不正利用に関するチャレンジ
オーソリの追加確認手段である、不正利用に関するチャレンジについてご紹介します。
不正利用に関するチャレンジを有効にすると、以下のことを行えます。
- 不正利用のように見えたが、実際には正当な取引を誤ってブロックすることを最小限に抑える
- Stripe が高リスクであると判断したオーソリに対して追加の確認を実施する
- お客様が要確認と判断したオーソリに対して追加の確認を実施する
不正利用に関するチャレンジを使用すると、カード保有者は、不正利用防止対策によってブロックされた可能性がある、不正利用ではない取引を再試行できます。不正利用に関するチャレンジが有効になっていて、取引が不正利用を理由に拒否された場合、Stripe は、カード保有者に SMS メッセージを送信します。カード保有者は、メッセージに返信することで、取引が不正利用であったかどうかを確認できます。不正利用に関するチャレンジは電話番号が関連付けられているすべてのカード保有者が使用できます。
はじめに
リスクの高い取引
Stripe は一定のリスクレベルを超える取引をブロックします。取引のリスクレベルは、ご使用のネットワークによって判定されます。高リスクのオーソリは、request_history.reason フィールドの suspected_ の値によって識別され、拒否された場合に issuing. webhooks がトリガーされることはありません。
不正利用に関するチャレンジのフロー
カード発行の設定でこの機能を有効にするとすぐに、 Stripe は高リスクのオーソリに対するチャレンジの送信を開始します。
不正利用に関するチャレンジのアクティビティーは Authorizations API で確認できます。不正利用に関するチャレンジが行われ、オーソリが拒否された場合は fraud_challenges フィールドに値が設定されます。その後のオーソリでカード保有者が正当であると確認された場合は、verified_by_fraud_challenge フィールドに値 true が設定されます。
次に示すのは、不正利用のチャレンジが行われ、拒否されたオーソリの例です。
{ "id": "iauth_1CmMk2IyNTgGDVfzFKlCm0gU", "object": "issuing_authorization", "approved": false, ... "fraud_challenges": [{ "channel": "sms", "status": "pending" }] }
この例は、カード保有者によって確認されている後続のオーソリを示しています。
{ "id": "iauth_1CmMk28Jx923VfJJwMCejmX", "object": "issuing_authorization", "approved": true, ... "verified_by_fraud_challenge": true }
注
確認済みの正当なオーソリがある場合は issuing_ Webhook がトリガーされます。リアルタイムのオーソリを使用している場合は、オーソリを承認するかどうかを決定する際に verified_ を考慮します。カード保有者が取引が正当であると明示的に確認した場合は、自社固有のリスク管理を適用しないことをお勧めします。
不正利用に関するチャレンジを使用するには、以下を確認します。
- カード保有者に関連付けられた電話番号が有効で正しいこと
issuing_Webhook ハンドラーの既存の取引拒否ロジックが、不正利用に関するチャレンジと競合しないことauthorization. request
カード保有者のフロー
カード保有者がチャレンジを受け取ると、詳細を確認するために貴社のカスタマーサービスに問い合わせる場合があります。このようなチャレンジに関して顧客から質問を受ける場合に備え、社内にチームを作成して回答できるようにしてください。
不正利用に関するチャレンジを受け取ったカード保有者は、疑われた取引が正当であり、自身によって開始されたことを確認することで、取引の拒否を覆すことができます。不正利用に関するチャレンジは、電話番号が関連付けられているカード保有者のみが利用できます。
カード保有者は以下の言語の 1 回限りの SMS メッセージを使用して上書きを確認できます。
「[加盟店]」で「[金額]」の取引を行いましたか?取引をした場合は「YES」、していない場合は「NO」でお答えください。オプトアウトする場合は「STOP」とお答えください。
カード保有者が「YES」と応答した場合、以下のメッセージを受信します。
ありがとうございます。少し待ってから、もう一度お試しください。
購入を完了するには、カード保有者が取引をもう一度開始する必要があります。再試行後に、SMS メッセージは届かず、Stripe が、取引が高リスクであることを理由にブロックすることもありません。カード保有者が「NO」で回答した場合、以下のメッセージが届きます。
この取引は拒否されました。カードをキャンセルして、新しいカードをリクエストすることをお勧めします。その他に疑わしい取引がないかアカウントを確認してください。
カード保有者が「STOP」で回答すると、不正利用に関するチャレンジをオプトアウトできます。その後、「START」で回答すると再度オプトインできます。
Connect プラットフォームの不正利用に関するチャレンジ
Stripe Issuing で Connect を使用している場合、不正利用に関するチャレンジを有効にすると、すべての連結アカウントのすべてのカード保有者に対して有効になります。
提供状況
不正利用に関するチャレンジは、以下の国の電話番号を使用するカード保有者のみが利用できます。他の電話番号や、これらの国以外のカード保有者に不正利用に関するチャレンジを送信しても、配信されることはありません。
- イギリス (+44)
- アメリカ (+1)
国コードが対応対象外であるために提出できない不正利用に関するチャレンジのステータス は undeliverable です。
テストする
Stripe は、テストカード保有者に不正利用へのチャレンジのテキストメッセージを送信しません。不正利用へのチャレンジとの連携を支援するために、チャレンジの送信や対応など、不正チャレンジフローをシミュレートするためのヘルパー API を提供しています。
高リスクのテストオーソリにチャレンジする
ヘルパー API を使用して テストオーソリを作成します。作成する権限のリスクレベルは制御可能であり、デフォルトのリスク評価を不正リスクの高いレベルで上書きすることで、リスクの高い権限を作成できます。
このオーソリは、request_history 内の suspected_ の reason により拒否される場合があります。不正利用へのチャレンジがオンになっている場合、この高リスクのテストオーソリに対して不正利用へのチャレンジが作成されます。不正利用へのチャレンジを有効にするために必要な手順については、はじめにを参照してください。
または、自分でチャレンジを発行して、不正利用にチャレンジすることもできます。不正利用にチャレンジするテストを誘発するには、リスク評価の上書きなしでテストオーソリを作成し、issuing_ Webhook に応答します。この方法では、Issuing の設定で不正利用へのチャレンジをオンにする必要はありません。Webhook レスポンスで、不正利用へのチャレンジを自分でトリガーする方法を学びます。
不正利用に関するチャレンジへのレスポンスをシミュレーションする
不正利用にチャレンジするテストを開始した後、別のヘルパー API を使用してカード保有者の応答をシミュレートできます。test fraud challenge response メソッドを呼び出し、ステップ 1 で作成したオーソリの ID と confirmed パラメータを渡します。
confirmed=true を指定して、カード保有者による「yes, I made this transaction, and it isn’t fraudulent (はい。この取引は私が行いました。不正利用ではありません)」のレスポンスをシミュレーションします。 confirmed=false を指定して、「no, I did not make this transaction, it is fraudulent (いいえ。この取引は行っていません。不正利用です)」のレスポンスをシミュレーションします。
高リスクのオーソリを再試行する
「はい、この取引を行いました」(confirmed=true) の応答をシミュレートした場合は、リスクの高いテストオーソリを再試行できます。今回は、カード保有者が元の拒否された取引が実際には正当であると示したシナリオをシミュレートしたため、オーソリは拒否されません。
この新しいオーソリは suspected_ で拒否されず、承認されます。また、他の理由 (テスト残高の不足など) で拒否される場合もあります。詳細については、オーソリの request_history を参照してください。
また、この新しいオーソリの verified_by_fraud_challenge フィールドは true になります。これは、カード保有者が (ステップ 2 でシミュレーションされたように) 以前に同様のオーソリの不正利用チャレンジを完了していることを示します。