Betrug im Online-Handel erkennen und verhindern

08 / 09 / 2022

Die unterschiedlichen Maschen von Betrügern zu durchschauen, ist für Online-Händler nicht immer einfach. Erfahren Sie im Blog, was die häufigsten Betrugsarten sind und wie Sie sich schützen können, um finanziellen Schaden abzuwenden.

So schütze ich meinen Webshop vor Betrügern

Die Corona-Pandemie hat zwar zu einem erfreulichen Boom im Online-Handel geführt – leider aber auch zu vermehrtem Online-Betrug, da Cyberkriminelle verstärkt versuchen, die derzeitige Situation auszunutzen. Die unterschiedlichen Maschen von Betrügern zu durchschauen, ist für Online-Händler nicht immer einfach. Wenn es aufgrund von Betrug zu Zahlungsausfällen kommt, können für Sie als Shop-Betreiber hohe Kosten entstehen. In vielen Fällen könnten Betrugsfälle jedoch verhindert werden, wenn Auffälligkeiten bei der Bestellung oder beim Bestellprozess rechtzeitig erkannt worden wären. Die Voraussetzung dafür ist eine entsprechende Sensibilität bei der Bearbeitung von Aufträgen bzw. die geschickte und effiziente Durchführung von Prüfungen.

Erfahren Sie in diesem Saferpay Blog, wie Online-Betrüger vorgehen, wie sie erkannt werden können und wie Sie sich als Händler vor Betrug schützen können, um finanziellen Schaden abzuwenden.


Die 4 häufigsten Betrugsarten im E-Commerce

Um Betrügern nicht ins Netz zu gehen und sich als Händler effektiv gegen Betrugs- und Manipulationsversuche zu wappnen, ist es wichtig, die verschiedenen Betrugsszenarien zu kennen und somit auf Anzeichen bereits reagieren zu können.

1. Verlust von Kartendaten

Die für eine E-Commerce Zahlung notwendigen Daten, wie Kartennummer, Name, Ablaufdatum und Kartenprüfnummer, können einfach „verloren gehen“ – schliesslich sind sie für jeden gut sichtbar auf der Karte aufgedruckt. Ein kurzer unachtsamer Moment genügt – etwa an der Hotelrezeption oder der Strandbar – damit ein geschickter Betrüger unbemerkt ein Foto der Karte machen kann. Auch online gibt es zahlreiche Möglichkeiten, wie Kartendaten in die falschen Hände geraten können: Zum Beispiel im Rahmen einer Phishing-Attacke, wenn ein Karteninhaber versehentlich seine Kartendaten auf einer unsicheren Webseite eingibt, wo Betrüger sie auslesen können. Oder wenn Kartendaten bereits auf einer Seite gespeichert sind und Hacker unberechtigt auf sie zugreifen können.

Nach einem erfolgreichen Hackerangriff auf einen Online-Händler werden die gestohlenen Kartendaten häufig auf dem Schwarzmarkt im so genannten Darknet angeboten. Hier können sie von Online-Betrügern anonym erworben werden. Allerdings sind Kartendaten von Online-Hacks meistens unvollständig, da die Kartenprüfnummer von Händlern und Zahlungsdienstleistern (wie Saferpay) niemals mitgespeichert werden darf. Betrüger versuchen daher häufig, die fehlenden Daten in vielen Bezahlversuchen zu erraten. Dabei geben sie einen kleinen Transaktionsbetrag ein, um keine unnötige Aufmerksamkeit zu erregen. Im Falle eines kompletten Kartendatendiebstahls inklusive Kartenprüfnummer, sind häufig grosse Beträge zu erwarten.

Achten Sie auf folgende Indizien

  • Hohe Anzahl fehlgeschlagener Kaufversuche mit meistens geringem Transaktionsbetrag
  • Der Name des Karteninhabers stimmt nicht mit dem Namen der Lieferadresse überein
  • Ungewöhnlich grosser Transaktionsbetrag


2. Betrug durch Kontoübernahme

Betrug durch Kontoübernahme ("Account Takeover" oder kurz ATO) liegt vor, wenn sich ein Betrüger Zugang zu einem Kundenprofil in Ihrem Webshop verschafft und dann im Namen Ihres Kunden mit dem im Shop hinterlegten Zahlungsmittel einkaufen kann. Diese Art des Identitätsdiebstahls ist z.B. möglich, wenn Ihr Kunde ein leicht zu erratendes Passwort gewählt hat oder das Passwort seines E-Commerce-Kontos beispielsweise durch eine Phishing-Attacke kompromittiert werden konnte. Eine weitere Variante ist, wenn ein Betrüger das E-Mail-Konto Ihres Kunden gehackt hat, darüber ebenfalls auf das Kundenprofil in Ihrem Shop zugreifen und somit finanziellen Schaden anrichten kann.

Achten Sie auf folgende Indizien

  • Sehr häufige Anmeldeversuche eines Kunden
  • Das Passwort des Kunden-Accounts wurde vor kurzem zurückgesetzt
  • Name oder Adresse des Kunden haben sich geändert
  • Der Name des Karteninhabers stimmt nicht mit dem Namen der Lieferadresse überein


3. Reservierungsbetrug

Für Betrüger am einfachsten und bequemsten ist es, direkt Geld zu bekommen, anstatt im Namen eines Kunden Waren zu bestellen. Daher erfreut sich der sogenannte Reservierungsbetrug bei Betrügern grosser Beliebtheit, der insbesondere die Hotelbranche betrifft: Dabei wird mit gestohlenen Kartendaten ein längerer Hotelaufenthalt gebucht und anschliessend unter einem Vorwand wieder storniert, mit der Bitte, eine Gutschrift auf eine andere Kreditkarte oder ein anderes Konto zu erhalten. Der rechtmässige Karteninhaber wird ebenfalls eine Rückbuchung veranlassen, sobald er den Schaden bemerkt.

Achten Sie auf folgende Indizien

  • Verdächtig hohe Beträge
  • Rückerstattung auf ein anderes Zahlungsmittel als das für die Reservierung verwendete
  • Abweichende Kundendaten, z.B. Kommunikation über eine andere E-Mail-Adresse
  • Bei Stornierung der Buchung werden fadenscheinige Gründe – häufig Krankheit, Unfall oder ein medizinischer Notfall in der Familie – angegeben


4. Friendly Fraud

Bei Friendly Fraud ("freundlicher Betrug") handelt es sich um Online-Käufe, bei denen ein Kunde mit Kredit- oder Debitkarte bezahlt und später eine Rückbuchung verlangt (Chargeback), statt eine Rückerstattung vom Händler. In den meisten Fällen liegen dabei aber keine betrügerischen Absichten vor. Zum Beispiel wird etwas online bestellt und dann vergessen – der Karteninhaber kann sich bei der Durchsicht seiner Kartenabrechnung nicht an den Vorgang erinnern und reklamiert die Zahlung. Oder ein Kind hat unbeaufsichtigten Zugang zu einem Gerät, auf dem Kreditkartendaten hinterlegt sind. In Einzelfällen gibt es jedoch auch Kunden, die den Erhalt der Ware einfach abstreiten und sich so einen Vorteil verschaffen wollen. Solche Einzelfälle lassen sich jedoch leider nur schwer erkennen.

Achten Sie auf folgende Indizien

  • Mehrfach Schwierigkeiten mit demselben Kunden
  • Erhöhtes Risiko bei digitalen Gütern und In-App Käufen


Starke Kundenauthentifizierung gegen Online-Betrug

Zahlungsdienstleister und Banken setzen auf starke Kundenauthentifizierung ("Strong Customer Authentication" oder kurz SCA) per 2-Faktor-Authentifizierung, um Online-Betrug zu bekämpfen: Neben der Eingabe von Kartendaten oder einem Wallet-Login wird dabei ein weiterer Faktor (Handy, Passwort, Fingerabdruck usw.) abgefragt, um die Identität des Zahlenden zu überprüfen. Wenn eine starke Kundenauthentifizierung stattgefunden hat, ist Fraud sehr unwahrscheinlich.

Mit Saferpay können Sie als Online-Händler bei 3-D Secure Zahlungsmitteln, wie Visa und Mastercard, eine starke Kundenauthentifizierung erzwingen, indem Sie auf der API das Flag „ThreeDsChallenge“ auf „FORCE“ setzen. Das ist ratsam, falls Sie schon vor der Autorisierungsanfrage wissen, dass es sich um eine besonders riskante Transaktion handelt (z.B. ein ungewöhnlich hoher Transaktionsbetrag) oder falls Sie verdächtige Aktivitäten festgestellt haben, die auf einen Verlust von Kartendaten oder einen Identitätsdiebstahl hindeuten.

Mehr Details zum „ThreeDsChallenge Flag“ finden Sie in unserer API Dokumentation und im Saferpay Integration Guide im Kapitel 3-D Secure - Optionale Parameter.


So erkennen Sie die Haftungsumkehr: Wer zahlt im Schadensfall?

In der Regel tragen Sie als Händler das volle Risiko im Online-Betrugsfall – und somit auch die Kosten. Eine Haftungsumkehr ("Liability Shift") gibt es nur, wenn sich der Kartenherausgeber oder Zahlungsdienstleister bereit erklären, für die einzelne Transaktion die Haftung zu übernehmen. Bei 3-D Secure-Zahlungen bekommen Sie als Händler fast immer eine Haftungsumkehr und sind damit auf der sicheren Seite. Ein Risiko tragen Sie bei Zahlungsmitteln ohne starke Kundenauthentifizierung und 3-D Secure, bei Zahlungen ausserhalb des PSD2-Raums (wo 3-D Secure nicht von allen Issuern unterstützt wird) sowie in Ausnahmefällen ("Exemptions"), die vom Händler beantragt werden.

Grundsätzlich gilt: Wenn eine Haftungsumkehr stattgefunden hat und es dann zu einer Rückbuchung (Chargeback) kommt, dann wird der Zahlungsdienstleister die Kosten dafür übernehmen. Die Haftungsumkehr ist allerdings keine Garantie, dass es sich nicht um Betrug handelt!

Haftungsumkehr und starke Kundenauthentifizierung in Saferpay erkennen

In den Transaktionsdetails im Saferpay Backoffice können Sie genau erkennen, ob es eine Haftungsumkehr gibt und eine starke Kundenauthentifizierung stattgefunden hat:

  • Im ersten Abschnitt "Zahlungsdetails" zeigt das Feld "Haftungsumkehr" an, ob es zu einer Haftungsumkehr gekommen ist. Beispiel: "ja (Visa Secure)"
  • Falls es sich um eine 3-D Secure Zahlung handelt, werden weitere Details im Abschnitt "3-D Secure Authentifizierung" dargestellt
  • Das Feld "Art der Authentifizierung" zeigt an, ob eine starke Kundenauthentifizierung stattgefunden hat. Beispiel "Strong".


Allgemeine Empfehlungen, um Online-Betrug zu vermeiden

Achten Sie auf folgende Merkmale

  • Ist der Transaktionsbetrag ungewöhnlich hoch?
  • Haben Sie eine Haftungsumkehr bekommen?
  • Hat starke Kundenauthentifizierung stattgefunden?
  • Gab es mehrere Transaktionen desselben Zahlungsmittels oder Kunden innerhalb kurzer Zeit?
  • Gab es Account-Änderungen, welche auf Identitätsdiebstahl oder Verlust von Kartendaten hindeuten könnten?
  • Stimmt das Kartenherausgeberland mit dem Land der IP- und der Lieferadresse überein?
  • Ist die Lieferadresse in einem Land, in das Sie normalerweise nicht oder nur selten versenden?
  • Handelt es sich um einen Neukunden, der eine E-Mail-Adresse mit einer Kombination aus Zahlen und Buchstaben (z.B. skyblue123@gmail.com) von einem Gratis Provider verwendet?

Das können Sie tun

  1. Stellen Sie Gutschriften grundsätzlich immer nur auf das Zahlungsmittel aus, welches für die Originaltransaktion verwendet wurde.
  2. Falls Ihr Produktsortiment Artikel mit erhöhtem Betrugsrisiko enthält, können Sie beim Verkauf von diesen und ungewöhnlich hohen Transaktionsbeträgen die starke Kundenauthentifizierung mit dem ThreeDsChallenge-Flag erzwingen.
  3. Überprüfen Sie die Echtheit der Kartendaten und führen Sie eine Adressverifizierung mit Hilfe des Formulars zur Überprüfung der Angaben des Karteninhabers durch.
  4. Bitten Sie Ihre Kunden, wenn möglich, die Zahlung mit einem anderen Zahlungsmittel (ggf. mit gesetztem ThreeDsChallenge Flag) zu wiederholen.
  5. Versuchen Sie, besonders riskante Transaktionen zu identifizieren und schauen Sie diese näher an – viele nützliche Details dazu, zum Beispiel das Land der IP-Adresse des Käufers und das Kartenherausgeberland, können Sie in den Transaktionsdetails im Saferpay Backoffice finden.


Was, wenn es doch zu Betrug kommt?

Auch bei sorgfältigster Prüfung kann es mal zu einer Rückbuchung aufgrund von Betrug kommen. So lange dies Einzelfälle bleiben, ist das nicht weiter bedenklich. Kritisch wird es jedoch, wenn bei Ihnen die durch Betrug entstehenden Kosten den Umsatz merklich schmälern oder Kartenorganisationen Strafzahlungen wegen erhöhter Betrugsrate fordern.

Die folgenden möglichen Massnahmen helfen Ihnen, im Betrugsfall richtig zu handeln, ohne unnötig Zeit zu verlieren:

  • Auffällig viele Zahlungsversuche für einzelne Karten: Wählen Sie die zentrale Kreditkartenrufnummer Ihres Landes und teilen Sie ihre Vermutung mit, das die Kartendaten in die falschen Hände gelangt sein könnten. Bis zur Klärung der Angelegenheit können Sie die Nummern der betroffenen Karten im Saferpay Backoffice in der Risk Management Konfiguration blockieren. Falls sich die Zahlungsanfragen einer einzelnen IP-Adresse zuordnen lassen, können Sie auch diese im Risk Management blockieren, so dass keine weiteren Zahlungen von dort akzeptiert werden.

  • Falls Sie mit einem Kunden schlechte Erfahrungen gemacht haben, können Sie erwägen, bei künftigen Transaktionen dieses Kunden mit der ThreeDsChallenge Flag starke Kundenauthentifizierung zu erzwingen, welche auch viele Fälle von Friendly Fraud effektiv verhindern kann. Sollte die Zusammenarbeit mit einem Kunden nicht klappen, dann können Sie grundsätzlich im Saferpay Risk Management das Zahlungsmittel dieses Kunden für zukünftige Transaktionen sperren.

  • Falls Sie feststellen sollten, dass Sie wiederholt Betrugsfälle in Regionen haben, in die Sie sonst wenig verkaufen, dann könnten Sie erwägen, diese Länder im Saferpay Backoffice komplett zu sperren. Mit dem Saferpay Risk Management lassen sich Länder sowohl nach Kartenherkunft als auch nach Herkunft der vom Käufer verwendeten IP-Adresse blockieren.

     

Wir stehen Ihnen mit Rat und Tat zur Seite

Eine gründliche manuelle Risikoanalyse ist aufwändig und bei grossen Händlern oft nicht kosteneffektiv durchführbar. Wenn Sie Ihre Betrugsrate reduzieren wollen, dann helfen wir Ihnen gerne dabei, egal ob es sich um ein akutes Betrugsproblem handelt oder Sie bei schon geringer Betrugsrate Ihre Umsätze noch besser schützen und weiter optimieren wollen. Wir haben die richtige Lösung für Ihre Anforderungen – kommen Sie gerne auf uns zu!

fraud_eu@worldline.com (Europa)
fraud@worldline.com (Schweiz)