신용카드 사기도 비즈니스다 - 그들도 자체 서플라이 체인과 QC조직이 있음
(threadreaderapp.com)- Stripe 직원이 3개의 주제를 묶어서 풀어낸 흥미로운 이야기
ㅤ→ 자선 기부
ㅤ→ 신용카드 사기를 위한 공급망
ㅤ→ 글로벌 금융 인프라
- 신용카드 사기꾼들은 매우 정교하고 전문화된 생태계를 보유
ㅤ→ 전용 인프라 및 대응속도를 놓고 경쟁하는 품질관리부서도 있음
- 대부분의 도난 당한 카드는 도둑/해커가 사용하지 않고 이 마켓에서 판매됨
ㅤ→ 이게 작업의 전문화를 가능하게 함
ㅤ→ 이 시장에선 제품 품질을 보장하기 위해 별점 리뷰 등으로 관리되는 품질 표준도 있음
- 이 "품질"은 "구매자가 실제로 이 카드에서 돈을 인출할 수 있는가?"를 의미함
ㅤ→ 이 것은 소위 "카드 테스팅"을 통해서 판매전(또는 판매후)에 보장됨
- 이런 카드의 효용성은 시간이 지나면서 감소(카드가 취소되거나 차단 되기 때문에)
ㅤ→ 도둑들은 판매 바로 직전에 "테스트 거래"를 실행해서, 이 카드들이 비싼 값을 받아야 한다는 것을 보여줌
ㅤ→ 구매자들은 이렇게 불법 구매한 카드로 "카드 사기" 시도가 실패하면, 이걸 구매하기 위해서 사용했던 다른 희소한 자원들을 날려먹을 수 있기 때문에 이 테스트는 중요함
- 합법적인 기업과 자선단체 들이 "대규모 카드 테스팅"에 이용 됨(한번에 수백만명 씩)
ㅤ→ 사기꾼들은 여기서 직접 뭔가를 가져가진 않음
ㅤ→ 단지 카드가 결제 잘 되는 지만 확인하면, 시장에서 돈을 더 많이 받을 수 있기 때문에
- 자선단체 들이 전체 카드 테스트 시도의 11%를 차지
ㅤ→ 다른 산업들은 훨씬 낮음 (종교/교육/보험 등의 3배 이상)
- 왜 사기꾼들이 자선 단체를 우선적으로 노릴까?
ㅤ→ 이유중 하나는 (전담결제 팀이 있는 대규모 자선단체 들을 제외하고,)
ㅤㅤ대규모의 자선단체는 누군가 자선단체에게 돈을 주면서 자신들을 불법적으로 이용할 수 있다고 생각하지 않기 때문
- 이커머스들은 이 anti-fraud(사기방지)가 필수이지만, 자선 단체들은 할 여력이 없음
- 하지만, 이 카드 테스트는 자선 단체들에 *정말로 좋지 않음*
- 이렇게 결제 된 것들은 카드 소유자가 항의하면 취소가 되며, 이런 일이 일어나도록 한 것 때문에 금융 업계에서 불이익을 받음
- 최악의 결과로는 이렇게 반복되는 카드 테스팅을 막지 못해서, 카드로 기부 받는 것 자체가 불가능해 질 수 있음
- 이건 온라인 카드 기부가 전부인 소규모 자선 단체에게는 재앙 수준
- 팬데믹 기간동안 카드 테스트 공격은 빠르게 증가했음
- 내가 사는 아시아의 경우는 Stripe 네트워크 전반에 걸쳐서 예상치보다 56%나 급증했음
- 이에 대해 소규모 자선 단체들은 뭘 할수 있을까 ?
- Stripe는 이런 것을 보호할 책임이 있으며 이를 막기 위해 여러가지 일들을 했음
ㅤ→ 백엔드에서 카드테스팅 공격을 인식하도록 계속 작업 중
ㅤ→ 프론트엔드에서 더 강력하게 개입이 가능은 하지만, 소규모 단체들은 이를 구현할 리소스가 없음
ㅤㅤ(일반적인 자선단체들은 스탭중에 개발자가 없음)
- 그래서 Stripe Checkout 에 중재 모델을 구현했음
ㅤ→ 공격 때문에 카드결제를 완전히 차단하는 것은 자선단체에게 피해를 줌
ㅤ→ 그래서 공격이 일어날 때 Captcha 같은 것을 넣음. 이게 굉장히 효과적.
ㅤ→ 보통 공격이 일어날 때 보면 Captcha의 1.6%만 성공함
ㅤ→ 모두에게 하는 게 아니라, 공격자라고 인식되는 사용자에게만 Captcha를 표시하게 되므로, 이걸 보게 되는 합법 사용자는 거의 없음
정말로 흥미롭네요.. 역시 도덕적/법적으로 잘못되었다는 거 이외에 '잘' 하려고 하는 시도가 나아가는 방향과 방식은 사기도 비슷하군요.
사실 카드 결제하면 문자로 실시간 알림이 오는 국내 환경과는 조금 맞지 않는 걸 수도 있는데,
이런 것들이 일어난다는게 흥미로워서 옮겨봅니다.