AutorisierungssignaleBeta

Wir stellen bei der Autorisierung eine Reihe von Signalen zur Verfügung, mit denen Sie fundierte Entscheidungen treffen können.

Verifizierungsangaben

Für jede Autorisierung, die stattfindet, vergleichen wir die während des Bezahlvorgangs bereitgestellten Werte mit den hinterlegten Werten. Wir benachrichtigen Sie, wenn wir eine Nichtübereinstimmung bei Folgendem feststellen:

• CVV2 (oder Sicherheitscode)
• Ablaufdatum der Karte
• Rechnungsadresse
• Postleitzahl der Rechnungsadresse
• PIN-Nummer (bei Eingabe)

Identifizieren Sie betrügerische Aktivitäten

Wenn Sie eine Diskrepanz zwischen den hinterlegten Kartendaten und den beim Bezahlvorgang eingegebenen Kartendaten feststellen, können Sie möglicherweise betrügerische Aktivitäten erkennen. Beispiel:

• Eine Nichtübereinstimmung zwischen der Postleitzahl der Rechnung und der beim Bezahlvorgang angegebenen Postleitzahl kann eine Karte darstellen, die von einer betrügerischen Person gestohlen wurde, die die Postleitzahl des Karteninhabers/der Karteninhaberin nicht kennt und versucht, die Karte für einen Kauf zu verwenden.
• Eine Nichtübereinstimmung zwischen der gespeicherten CVV2 und der an beim Bezahlvorgang eingegebenen CVV2 könnte eine betrügerische Person darstellen, die die Kartennummern durchläuft, um eine zu finden, die funktioniert, ohne die damit verbundene CVV zu kennen.

Autorisierungen ablehnen

Abhängig von Ihrer Risikotoleranz und den Merkmalen der Autorisierung, zum Beispiel persönlich oder online, können Sie Autorisierungen ablehnen, wenn in den Verifizierungsdatenwerten Unstimmigkeiten festgestellt werden.

Beurteilung der Anfechtbarkeit von Betrug

Die Beurteilung der Anfechtbarkeit von Betrug durch Stripe gibt Hinweise darauf, ob eine Autorisierung im Betrugsfall angefochten werden kann

Treffen Sie fundierte Entscheidungen auf der Grundlage der Anfechtbarkeit von Autorisierungen

Wenn Sie wissen, ob Sie eine Autorisierung im Falle eines Betrugs zum Zeitpunkt der Autorisierung anfechten können oder nicht, können Sie fundierte Entscheidungen treffen. Betrachten Sie beispielsweise eine Autorisierung, die ansonsten als „mittleres Risiko“ eingestuft wird:

• Wenn Sie wissen, dass Sie die Autorisierung im Falle von Betrug nicht anfechten können, können Sie diese genehmigen.
• Wenn Sie wissen, dass Sie die Autorisierung (im Falle von Betrug) nicht anfechten können, können Sie diese ablehnen oder nur einen niedrigeren Betrag als den angeforderten genehmigen.

Stripe bewertet die Wahrscheinlichkeit einer Anfechtung, indem bestimmte Eigenschaften der Autorisierung verglichen werden (zum Beispiel ob 3DS verwendet wurde oder ob eine Karte mit einem Chip vorlag). Wir führen diese Bewertung anhand der Netzwerkregeln für Zahlungsanfechtungen durch, um proaktiv festzustellen, was im Falle einer Anfechtung passieren würde.

Ermitteln Sie, wie wahrscheinlich eine Anfechtung eingereicht werden kann

Um die Anfechtbarkeitswahrscheinlichkeit einer Autorisierung im Betrugsfall zu ermitteln, prüfen Sie das Feld fraud_disputability_likelihood auf dem Authorization-Objekt. Dieses Feld enthält verschiedene Aufzählungen, die Sie darüber informieren, ob Sie die Autorisierung anfechten können. Wir kennzeichnen jede Autorisierung als very_likely, neutral oder very_unlikely oder unknown:

• Wenn Autorisierungen mit very_likely bewertet werden, ist es sehr wahrscheinlich, dass Anfechtungen, die auf der Grundlage dieser Autorisierungen eingereicht werden, vom Kartennetzwerk akzeptiert werden. Das Kartennetzwerk lehnt selten very_likely-Autorisierungsanfechtungen ab. Falls es doch passiert, liegt dies in der Regel an außergewöhnlichen Umständen. Zu diesen Umständen kann gehören, dass eine Karte eine betrügerische Anfechtung zum zweiten Mal einreicht oder die zulässige Anzahl von Anfechtungen für eine Karte innerhalb eines bestimmten von Visa festgelegten Zeitraums überschreitet.
• Wenn Autorisierungen die Bewertung very_unlikely erhalten, werden Anfechtungen vom Kartennetzwerk fast immer automatisch abgelehnt.
• Wenn die Autorisierungen mit neutral bewertet werden, beurteilt Stripe, dass das Ergebnis der Anfechtung von verschiedenen Faktoren abhängt. Basierend auf Erfahrungswerten ist es wahrscheinlicher, dass diese Anfechtungen vom Kartennetzwerk akzeptiert werden. Dieses Verhalten kann sich allerdings jederzeit ändern.

Weitere Infos zur Wahrscheinlichkeit der Anfechtbarkeit bei Betrug.

Geschäftswarnungen: Hohes Risiko

Mithilfe von Webhook-Benachrichtigungen können Sie detaillierte Risikobewertungen des akquirierenden Unternehmens erhalten, der an einer Autorisierung beteiligt ist.

Treffen Sie fundierte Entscheidungen auf der Grundlage der Risikostufe

Wenn Sie über Daten zum Risikoniveau eines Unternehmens und zur Wahrscheinlichkeit einer Zahlungsanfechtung verfügen, können Sie fundiertere Entscheidungen darüber treffen, welche Autorisierungen Sie genehmigen oder ablehnen. In diese Bewertung bezieht Stripe alle Acquiring-Transaktionsaktivitäten für ein Unternehmen auf Stripe Issuing, einschließlich Daten wie der Anfechtungshistorie, ein.

Risikoniveau ermitteln

Um das Risikoniveau zu ermitteln, überprüfen Sie das Hash-Feld risk_assessment.merchant_dispute_risk auf dem Authorization-Objekt. Das folgende Beispiel zeigt, wie jeder Wert verwendet wird.

Beispielantworten

Eine Transaktion mit geringem (normalem) Risiko:

{
  "id": "iauth_1CmMk2IyNTgGDVfzFKlCm0gU",
  "object": "issuing.authorization",
  // ...
  "risk_assessment": {
    "merchant_dispute_risk": {
      "risk_level": "normal",
      "dispute_rate": 5
    }
  }
}

Eine Transaktion mit hohem Risiko:

{
  "id": "iauth_1CmMk2IyNTgGDVfzFKlCm0gU",
  "object": "issuing.authorization",
  // ...
  "risk_assessment": {
    "merchant_dispute_risk": {
      "risk_level": "high",
      "dispute_rate": 47
    }
  }
}

Erfahren Sie mehr über das Anfechtungsrisiko von Händlern.

Risiko von Kartentests

Kartentests sind eine beliebte Methode von betrügerischen Akteuren, die so lange gestohlene Kartennummern oder primäre Kontonummern (PANs) testen, bis sie eine gültige Nummer finden. Diese nutzen sie dann bei Unternehmen mit schwachen Verifizierungskontrollen. Als Vorsichtsmaßnahme bewertet Stripe deshalb wie wahrscheinlich es ist, dass Sie derzeit von einem Kartentestangriff betroffen sind, und greift in Ihrem Namen ein. Anschließend benachrichtigen wir Sie über die API darüber, wie schwerwiegend der Vorfall war. Wir prüfen auch, ob bei dem Angriff Karten kompromittiert worden sein könnten.

Treffen Sie fundierte Entscheidungen auf der Grundlage des Risikos für Kartentests

Bei sehr offensichtlichsten Kartentestszenarien greift Stripe automatisch ein. In Situationen mit mittlerem Risiko wägen wir ab, um eine allzu konservative Vorgehensweise zu vermeiden. Diese Fälle erfordern eine sorgfältige Abwägung verschiedener Faktoren, einschließlich der Autorisierungs- und Karteninhaberdaten. Daher empfehlen wir die sorgfältige Bewertung aller relevanten Überlegungen, bevor Sie eine Entscheidung über die Sperrung einer Autorisierung treffen.

Wir bewerten das Risiko von Kartentests unter anderem anhand der Häufigkeit und Intensität von Ablehnungen im Zusammenhang mit einer bestimmten Bank-Identifikationsnummer (BIN) oder einem bestimmten Händler. Diese Ablehnungen sind der sicherste signifikante Indikator, da sie im Vergleich zu regulären Kartenablehnungen häufig einen spürbaren Anstieg der Geschwindigkeit und Häufigkeit aufweisen.

Ermitteln des Risikos für Kartentests

Um das Kartentestrisiko zu ermitteln, überprüfen Sie das Feld risk_assessment.card_testing_risk auf dem Authorization-Objekt. Das folgende Beispiel zeigt, wie jeder Wert verwendet wird. Wir stellen außerdem die folgenden Felder zur Verfügung:

• invalid_account_number_decline_rate_past_hour: Stripe berechnet diesen Wert und gibt ihn zurück, wenn eine Ablehnung eine nicht vorhandene PAN enthält.
• invalid_credentials_decline_rate_past_hour: Stripe berechnet diesen Wert und gibt ihn bei Ablehnungen zurück, bei denen die PAN vorhanden ist (oder in der Vergangenheit vorhanden war), aber andere Verifizierungen wie die Prüfziffer/CVC, das Ablaufdatum oder die Postleitzahl fehlschlagen.

Beispielantworten

Eine Transaktion mit geringem Risiko:

{
  "id": "iauth_1CmMk2IyNTgGDVfzFKlCm0gU",
  "object": "issuing.authorization",
  // ...
  "risk_assessment": {
    "card_testing_risk": {
      "invalid_account_number_decline_rate_past_hour": 5,
      "invalid_credentials_decline_rate_past_hour": 3
    }
  }
}

Eine Transaktion mit hohem Risiko:

{
  "id": "iauth_1CmMk2IyNTgGDVfzFKlCm0gU",
  "object": "issuing.authorization",
  // ...
  "risk_assessment": {
    "card_testing_risk": {
      "invalid_account_number_decline_rate_past_hour": 79,
      "invalid_credentials_decline_rate_past_hour": 83
    }
  }
}

Erfahren Sie mehr über das Risiko für Kartentests.

Empfohlene Einstellungen

Aktivieren Sie zunächst die folgenden Einstellungen, die Ihren Geschäftsanforderungen entsprechen. Obwohl diese Einstellungen möglicherweise nicht an Ihr Geschäftsmodell, Ihre geografische Lage oder das Verhalten Ihrer Karteninhaber/innen angepasst sind, können Sie sie als Orientierungspunkte verwenden, wenn Sie die Tools von Stripe nutzen. Kontaktieren Sie uns, um Unterstützung bei der Anpassung dieser Schwellenwerte zu erhalten.

Autorisierungssignale sind derzeit auf Beta-Nutzer/innen beschränkt. Um an der Beta-Version teilzunehmen, müssen Sie ein Issuing nutzen. Um Zugriff auf die Beta anzufordern, melden Sie sich bei Ihrem Stripe-Konto an und aktualisieren Sie die Seite. Kontaktieren Sie Stripe, um weitere Informationen zu erhalten.