Block公司:虛胖的用戶指標和「無摩擦」的騙局如何讓內部人能夠套現10億美元-part 5
投資理財內容聲明
- 文內如有投資理財相關經驗、知識、資訊等內容,皆為創作者個人分享行為。
- 有價證券、指數與衍生性商品之數據資料,僅供輔助說明之用,不代表創作者投資決策之推介及建議。
- 閱讀同時,請審慎思考自身條件及自我決策,並應有為決策負責之事前認知。
- 方格子希望您能從這些分享內容汲取投資養份,養成獨立思考的能力、判斷、行動,成就最適合您的投資理財模式。
本篇文章譯自興登堡研究於2023年3月23日發表的報告,由於報告篇幅相當長,將分幾個部分分別發表,本篇提及了Cash App各種法遵上的漏洞,並如何透過這些漏洞虛增指標增長,下稱的「我們」皆指興登堡研究,不代表黑鳶研究。
第三部分:Block如何透過推動數十億美元的疫情紓困詐騙來推動收入和用戶增長
COVID-19對Block公司的業務造成了生存威脅。在疫情之前,Block 公司超過65% 的收入來自以商家為主的「交易」費用。隨著為了「減緩病毒傳播」而全國性封城、商家關閉,Block公司的核心收入來源崩潰。
為因應這一情況,該公司將焦點轉向Cash App在疫情紓困方面的潛力。聯邦政府於2020年3月27日簽署了名為「CARES法案」的COVID紓困法案。該法案提供了各種支付方式,包括增加受到COVID-19疫情影響族群的失業救濟。
就在CARES法案簽署之前一天,多西發推文表示,Block公司已準備好立即協助撥付政府資金,並強調其對沒有銀行帳戶的族群的幫助。
多西發推文說:「現在有技術可以讓大多數人(甚至是沒有銀行帳戶的人)立即獲得資金……美國政府,讓我們來幫助。」
Cash App隨後開始提供這項服務,並促使人們在2020年4月10日左右註冊。當天,多西再次發推,宣傳Cash App可以立即獲得政府資金,並再次強調用戶不需要銀行帳戶。
根據多西的推文,約有1100萬人在數週內在現有的Cash App帳戶上啟用了直接存款(Direct Deposit)功能,或是設立了新的可存款帳戶,這有助於Block公司在關鍵時期報告出色的業績指標。在Block公司2020年5月7日的電話會議上,多西描述了Cash App用戶快速成長的狀況:
「顯然地,在四月份,政府的振興措施為我們提供了一個機會,使人們能夠更快地收到他們的款項。我們的團隊與我們的合作銀行共同努力,在二月時將我們原本300萬個直接存款帳戶擴大到1400萬個。」
根據一位前客服員工的說法,資金湧入了Cash App的系統:「它不只像是消防水柱,而是像大壩破裂一樣。我是說,這真是不可思議。」
然而,多西提供的加速撥付的「協助」對用戶來說代價高昂。Block公司對加速撥付收取0.5% 至 1.75% 的費用,否則這些撥款需要1 – 3 個工作日。這相當於大約205% 的年利率。
用戶成長和隨之增加的收入使得Block公司的股價從2020年3月的32美元低點(在多西提供協助前幾天)暴漲至一年後的243.40美元,增幅超過660%。
Cash App平台幾乎被各州政府要求追回失業救濟金的要求所圍困。
多西的推文促使沒有銀行帳戶的用戶透過Cash App收取政府資金,這吸引許多詐騙者前來註冊。
在Cash App帳戶開始收到首批政府款項(包括振興金、失業金、租金補助和兒童稅收抵免)的幾個星期後,問題就開始浮出水面。
一位前員工解釋說,隨著各州開始意識到COVID紓困詐騙的嚴重程度,Cash App開始遭受壓力:
「我們某天只是進來,打開我們所有的系統,然後我們就收到一封電子郵件,上面寫著『今天我們將遭受大量抵制。北達科他州有2萬個帳戶今天將被撤銷,另一個州有10萬個帳戶將在今天被撤銷。』所以,根據各州政府都發現了詐騙案件,我們知道這一天將是一個糟糕的一天。」
保全公司ID.me發布了一份名為「計算損失4000億美元之路」關於疫情詐騙的報告,報告指出,疫情失業援助(PUA)特別容易被詐騙的影響,因為它是為自僱和兼職工作者提供的,他們可以自行驗證自己的福利資格,而一般的失業保險則是支付給那些可以透過前雇主驗證身份的人。
各州政府很快意識到,他們處理的許多PUA申請都是使用盜用的身份來申請的,並開始試圖追回資金。一位前員工告訴我們:
「我們第一次與亞利桑那州政府交談時,他們已經有5億美元(的詐騙交易)。」
「華盛頓州政府當時約2億多美元。這些都是立刻就出現的,所以我們講的是2020年6月左右。」
根據我們透過公共記錄申請獲得的數據,俄亥俄州的情況顯示,與競爭對手Huntington銀行相比,Cash App的合作銀行Sutton 銀行所獲得與疫情相關的失業金撥付額是Huntington的8倍,儘管Huntington 銀行處理的申請總量是Sutton 銀行的2倍。
美國勞工部審計署(OIG)在2022年3月作證,全美各州撥付了總計1630億美元不正當的疫情失業保險金。其他則估計詐騙的撥付金額高達4000億美元。
儘管可能無法完全確定真實的損失數字,但各州政府正在開始面對這項危害。我們向各州咒此提交了公共記錄申請,以了解它們在識別失業金撥付詐騙和從金融機構追回資金所做的努力。
透過對俄亥俄州的公共記錄申請獲得的數據樣本顯示,Cash App的合作銀行Sutton銀行在該州收到的所有PUA資金約有9.56億美元,使得Sutton 銀行成為整體處理量排名第五的銀行。
資料顯示,在疫情爆發初期,這家Cash App的母公司最初的名字「Square」與Sutton 銀行有關聯。
Sutton 銀行在俄亥俄州收到了32,120名後來被州政府判定為「不符合資格」的申請人的撥付款項,原因是懷疑其資格不符合要求,例如涉及詐騙行為。
相比之下,這一數字幾乎是Huntington 銀行收到的3,884名被拒絕撥付的申請人的8倍,Huntington 銀行是俄亥俄州PUA撥付的主要處理機構,支付金額為19億美元,是Sutton 銀行處理金額的兩倍。
根據俄亥俄州的資料,Cash App的合作銀行Sutton 銀行在提交申請時,至少有一名其他申請人共用相同銀行帳戶的申請人數幾乎是其他可疑申請中的10倍,這明顯是詐騙的警訊。
根據俄亥俄州的資料顯示,被標記為可疑的申請中,有31726個申請者使用了Sutton 銀行的帳戶,而該帳戶曾被至少一個其他申請者使用過。
相比之下,俄亥俄州的資料顯示僅有3390筆被標記為使用Huntington 銀行帳戶涉及可疑交易的申請人,無論是否撥付。
正如我們在下文中所展示的,Block公司忽視了內部和外部的警告,即多人使用同一個銀行帳號收取政府資金是詐騙的明顯訊號。
根據透過公共記錄申請獲得的數據,麻薩諸塞州在疫情爆發後僅四個月就試圖從Cash App帳戶中追回超過69,000筆失業救濟金撥付。
麻薩諸塞州失業援助部門回應我們的公共記錄申請時提供的資訊顯示,Sutton 銀行是可疑支付方面第二大的銀行。
有一次,麻薩諸塞州的People's銀行代表政府試圖從Sutton 銀行收回5000萬美元,相當於他們試圖追回涉及詐騙約10%總金額。
根據麻薩諸塞州的資料,Cash App的合作夥伴所處理的可疑交易金額超過了摩根大通和富國銀行,儘管這兩家銀行的存款帳戶數量是Cash App的4倍至5倍。這些資料顯示,Cash App的合作夥伴在處理可疑交易方面的金額超過了摩根大通和富國銀行
根據麻薩諸塞州的資料,Cash App合作夥伴Sutton銀行的可疑交易金額超過摩根大通銀行和富國銀行,儘管這兩家銀行的存款帳戶數量是Cash App的直接存款帳戶的4到5倍。根據FDIC的資料,Sutton銀行處理的可疑交易金額比摩根大通高82%,比富國銀行高108%。
在處理可疑的COVID-19紓困方面,唯一比Sutton銀行更多的是美國銀行,該銀行的可疑交易數量比Sutton銀行的兩倍再多一點,但根據FDIC的資料,該銀行在2020年的Cash App直接存款帳戶數量是Sutton銀行的8倍。
總之,麻薩諸塞州的資料清楚地表明,Cash App的合作銀行在處理可疑的COVID-19紓困方面存在不成比例的情況。
同樣地,華盛頓州公開記錄申請所獲得的詐騙損失資料顯示, Cash App被用於進行疑似詐騙資金的交易金額超過了這兩家銀行的總和
透過公開記錄申請,我們還收到了華盛頓州針對「2020年3月8日至2021年9月4日期間確認或懷疑的身份/冒名詐騙」提交的詐騙損失記錄。我們獲得了按銀行編碼劃分的詐騙撥付金額。
美國特務局的一份機密文件和保全公司Agari的研究報告詳細說明了這個州遭受一次由名為「Scattered Canary」的奈及利亞大型詐騙集團的組織攻擊,他們透過Green Dot銀行和有關係的Go 銀行進行交易。這些銀行位列詐騙支付列表的前排。
除此之外,Cash App的合作銀行在疑似詐騙損失方面超過了其他任何銀行,包括規模更大的銀行如富國銀行和摩根大通的總和。
根據資料顯示,Sutton 銀行的帳戶持有人獲得的疑似詐騙付款金額超過了富國銀行和摩根大通的帳戶持有人總和的兩倍,總計為2,944,2879美元。
儘管員工和政府發出警告,Block公司對明顯的詐騙現象視而不見。
Cash App的法遵流程出現多個關鍵漏洞,造成了數十億美元的政府付款詐騙。
雖然整個銀行體系都存在與疫情相關的詐騙問題,但我們的調查顯示,Cash App法遵流程的明顯疏漏促成了其不成比例的疫情相關詐騙。
根據與前員工的訪談,儘管對納稅人產生了後果,Block公司管理層大多忽視了對這些疏漏的警示,以保護其增長引擎。
法遵漏洞一:允許單一帳戶接收來自多個不同州的人的失業金給付。
根據多名前員工的說法,Cash App最大的疫情法遵漏洞在於該公司允許多個人將撥款匯入同一個帳戶。
「有很多人對姓名核對提出了反對意見,因為根據《NACHA》和ACH規則是不需要進行姓名核對的,但如果你發現同一個帳戶從7個不同的州收到72個不同姓名的失業金給付,那一定存在問題。」
另一位前員工回憶起曾向管理層發出警示,但未能得到回應:
「嗨大家,這裡有很多姓名不一致的情形。像是有個來自印地安納州的約翰‧史密斯,要把款項匯進一個居住在加利福尼亞州名為弗瑞德‧弗林斯通的帳戶,這怎麼能合理呢?」
根據這位前員工的說法,員工們在嘗試處理來自全國各地的多筆失業金給付時,經常遇到這個問題。
「有些人需要幾個月的時間才能得到他們的錢,當看到款項進來時金額高達8,500美元,於是就有人開始進行偷竊,他們知道這種失業金有很多人申請,就將這些款項匯入同一個帳戶中。」
Cash App的一位前員工描述了檢查競爭對手如Chime是否允許姓名不一致,而Block公司卻「拒絕」實施這項規定的情況:
「我每天都會上他們(競爭對手)的網站,查看他們的服務條款。看他們做了什麼改變?他們採取了什麼措施來阻止詐騙?Chime做的一件事是他們說:『如果你想發送ACH,受益人的姓名必須與帳戶持有人的姓名一致,否則無法通過。』而Square卻拒絕這樣做。」
在截取Chime的服務條款的歷史頁面顯示,該服務明確表示存款的姓名必須與帳戶持有人的姓名一致。
比起解決問題,Cash App 的管理層以奇怪的邏輯解釋這樣的交易可能是合法的。根據一位前員工的說法,這些解釋包括 Cash App 帳戶被用作多個不同州的多個人的聯名帳戶:
「這哪裡合理?...那些論點很愚蠢。『哦,他們是聯名帳戶,因為這些人無法開立自己的帳戶。』嗯,這就是為什麼我們有 Cash App... Cash App 是為無法開立銀行帳戶的人而設的,沒有問題。」
忽視法遵的好處是顯而易見的,正如一位前法遵員工所指出的:
「大部分的詐騙行為一開始出現於2020年3月,巧合的是,Square 的股價在2020年3月至2020年10月之間上升了200%,在疫情紓困停止後,詐騙顯著減少。」
法遵漏洞二:Cash App沒有執行驗證地址安全檢查,以防止身份盜用,而同時失業詐騙案激增
根據前員工的說法,Cash App沒有執行在接受ACH撥付之前要求進行地址驗證的法遵程序。
通常,發卡方要求用戶透過郵寄卡片並開卡後才能使用。
這一簡單預防措施可以阻止身份盜用,因為卡片通常是使用被盜用身分受害者的地址訂購的。然後,受害者將需要進行開卡,這可以阻止詐騙行為。一位前員工解釋說:
「因此,如果我盜用你的身份開設帳戶,而你收到了一張實體卡片,你之所以收到實體卡是因為你是受害者,但你對正在發生的事情一無所知。」
但是,這樣的防詐騙措施又產生了「摩擦」,減慢了Cash App用戶對資金的即時需求。在疫情流行期間,交易和用戶激增,這可能會威脅到成長速度。
第二位前員工表示,在關於未申請卡片的投訴開始湧入Cash App和Sutton 銀行之後,他們意識到這項法遵措施沒有實行。當法遵部門進行調查時,這些帳戶明顯已經開通了,並已收到了可疑的支付:
「卡片被寄給那些人。卡片並沒有被開通。那時我們才意識到 Marqeta 關閉了這個功能,而且(發現)這些帳戶已經發生了詐騙行為。」
第三位員工表示,該公司還允許將卡片發送到未登記的地址,這使得詐騙者能夠將卡片從身份被盜用的受害者的地址轉移到其他地址:
「我相信有大量的客戶抱怨卡片被盜用,並被送到錯誤的地址。所以他們就說,『好吧,讓我們寬鬆一點,允許這些客戶將它們(Cash Cards)寄送到不同的地址』,在我看來,我認為這加劇了許多詐騙案...」
再一次,Cash App 的一個關鍵法遵漏洞在一首流行歌曲中被歌頌,該歌曲《Precise》由Money Man演唱,描述了將Cash App卡片放入亞特蘭大社區的信箱:
「我是導致街區火熱的原因。」
「我要把Cash App卡片放進每個 Pine Hills 的信箱。」
「如果我被關起來,我將統治我的牢房。」
「我要把Cash App卡片放進每個 Pine Hills 的信箱。」
「如果我被關起來,我將統治我的牢房。」
法遵漏洞三至五:「就像狂野的西部」:Cash App 的驗證流程忽略了其他身份盜用的警示訊號,例如使用舊地址、未知的電話號碼以及多人共用單一地址
一位前員工解釋說,在核准新的Cash Card帳戶之前,申請人提供的資訊會透過第三方安全公司IDology的驗證流程進行檢查,以尋找設立帳戶時是否使用了虛假或被盜的身份。
開設帳戶的關鍵部分是基於IDology的評分,該評分反映了資料的一致性。
根據前員工的經驗,一種會降低評分但不會自動拒絕的情況是在申請時使用舊地址,儘管申請人可能是在該地址仍然有效時從資料外流中獲得的。
根據前員工的說法,這個流程還會讓未被識別的電話號碼通過,為身份盜用者提供了使用自己的手機號碼驗證帳戶的機會,同時仍然使用盜用來的資訊創建帳戶。
根據一位前員工的說法,住在同一地址的多個申請人並不會導致申請被直接拒絕:
「從未被識別出來的問題之一是...有多個帶有相同地址的帳戶。所以,除了公寓或大學宿舍外,同一個地址可能有多個帳戶。例如,123號主街,可能有125個帳戶在同一個地址上,而這個地址是一棟單層平房。」
前員工總結道:
「在他們身上,真的沒有任何管控措施。就像是狂野西部一樣。」
饒舌歌手Nuke Bizzle曾發佈一支關於從事疫情詐騙的音樂影片,他後來因詐騙和其他罪行被判處超過6年的有期徒刑
起訴書中唯一提到的支付供應商是Cash App,該應用程式被用來促成詐欺性的COVID紓困款項撥付
這種「狂野西部」的做法再次在流行文化中反映出來,使得這些現象難以忽視。
在2020年9月11日,饒舌歌手Nuke Bizzle發布了一首名為「EDD」的歌曲,這是指加利福尼亞州的「就業發展部」,該部門負責分配疫情失業救助金。
這首歌完全聚焦於如何輕易地從政府偷竊COVID救助金,歌詞中提到了在同一個地址使用多個名字的手法:
「如果你有名字和號碼,我有地址,我們可以一起做些事情...失業金如此美妙,這周我們拿到了150萬」
這首歌的MV中還包含了Bizzle和他的合作夥伴彎腰在電腦和手機前從事詐騙活動的場景。
歌詞著重描寫透過電子手段輕易地從政府盜取資金:
「你是想告訴我我只需等待一封電子郵件,就能得到一筆2萬美元的補助嗎?」
「哇,這比做交易好多了。」
「快讓我當一個騙子」。
「哇,這比做交易好多了。」
「快讓我當一個騙子」。
在Bizzle的歌曲發佈曝光不到兩週後的2020年9月23日,他因詐騙指控被逮捕。根據媒體報導引述檢察官的說法,他被捕時手上有8張COVID紓困金的現金卡,其中7張是以他人的名義開立的。
在起訴書中,唯一提到的電子點對點支付處理者是Cash App,Bizzle曾用它來實現部分涉嫌詐騙的支付。
Bizzle被判有罪並處以超過六年的有期徒刑。
即使在美國特勤局提出對這類交易風險的警示後,Cash App的法遵漏洞仍然繼續被詐騙份子所利用
在2020年7月6日,美國特勤局和美國勞工部檢查長辦公室發佈了一份公告,警告了一個「大規模的犯罪計畫」,該計畫使用盜用的身份來領取失業救助金,並詳細說明了因Cash App經常忽視交易類型所引起的疑慮。
美國特勤局的警告聲稱,帳戶持有人姓名和ACH匯款姓名一致、各州向不在州內居住的帳戶持有人撥付款項,以及多個個人的款項匯進同一帳戶等,這些都是詐騙的警訊,然而Cash App似乎忽視了這些警示。
「Square拒絕...」忽視監管機構的警告:即使在金融犯罪執法網路指出允許此類交易存在風險後,Cash App的法遵漏洞仍然被詐騙份子所利用
到了2020年10月13日,財政部的金融犯罪執法網路也對失業保險詐騙發出了警告。
又一次的,這些警告是關於多個個人在同一個帳戶中收到撥付款項,收款人收到不在帳戶名單上的撥付款項,以及州政府向看似居住在該州之外的個人撥付款項。
在某些情況下,Cash App在州政府表示懷疑撥付的款項存在詐欺行為後,試圖追回資金
然而,根據一位前員工的說法,「詐騙份子早已將資金提取並且逃之夭夭」
一封透過麻薩諸塞州失業救濟部門公開記錄請求獲得的信件描述了People's銀行如何為該州追回被詐騙的資金。
詐騙份子很可能利用Cash App的即時存款功能立即領取詐騙來的資金,從而為Block公司帶來了收入增長,同時確保政府無法追回詐騙資金。
一位Cash App的前員工描述了公司試圖追回涉嫌詐騙所損失的資金但未能成功的情況:
「我們會發送一條App內通知,基本上就是說『您的帳戶已經透支,請存款』。然後,就沒有然後了。那些經驗豐富的詐騙份子,他們非常精明,早就已經開設另一個詐騙帳戶,因為常常發生這種事情,他們早就把錢領出來並且消失了。」
根據前員工的說法,Cash App最終實施了用於檢測詐騙訊號的軟體,但是在紓困政策開始後約10個月才投入使用,而且依然忽略了名字不一致的問題
根據前員工的說法,大約在2021年1月,也就是Cash App開始承接政府撥付給用戶的大約10個月後,Block公司實施了一個軟體,用於在出現可疑交易時阻止政府ACH轉帳。
儘管這是Block公司為保護納稅人的資金所做的改進,但該系統仍然讓最糟糕的警示通過,即為Cash App帳戶接收多個人的支付。一位前員工告訴我們:
「他們仍然允許帳戶中出現多個名字不一致的情況。他們仍然說這是可以接受的。他們一直在說,『僅僅名字不一致並不等於詐騙』。」
另一位前員工表示,Cash App最終開始使用他們的軟體來標記名字不一致的情況,但後來決定在禁止撥付之前允許一次名字不一致的情況。
「他們允許那筆款項通過。然後下一筆款項就會被禁止。」
詐騙者很快就發現了這一點,導致他們為每筆交易設立更多的Cash App帳戶。
「詐騙者很快就弄清楚了。他們只會進行一次交易。他們知道下一筆款項會被禁止,所以他們就轉移到另一個帳戶。」
在2019年至2021年的電話會議中,Block公司的管理層很少提到詐騙問題
傑克‧多西在2022下半年的兩次電話會議中提及詐騙問題,當時他讚揚了公司在詐騙和風險控管方面的成果
Block公司管理層在與投資者交談時很少提到詐騙問題。我們複習的電話會議紀錄在2019年至2021年間沒有提到過「詐騙」一詞,而在2022年僅提到了兩次與詐騙相關的內容。
這兩次提及詐騙的發言來自傑克‧多西,諷刺的是他在2022年3月,Block公司2021年第四季度的電話會議上讚揚了公司在控管詐騙方面的良好表現:
「因此,我們設定了一些限制來控管諸如此類的事情,我們其中一個重要目標是確保我們在尋找機會的同時,也能確保所有的風險控管和詐騙監控,繼續這許多年以來我們一直在做的事情。」
在詐騙交易和假帳戶的收入助推下,Block公司的股價在疫情期間上漲超過639%。同時,這些詐騙交易和假帳戶也支撐住公司的用戶數據
Block公司無論交易是否為詐騙,都會將其計入交易產生的營收,並報告驚人的用戶增長,無論這些用戶是否真實,或是參與非法活動。
由於收取Cash App用戶和接受Cash Card的商家的費用,訂閱和服務的收入在疫情期間大幅增長。到2021年底,這些收入增加至27億美元,而2019年底時為10億美元,增長了170%。
該公司的Cash App用戶基數也在2021年底增長至每月4,000萬活躍用戶,而2019年底時為每月2,400萬活躍用戶,增長了近70%。
詐騙帳戶大規模的增加是因為Block公司自身的法遵漏洞所直接導致,也推動了Block公司的收入增長,以及其在疫情高峰期間的「每月活躍交易」用戶數和較低的「客戶獲取成本」。
這些指標的增長受到投資者的高度青睞。從2020年3月20日到2021年8月5日,Block公司的股價從每股38.09美元上升了超過639%,至281.81美元,市值高達1,200億美元以上。
出金 ─ 在疫情期間,Block公司的執行長傑克‧多西和聯合創辦人詹姆斯‧麥克維大舉出售了超過10億美元Block公司的股票
儘管數十億美元的詐騙交易是透過Cash App平台進行處理,但Block公司內部人在2020年3月至2021年12月31日期間大量抛售股票,金額超過10億美元。
在疫情期間股價飆升的高峰時期,傑克‧多西曾在Block公司股價創下歷史新高時進行了25次賣出交易。
根據我們的分析,在2020年3月1日至2021年12月31日期間,Block公司的執行長傑克‧多西售出了約5.743億美元的股票,售價最高達每股277.51美元。
同期間,Block聯合創始人和董事詹姆斯‧麥克維售出了約4.682億美元的股票,售價最高達2021年8月的每股261.38美元。
整體而言,Block公司的內部人在2021年初股價上升之際也同時增加了賣出股票的規模和數量,他們選擇了恰當的時機。
今日,Block公司的市值約440億美元,從高點跌了大約74%。
為什麼會看到廣告
留言0
查看全部
