무도 의미 있게 고치려 하지 않는다는 데 있음
    • 무엇보다 경로 의존적인 오래된 관행 때문일 가능성이 큼
      신용카드는 미국에서 발명됐고, 그래서 기술이 오래됐으며 업그레이드에 시간이 오래 걸림
      수동 결제 쪽에서는 인도의 UPI가 꽤 좋아 보임. 결제가 처리되기 전에 고객이 휴대폰에서 각 결제를 승인하는 방식이라고 들었음
  • 차지백 수수료와 관련해, Visa는 몇 년 전 Verifi라는 회사를 인수했음
    새 제품인 Rapid Dispute Resolution과 Order Insight가 있음
    RDR은 거래가 차지백으로 바뀌기 전에 자동 환불할 수 있게 해주고 Visa가 4달러 수수료를 받음. MCC 코드가 고위험이 아니라는 전제임
    Order Insight는 문제 제기된 결제에 대해 특정 데이터를 즉시 제공할 수 있게 해주며, 고객이 과거에 3번 결제한 이력이 있으면 차지백을 발행할 수 없게 됨
    우리 사업에서는 승소율, 평균 주문액, 차지백 수수료를 기준으로 아주 쉬운 결정이었음
    이제 Visa나 가맹점 은행의 1% 차지백 규칙도 계속 걱정하지 않아도 됨
    Visa 결제에만 적용되지만 전체 거래량의 약 50%를 차지했음
    마지막으로, Visa는 처리업체의 거대한 수익원을 사실상 빼앗고 있음. 처리업체가 TSYS라면 RDR 수수료로 10달러를 받으려 할 것임

    • 글 작성자임. Mastercard에 대해서는 어떤 식으로 처리하고 있음?
      Ethoca를 들어봤는데, SEO를 정말 잘하더라. Verifi와 꽤 비슷해 보임
  • 미국은 왜 은행 쪽에서 이렇게 뒤처져 보이는지 모르겠음
    영국은 2004년부터 칩과 PIN을 도입했고 2006년부터 의무화했는데, 미국은 그보다 10년쯤 늦게 따라왔음
    Faster Payments는 대부분의 은행 계좌 간 즉시 이체를 무료로 제공함. 미국 고객에게서 송금을 받는 건, 미국 Wise 계좌가 있어도 항상 악몽이었음
    EU가 강력한 고객 인증을 도입한 뒤로는 대부분의 신규 결제가 모바일 뱅킹 앱이나 다른 2단계 인증 수단으로 승인되어야 함
    그 이전에도 최소한 우편번호와 CVV는 맞아야 했음
    이런 조치는 은행이 사기 책임을 고객에게 넘기는 방식처럼 보이지만, 어느 쪽이든 손해는 고객에게 감
    카드 사기가 널리 받아들여지는 문화에서는 그 비용을 상쇄하려고 가격이 올라감

    • 캐나다인 입장에서는 미국 식당에서 결제할 때 시간 여행을 한 느낌임
      테이블에서 단말기로 직접 결제하는 대신, 서버에게 카드를 주고 어딘가에서 수동 처리하길 기다려야 함
      최근 몇 년 사이 나아졌을 수도 있지만, 캐나다에서는 2000년대 초 이후로 그런 방식은 쓰지 않음
    • 카드 사기가 총 결제액의 X%를 차지한다면, 회사는 이를 처리하려 애쓸 수도 있고 그냥 처리하지 않은 채 거래를 계속 흘려보내며 비용을 감수할 수도 있음
      그 결과 Y% 더 많은 고객을 처리할 수 있고 Y가 X보다 크면 장기적으로 더 많은 이익을 낼 수 있음
      미국에서는 엄청난 규모 덕분에 많은 사업에서 이 방식이 통함
      예를 들어 McDonald's는 점심 피크 시간에 사기가 없는지 확인하느라 1초를 쓰기보다, 빠르게 결제를 처리하는 편이 마진상 더 나을 가능성이 큼
      유럽에서는 통하지 않을 수 있지만, 실제 비용을 분석할 때 거래 속도와 규모라는 차원을 놓치고 있다고 봄
      사기와 이익의 균형이 기업에 불리해지는 순간, 미국에서도 주요 사기 방지 장치가 거의 즉시 켜질 것임
    • 미국은 엄청나게 다양하고 규제가 느슨한 은행 부문을 갖고 있음
      50개 주에 걸쳐 수천 개의 소규모 지역 은행이 있고, 각 주도 꽤 독립적임
      이런 환경에서 대형 신기술을 배포하는 건 훨씬 더 어려움
    • 여기 댓글 대부분은 원문과 별 관련이 없어 보임. 원문은 구체적으로 카드 미제시 사기에 관한 것임
      칩과 PIN은 인터넷 결제에는 작동하지 않음
      은행 송금은 국제적으로 잘 맞지 않음
      주소 확인과 CVV는 켜기 쉽지만, 합법적인 거래까지 더 많이 거절할 수 있음. 때로는 그 비용이 잡아내는 사기 위험보다 큼
      사기 책임은 고객이 아니라 가맹점에게 밀림
      물론 가맹점 사기 비용이 결국 가격에 반영되어 고객이 더 내게 되지만, 모든 사기 비용이 결국 소비자에게 전가된다는 의미에서만 그렇음
    • “앞섰다”와 “뒤처졌다”는 사고를 멈추게 하고, 전체 주제를 숫자선 위 위치처럼 바꿔버림
      실제로는 그렇지 않고, 복잡한 문제이며 대서양 양쪽의 주체들이 변화를 악용하려는 불성실한 게임을 하고 있음
      또 관련된 역할들도 무시하고 있음
      안정적인 직장을 가진 20대 중반은 여러 이유로 실제 시스템에서 점점 더 작은 부분이 되고 있음
      EU와 그 밖의 지역에서도 일하는 20대가 착취당하고 권리를 잃고 있다고 보는 사람들도 있음
  • 예전에 다니던 회사 서버가 해킹당했고, API 키를 훔쳐 그 서버에서 카딩을 했음
    PayPal은 우리에게 수수료 10만 달러를 내야 한다고 했음
    우리는 강좌 등록비로 하루 최대 5번, 건당 4,500달러 정도만 처리하던 곳이었음
    해커는 무작위 신용카드 번호에 대해 매초 1달러 승인 요청을 돌렸음
    카딩 수수료는 결국 내지 않아도 됐지만, 그들은 신경 쓰지 않음
    사기에서 돈을 벌기 때문에 신경 쓰지 않는 것임
    설정상 주문 금액은 2,500~6,000달러 사이만 허용한다고 해뒀지만, 승인 요청은 확인하지 않더라
    정말 미친 일임
    2010년쯤이었고 당시 Stripe는 캐나다에서 쓸 수 없었음

  • Stripe의 사기 방지는 끔찍하고, 의도적임
    그들은 위험 관리 비용을 노골적으로 고객에게 떠넘기고 있음. 외설적일 정도임
    신용카드 사기 방지 분야에서 일하는데, 내가 그 일을 아주 잘하는 편도 아니지만 우리 3.5명짜리 팀은 이런 종류의 카딩 공격을 막는 시스템을 쉽게 만들고 유지했음
    사업자가 카딩 공격을 막는 주된 방법은 다음 표적보다 약간 더 귀찮게 만드는 것임
    내가 보기엔 Stripe는 고통과 비용을 사용자에게 떠넘길 수 있으니, 가장 공격하기 쉬운 대형 네트워크로 남아도 괜찮다고 보는 듯함
    Stripe는 아주 적은 비용으로도 이런 피해를 쉽게 막을 수 있음
    몇 푼 아끼려고 사용자가 고통받게 두는 선택을 하고 있음

    • Stripe는 사소한 것까지 과금하려고 하고, Radar 비용을 내게 만들고 싶어 함
      Stripe Taxes와 형편없는 환전도 똑같은 전략임
      처음에는 서비스를 제대로 제공하지 않다가, 결국 Stripe 거래 비용이 전체 가격의 두 자릿수 비율까지 올라간다는 걸 깨닫게 됨
  • Stripe의 Edwin임. 이 글은 한 달 전의 오래된 글(https://piotrmierzejewski.com/p/card-networks-exploitation)을 복사한 것이라는 점을 덧붙이고 싶음
    그 이후로 이 문제 대부분은 수정했음. 이런 유형의 카드 테스트는 줄어들었고, 이제 Radar가 이런 공격을 잡아야 함
    차지백에 대해서는 우리도 차지백을 싫어하고 가능한 한 줄이고 싶음
    실제로 여기에 도움이 될 몇 가지를 작업 중임
    은행들이 차지백 수수료를 다양한 금액으로 부과하고, 그 평균이 20달러 수수료 형태로 표시됨
    Stripe 전용 수수료가 아니며, 우리는 차지백으로 이익을 내지 않음
    올해 남은 기간의 회사 계획을 막 마쳤고, 이런 유형의 사기를 줄이는 것이 최우선순위
    비슷한 일을 겪고 있다고 생각하면 edwin@stripe.com으로 메일해주면 됨

    • “Radar가 이제 이런 공격을 잡아야 한다”가 아니라, 기본 제공 기능이 잡아야 함
      진심으로, 당신들 고객으로서 하는 말임
  • 작년에 전자상거래 회사에서 시스템, CI, 인프라, 소프트웨어를 다 맡는 역할로 일했음
    이런 일은 정말 흔했고, 매주 최소 하루는 새로운 패턴을 파악하고 막는 데 썼음
    공격자들은 우리 시스템으로 신용카드를 검증하고 있었음
    결국 장바구니와 결제 쪽 공격은 거의 다 막았지만 요청은 계속 들어왔음
    나중에 관련 없는 PHP 문제로 로그를 뒤지던 중, 한 소프트웨어 엔지니어가 나중에 결제 수단을 저장하는 페이지로 엄청난 트래픽이 들어온다고 말했음
    그 플랫폼은 카드가 진짜인지 확인하려고 1달러 결제를 날렸고, 공격자들은 그걸 이용해 카드를 계속 돌리고 있었음
    신용카드 도둑들은 정말 수완이 좋음

  • Stripe로 사기를 탐지하려면, 진지하게 줄이고 싶고 거래량이 충분하다면 자체 사기 탐지 모델을 학습시키는 게 좋다는 조언을 들은 적 있음
    단순한 로지스틱 분류기 같은 것도 통할 수 있음
    Stripe Radar는 각 사업의 세부 특성에 맞춰져 있지 않고, 어떤 제품을 사는지, 사이트를 연 뒤 구매까지 얼마나 걸리는지 같은 추가 신호를 반영할 수 있음
    커스텀 Radar 규칙도 어느 정도는 동작함
    많은 인디 사업자가 이런 걸 할 자원이나 의지가 없다는 건 이해함
    살 수 있는 솔루션도 있지만 비싸고 대체로 대량 거래 가맹점을 겨냥함
    언젠가 Stripe가 미세 조정 가능한 Radar 제품을 내놓을지도 모르겠음

  • 신용카드 업계가 사라져야 하는 또 하나의 이유임
    보안 프로토콜은 없거나 21세기 초 이후로 업그레이드되지 않았고, 중간상들의 남용도 셀 수 없이 많음
    이런 골칫거리를 처리하는 비용은 더 높은 거래 수수료와 차지백 수수료 형태로 가맹점에 전가되고, 결국 소비자에게 넘어감
    신용카드 업계가 소비자에게 최악의 소비 습관을 부추기고, 끝없는 부채 노예의 순환을 지속시킨다는 점도 잊으면 안 됨