在美国的网站购物时,大多数商家会通过信用卡安全码和AVS来验证持卡人的身份,防止信用卡欺诈的发生。下面是几个比较流行的验证方法:
- 卡号+有效期
- 卡号+有效期+CVV2
- 卡号+有效期+CVV2+3D验证
- 卡号+有效期+CVV2+AVS
第一种方法,机票预定、酒店预订或者租车预定用的比较多,因为大多数时候你都要拿着你的实体卡去现场刷卡或者你本人去使用你预定的服务,所以航空公司、酒店、租车公司不是特别担心信用卡盗刷,只需要提供卡号和有效期就可以预定。
第二种验证方法,是大多数电商网站使用的方法,但是这里面有一个例外,就是亚马逊,添加信用卡时只需要提供姓名、卡号、有效期,并且只验证卡号+有效期。
很多人认为电商网站需要提供持卡人的卡号、有效期以及正确的CVV2给发卡银行才可以正常扣款,其实并不是,网站只需要知道卡号及效期就可以正常扣款。不知道大家有没有注意到这样一个现象:在有些网站购物时,首次添加信用卡时需要提供卡号+有效期+CVV2,网站会保存你的信用卡信息(有些会有提示,有些没有),在以后再下单时就不需要提供卡号+有效期+CVV2。根据万事达、VISA组织的规定,电商网站是不允许保留客户的CVV2信息的,否则就算违规。肯定有些网站会偷偷保留客户的信用卡cvv2信息,但我相信大多数还是守规矩的,所以你以后再下单时,电商网站就直接通过卡号+有效期从你的信用卡扣款了,除非你的IP地址、购物时使用的设备有变动,平台认为有风险,有可能会让你再次提供cvv2信息用于验证。
再说亚马逊,对于亚马逊不要求CVV2这个信息就可以正常扣款,很多老外也是很不理解的。这其实是亚马逊为了方便用户购物而在风险管理方面做出的让步,如果你是一个老客户,购物时使用的IP地址、设备(同一台电脑或者同一步手机)都没有变化,亚马逊选择先相信你,让你有一个良好的购物休验,不用去翻钱包找信用卡的CVV2信息。知道这个情况以后,就很好理解亚马逊在什么情况下会冻结你的帐号以及从哪方面着手去避免触发亚马逊的风控系统。
第三种方法在亚洲地区比较流行,欧美网站基本上不用,这是因为欧美地区的信用卡制度、征信机制十分完善,资金安全有保障。不过,3D安全认证的出现,极大的保护了持卡人的用卡安全,提高客户网购信心,降低了拒付(主要是恶意拒付)的概率,对用户和商家都起到了保护作用。
第四种方法要验证的信息最多,极大地提高了客户的下单难度,很多时候会导致客户放弃购物,但是使用这种方式验证的网站并不少,主要还是为了防止拒付以及拒绝一些非目标客户。
- 某些单价很高的产品,如:笔记本电脑、手机、各种名牌包包等,有些人在收到货以后,会以信用卡被盗或者没有收到货为由申请退款(refund或者chargeback),refund还稍微好点, chargeback对电商网站的伤害比refund要大的多,不仅损失商品,还要支付高额的手续费,所以对于过不了AVS验证的订单,电商网站会直接砍单,不接这笔生意。
- 软件、会员试用,为了防止有人使用美国以外的虚拟信用卡来激活试用,有些软件公司使用“卡号+有效期+CVV2+AVS”这种方式进行验证,比如:quickbooks,最早的时候可以使用欧贝通激活试用,后来美国以外的卡都不能激活,因为启用了AVS验证。这个方法虽然有一定的效果,但是并不完美,很快就有人发现可以使用礼品卡激活,因为激活礼品卡的时候可以自定义帐单地址及邮编,完美解决了AVS验证的问题。
AVS验证的效果还是不错的,可以帮助电商网站赢得争议,特别是收货地址和帐单地址一致的情况下,商家赢得争议的可能性非常大。另外,对于使用AVS验证的商家,发卡组织会给予优惠,降低手续费。但是AVS验证并不完美,比如下面这个案例:
有个人不小心把钱包弄丢了,钱包里有他所有的信用卡以及驾驶证。这个钱包被某个缺钱用的人捡到了并上网购买新电视。商家要求CVV2验证以及AVS验证,捡到钱包的人这两项都有,虽然送货地址不一样,但是捡到钱包的人可以电话解释刚搬家,还没来得及更新帐单地址,商家为了赚钱,大多数情况下会接受这笔交易。有些网友可能会有疑问:不需要提供证件,本人签收吗?有些需要,有些不要。美国有些快递是直接放在门口,并不需要本人签收,漏洞很多,包裹被偷的情况也有,最后倒霉的就是商家。这也是一些人专门靠做refund赚钱的原因之一,具体是怎么做的,不要问我,因为我也不知道。
AVS地址验证系统具体是怎么工作的呢?
AVS全称Address Verification System,通过验证持卡人地址的数字部分来确认持卡人的身份,目前只有美国、加拿大、英国的VISA和万事达以及美国的American Express、Discover发行的信用卡支持AVS验证。例如,我在联想8通道购物时输入的地址为:8345 NW 66 ST, MIAMI,FL 33166-2696,则AVS将把数字8345和33166-2696与发卡机构记录的地址进行对比,通知商家数字是否匹配,从而帮助商家做出关于授权交易的最明智决定。
当商家向发卡机构请求AVS验证时,发卡机构会返回一个代码来表示AVS验证的结果,商家可以根据这个代码来决定是否接受这笔交易。下表是不同代码所表示的验证结果:
只要地址或者邮编错误,就有可能发生信用卡欺诈,但是商家一般不会直接拒绝,会有客服进行人工审核,综合多个因素,最后决定要不要接受这笔订单。因为地址、邮编不匹配的情况是有可能发生的。
而商家可以一般做以下的事情:
- 打电话给客户,验证电话号码、帐单地址以及住址
- 打电话给发卡行,一般是三方验证,在电话在同时联系客户和发卡行
- 使用搜索引擎搜索客户的相关信息,如名字,地址等,有点像社会工程学
- 与自己的数据库进行对比,如果是老用户,直接接受这笔订单
了解这些原理以后,亚马逊使用只使用“卡号+有效期”进行验证的原因就不难理解了:亚马逊的订单量太大了,如果每一笔交易都验证CVV2甚至AVS,交易成本会增加很多,客服的工作量将成指数级增长,所以亚马逊自己做风控,不去联系第三方(支付网关、发卡机构)。
- IP地址,如果客户使用的IP地址不是常用的IP地址,风险指数增加
- 在新的设备上登录帐号,如新手机、新电脑
- 使用新的收货地址
- 添加新的信用卡
- 新帐号进行大额消费
所以,如果你打算在亚马逊购物,为了防止被砍单,可以注意一下以上的细节。
对于使用AVS验证的购物平台,为了防止被砍单,使用美卡美私是最好的选择,比如:BOA实体信用卡,BOA可以修改帐单地址,你可以把帐单地址修改为你的收货地址,这样帐单地址和收货地址完全匹配,可以极大地提高下单成功的几率。当你使用虚拟信用卡下单时,由于大多数虚拟信用卡具体相同的帐单地址,如果你直接使用虚拟信用卡的帐单地址就很容易被关联,对于要求邮编和地址完全匹配的商家来说,我们完全没有办法破解。但是有家商家是只验证邮编而不验证地址,这就给了购物者一线希望,你可以使用同一个邮编区域内的地址进行下单,只要邮编写对就行,对于购买不需要实际发货的虚拟物品,这个方法很好用。
如果你使用美国的虚拟信用卡激活PayPal,或者购买Google的产品,首次添加信用卡时,邮编一定要写正确,否则极有可能不让你加卡。有哪些虚拟信用卡可以过AVS验证呢?常见的有408544虚拟卡,428813虚拟卡,556766虚拟卡,556735虚拟卡等。
由于美国购物平台繁多,平台是否有AVS验证,我也是不清楚的,只能靠大家自己测试了!
考参文档:Address verification service improves online payment security
How is that possible, that some websites like booking.com can charge my debit card without knowing my CVV code? Isnt that supposed to be necessary?
或者
How does amazon bill me without the Cvv2?