Copy
#158(點擊閱讀網頁版)|閱讀時間 8 分鐘(3,845 字)
不知道是不是 2022 年快過完了,最近正職工作上的事情特別多。在忙碌中還是抽空回了一趟老家,提早跟父母親過了中秋。覺得有回去真是太好了,也難得有情緒地留下了一些感言在 Facebook 上。雖然父母親都不算特別年邁,但不禁覺得這樣的日子已經在倒數了。

希望你喜歡這禮拜的電子報,也歡迎收聽我與 Angela 共同主持的 podcast,當中有更多電子報沒有收錄的科技趨勢洞察。歡迎邀請你的朋友訂閱;若對過往期數感興趣,請 由此進入 archive

什麼是信用卡三角詐欺

全美公共廣播電台(NPR)出品的 podcast 中,我最喜歡的是談創業的《How I Built This》以及談金融與經濟的《Planet Money》,其中後者的最新一集很有意思,主題是「信用卡詐欺」。

​Nina Kollars 是美國海軍戰爭學院的副教授,專精於資安與網路戰,同時也是名重度咖啡飲用者。有一天她在 eBay 上搜尋 Nespresso 膠囊,發現不少人都在半價出售。她想了想,認為可能這些人是買多了,或是轉賣贈品,因此高興地下了單。​

幾天後,她的門口出現了兩個包裹,一個是她買的 Nespresso 膠囊,另一個則是一台全新的 Nespresso 咖啡機。一般人可能會覺得根本就是賺到,但 Kollars 不是一般人,她反射性地認為這其中必有詐,並對此展開了一連串的調查。​

Kollars 的直覺沒有錯,她接觸到了全球目前最盛行的信用卡詐欺手法:「三角詐欺」(triangulation fraud)。緊接著,主持人邀請到在 Stripe 服務的 Patrick McKenzie 來解釋這個詐欺手法與結構。​

信用卡詐欺產業(McKenzie 確實用了產業二字,還說這群人會舉辦閉門的分享論壇)主要分成兩種角色,分別是專精於盜取信用卡憑證的盜卡者(carders),以及專精於利用遭竊憑證來洗出現金的變現者(cashers)。​

為了躲過執法機關與銀行機構的偵查,變現者們不斷改進自己的手法,而目前最有效的手法就是三角詐欺。以 Kollars 為例,變現者先用遭竊的信用卡憑證去 Nespresso 官網買入商品,再把這些商品放上 eBay 賣,然後從 Kollars 那收到乾淨的款項。​

至於為什麼變現者還要多送一台 Nespresso 咖啡機給 Kollars?因為送東西有可能增加回頭客,而這對變現者而言是門無本生意。Nespresso 賣出商品、Kollars 買到東西(還多收到咖啡機)、變現者拿到乾淨的現金,看起來三方都贏了,那麼誰輸了?​

最直覺的想法是「被盜刷的信用卡持卡人輸了」,但金錢上他也沒有輸。國際發卡組織都有爭議帳款的設計,只要持卡人向發卡行提出自己並未參與且未授權該筆交易,通常都能爭議成功,最後交易款項也將返還至持卡人信用卡帳戶,而銀行則會去跟商店(Nespresso)討這筆款項。​

因此,從金錢的角度而言真正的輸家是商店,因為它必須吸收三角詐欺的成本。根據 Nilson Report,2020 年全球商店因信用卡詐欺而蒙受的損失達 285 億美元,預估 2030 年將成長至 490 億美元。不過,詐欺造成的損失佔全球商店總銷售額的比例將不斷降低,從 2020 年的 0.68% 下降至 2030 年的 0.62%。​

然而,商店是真正的輸家嗎?McKenzie 在他的電子報中分享了一個觀點:商店也不一定是輸家。他甚至下了個聳動的文章標題:「最佳的詐欺數應該是多少呢?總之不是零。」​

McKenzie 的文章很長,但論點頗為簡單易懂:詐欺之所以存在,是因為包含發卡組織、銀行、商店、甚至政府在內的「大家」在制度上容許。對上述機構來說,杜絕詐欺的方法並不難,舉凡超嚴格的 KYC、超嚴格的交易確認機制等都是有效手段,然而代價就是大幅提升交易的摩擦度,從而降低了人們的交易意願、頻率、以及金額。​

為什麼三角詐欺這麼盛行?一部分原因來自它的樣態相當分散,大多數的商店一想到打擊它所必須付出的成本就會選擇摸摸鼻子。另一部分的原因來自沒有一家商店會為了打擊詐欺而讓消費者不開心。因此,多數商店都選擇將詐欺損失視為一種必要性的支出,就像房租跟水電一樣。​

不過,McKenzie 提到另一個關鍵:並不是每一種商店面對詐欺都是採同樣的態度,當中的差異是毛利率。毛利率越高的商店(例如賣遊戲、軟體、數位課程)越能接受詐欺,比起杜絕詐欺,不如將消費摩擦力降到最低、把轉換漏斗口開到最大。反之,毛利率越低的商店自然就越必須控制詐欺率。​

我很喜歡這段從 Kollars 的親身經歷到 McKenzie 的洞察的旅程,它再一次提醒我應該要怎麼看待這個不完美的世界,因為真實世界中不存在非黑即白。極致的「清零」犧牲的是社會交流與商業活動,而在詐欺發生的同時,我也正享受著極低摩擦力、建立在信任之上的交易體驗。​

Meta 的加密通訊之路

近來的熱門議題是「數位中介法」,其參考對象之一為歐盟的「數位服務法」(DSA),兩者的立法初衷都是要約束「守門人平台」。相較於 DSA 還有引發商業上的討論(例如破壞守門人平台的核心商業模式),數位中介法引發的討論大多集中在言論審查。提到言論審查,我想到最近 Meta 的一個有趣動態。

最近 Meta 突然宣布將開始讓一部分使用者的 Messenger 自動啟用「點對點加密」(E2EE)功能,之後也將開放更多使用者在 Instagram 應用內建的訊息功能中啟用點對點加密。啟用點對點加密後,只有傳訊者與收訊者能解密訊息,包括 Meta 在內的其他人都無法讀取訊息內容。​

此外,為了方便人們在重新安裝 App 或是更換裝置後仍能匯入歷史訊息,Meta 將測試一個名為「安全儲存」的功能。透過該功能,使用者可替自己的歷史訊息上鎖,好處是包括 Meta 在內的任何人都無法存取,壞處是忘了密碼就沒救了。​

有些媒體認為 Meta 突然開始推行點對點加密功能是因為前陣子的內布拉斯加洲 17 歲少女墮胎事件。該事件中 Meta 配合法院提供少女與其母親的 Messenger 對話紀錄,最後該紀錄成為定罪的關鍵證據。Meta 表示推出新功能與該事件無關,一切純屬巧合。​

不論是不是巧合,Meta 都不是第一次試著推出點對點加密功能。Meta 追求點對點加密功能的軌跡最早可追溯至 2016 年,當年先是於旗下的 WhatsApp 中全面推出,之後更宣布其他產品將陸續跟進,且都採用與 WhatsApp 相同的 Signal 通訊協定。​

2019 年,Mark Zuckerberg 更發表了一篇標題為「以隱私為中心的社交網路願景」的長文,當中展示了他的洞察:相較於在「廣場」(也就是開放的社群平台)交流,人們越來越傾向在類似「客廳」或「小房間」的私訊、群組、社團以及限時動態等場域中互動。​

該篇文章提到,Meta(當年仍叫 Facebook)將在未來幾年內致力於將旗下的通訊產品整合成一個安全的加密平台,該平台除了可滿足新一代使用者的需求,還有機會發展出新的商業模式。不過,當年不少人認為上述的新願景只是為了回應 2018 年「劍橋分析醜聞」的公關手段。​

即便 Zuckerberg 是認真的,這一切都不容易。技術面而言,要在 Meta 旗下除了 WhatsApp 以外的通訊產品中導入點對點加密技術並不簡單,因為它並非「新增一項功能」,而是「打造一個全新產品」。​

更困難的是政治面的挑戰。2020 年 10 月,美、英、日、印、加、澳、紐等七國發表聯合聲明,直指加密技術將讓執法機關很難做事,進而對公共安全帶來重大挑戰。最常被點名的科技巨頭是 Apple 與 Meta,前者是因為 iPhone,後者則是因為 WhatsApp。​

不過,各巨頭在「兒少保護」這個議題上與政府最有共識。例如,為協助打擊兒童性虐待,Apple 會掃描使用者的 iCloud 與 iMessage。2021 年 8 月 Apple 更宣布將在 iOS 中新增「掃描手機本機端照片」的功能,但最後因為引來太多質疑而放棄。​

除了技術與政治面的限制,還有市場面的考量。根據知名電子報作家 Casey Newton 引用線人提供的資訊,表示 Meta 內部曾做過市場研究,結果顯示一般人並不那麼在意隱私權,甚至當告知他們未來將推出點對點加密功能的話反而會有反效果:「什麼!原來你們一直都能看到我的對話紀錄?」​

最後也是最露骨的商業面考量:「點對點加密的通訊產品要怎麼賺錢?」Meta 的營收主體是廣告,廣告系統倚賴大量的使用者資料,而絕大多數的資料都很難在點對點加密的環境中取得,這對 Meta 而言無疑是自廢武功。​

WhatsApp 自 2016 年以來就內建點對點加密,且免費下載、免費使用、沒有廣告,直到 2018 年才推出了第一個營收模式 WhatsApp Business,可以類比成 LINE 的訊息費用。WhatsApp 的第二個營收模式是支付服務 WhatsApp Pay,2020 年起開始陸續於印度、巴西等國家推出。Meta 從未透露 WhatsApp 的營收,我認為很有可能因為是相較於廣告營收而言實在微不足道。​

回到本次的 Meta 事件,值得玩味的是「為什麼是現在?」從 Meta 的說法中可知技術面的挑戰或許已克服,甚至將可逐步實現「跨 Messenger/IG/WhatsApp」的三方點對點加密通訊。市場面而言雖然沒有急迫性,但也沒有明顯的壞處。​

商業面而言確實有自廢武功的意味,但這點可以合併考量政治面的變化。當各國政府對內容審查要求越來越緊迫,這不只將替 Meta 帶來沉重的營運成本,也提高了其營運風險。​

更重要的是「路不轉人轉」,不論是因為使用習慣改變,還是因為公開發文的風險越來越高,越來越多使用者轉向私密通訊,這點反應在貼文數量銳減、限動成為主流(甚至也不主流了)、LINE/Telegram 群組及 Discord 伺服器才是主要活動場域等現象上。​

因此,考量政治面帶來的成本與風險,以及市場面的使用行為轉換,點對點加密或許不再是一種公關手段、也不是一種願景宣言,而是適應了。​

當然,點對點加密技術勢必將引來新的政治論戰,但這是「新的戰場」,因此還有很多論述開發的空間,不像前一個戰場已經大勢底定。例如,Meta 今年就資助了顧問公司 BSR 進行獨立研究,並得到「點對點加密技術有助於保障人權」的結論。​

米哈游的新人手冊

米哈游(代表作《原神》、《崩壞 3rd》)是目前中國規模成長最快的遊戲公司之一,如果覺得過去我曾分享過的《Valve 新進員工手冊》很有意思,那可能會覺得米哈游新人手冊更有意思。不過,我同樣覺得有兩個大前提很重要。​

第一,這本手冊推測是 2018-19 年間的產物,不確定最新版的內容如何。不過,根據米哈游員工的說法,最新版本與此版本的差異不大。​

第二,真實情況永遠有落差。例如,人人傳頌的「Netflix 文化」經常被爆出與實際情況不盡吻合,或是 Automattic 創辦人講的「管理文化」在實務上也沒這麼美好。手冊代表的是公司創辦人的「信念」,信念與實務之間通常會有落差,我相信凡是有點社會歷練的人都清楚。​

然而,一間公司有把信念給文件化、甚至有普及給每一個員工的作為永遠值得稱許。每個人接受一份工作前通常會問一下 R&R(role & responsibility),但相對上比較少有人一進公司後可以被告知「這間公司實際上到底怎麼運作」。​

最後,就算不那麼關心別家公司的文化為何(或甚至認為這種東西就只是資方一廂情願的牢騷),這本手冊讀起來也很有意思,可以當成有趣的網路文章看。手冊充滿個人色彩(主筆者或許是蔡浩宇?),在抽像概念上有詳細的說明,且不會太流於精神論。​

什麼是精神論?就是到職後只跟你說「公司文化就是:誠實、真摯、努力、分享」。員工畢竟是來公司上班賺錢的,需要的是「方法」不是「心法」。
點擊訂閱《曼報》
Facebook
Instagram
Copyright © 2022 manny-li.com, All rights reserved.


如果你真的不希望收到這份電子報,點擊取消訂閱。   .