So schützen Sie sich vor Betrug im E-Commerce

Die unterschiedlichen Maschen von Betrügern zu durchschauen, ist für Online-Händler nicht immer einfach. Erfahren Sie im Blog, was die häufigsten Betrugsarten sind und wie Sie sich schützen können, um finanziellen Schaden abzuwenden.

Betrug im Online-Handel erkennen und verhindern

So schütze ich meinen Webshop vor Betrügern

Die Corona-Pandemie hat zwar zu einem erfreulichen Boom im Online-Handel geführt – leider aber auch zu vermehrtem Online-Betrug, da Cyberkriminelle verstärkt versuchen, die derzeitige Situation auszunutzen. Die unterschiedlichen Maschen von Betrügern zu durchschauen, ist für Online-Händler nicht immer einfach. Wenn es aufgrund von Betrug zu Zahlungsausfällen kommt, können für Sie als Shop-Betreiber hohe Kosten entstehen. In vielen Fällen könnten Betrugsfälle jedoch verhindert werden, wenn Auffälligkeiten der Bestellung oder beim Bestellprozess rechtzeitig erkannt worden wären. Die Voraussetzung dafür ist eine entsprechende Sensibilität bei der Bearbeitung von Aufträgen bzw. die geschickte und effiziente Durchführung von Prüfungen.

Erfahren Sie in diesem Saferpay Blog, wie Online-Betrüger vorgehen, wie sie erkannt werden können und wie Sie sich als Händler vor Betrug schützen können, um finanziellen Schaden abzuwenden.

Die 4 häufigsten Betrugsarten im E-Commerce

Um Betrügern nicht ins Netz zu gehen und sich als Händler effektiv gegen Betrugs- und Manipulationsversuche zu wappnen, ist es wichtig, die verschiedenen Betrugsszenarien zu kennen und somit auf Anzeichen bereits reagieren zu können.

1. Verlust von Kartendaten


Die für eine E-Commerce Zahlung notwendigen Daten, wie Kartennummer, Name, Ablaufdatum und Kartenprüfnummer, können einfach „verloren gehen“ – schließlich sind sie für jeden gut sichtbar auf der Karte aufgedruckt. Ein kurzer unachtsamer Moment genügt – etwa an der Hotelrezeption oder der Strandbar – damit ein geschickter Betrüger unbemerkt ein Foto der Karte machen kann. Auch online gibt es zahlreiche Möglichkeiten, wie Kartendaten in die falschen Hände geraten können: Zum Beispiel im Rahmen einer Phishing-Attacke, wenn ein Karteninhaberversehentlich seine Kartendaten auf einer unsicheren Webseite eingibt, wo Betrüger sie auslesen können. Oder wenn Kartendaten bereits auf einer Seite gespeichert sind und Hackerunberechtigt auf sie zugreifen können.

Nach einem erfolgreichen Hackerangriff auf einen Online-Händler werden die gestohlenen Kartendaten häufig auf dem Schwarzmarkt im so genannten Darknet angeboten. Hier können sie von Online-Betrügern anonym erworben werden. Allerdings sind Kartendaten von Online-Hacks meistens unvollständig, da die Kartenprüfnummer von Händlern und Zahlungsdienstleistern (wie Saferpay) niemals mitgespeichert werden darf. Betrüger versuchen daher häufig, die fehlenden Daten in vielen Bezahlversuchen zu erraten. Dabei geben sie einen kleinen Transaktionsbetrag ein, um keine unnötige Aufmerksamkeit zu erregen. Im Falle eines kompletten Kartendatendiebstahls inklusive Kartenprüfnummer, sind häufig große Beträge zu erwarten.

Achten Sie auf folgende Indizien
  • Hohe Anzahl fehlgeschlagener Kaufversuche mit meistens geringem Transaktionsbetrag
  • Der Name des Karteninhabers stimmt nicht mit dem Namen der Lieferadresse überein
  • Ungewöhnlich großer Transaktionsbetrag
2. Betrug durch Kontoübernahme


Betrug durch Kontoübernahme ("Account Takeover" oder kurz ATO) liegt vor, wenn sich ein Betrüger Zugang zu einem Kundenprofil in Ihrem Webshop verschafft und dann im Namen Ihres Kunden mit dem im Shop hinterlegten Zahlungsmittel einkaufen kann. Diese Art des Identitätsdiebstahls ist z.B. möglich, wenn Ihr Kunde ein leicht zu erratendes Passwort gewählt hat oder das Passwort seines E-Commerce-Kontos beispielsweise durch eine Phishing-Attacke kompromittiert werden konnte. Eine weitere Variante ist, wenn ein Betrüger das E-Mail-Konto Ihres Kunden gehackt hat und darüber ebenfalls auf das Kundenprofil in Ihrem Shop zugreifen und somit finanziellen Schaden anrichten kann.

Achten Sie auf folgende Indizien
  • Sehr häufige Anmeldeversuche eines Kunden
  • Das Passwort des Kunden-Accounts wurde vor kurzem zurückgesetzt
  • Name oder Adresse des Kunden haben sich geändert
  • Der Name des Karteninhabers stimmt nicht mit dem Namen der Lieferadresse überein
3. Reservierungsbetrug


Für Betrüger am einfachsten und bequemsten ist es, direkt Geld zu bekommen, anstatt im Namen eines Kunden Waren zu bestellen. Daher erfreut sich der sogenannte Reservierungsbetrug bei Betrügern großer Beliebtheit, der insbesondere die Hotelbranche betrifft: Dabei wird mit gestohlenen Kartendaten ein längerer Hotelaufenthalt gebucht und anschließend unter einem Vorwand wieder storniert, mit der Bitte, eine Gutschrift auf eine andere Kreditkarte oder ein anderes Konto zu erhalten. Der rechtmäßige Karteninhaber wird ebenfalls eine Rückbuchung veranlassen, sobald er den Schaden bemerkt.

Achten Sie auf folgende Indizien
  • Verdächtig hohe Beträge
  • Rückerstattung auf ein anderes Zahlungsmittel als das für die Reservierung verwendete
  • Abweichende Kundendaten, z.B. Kommunikation über eine andere Email-Adresse
  • Bei Stornierung der Buchung werden fadenscheinige Gründe – häufig Krankheit, Unfall oder ein medizinischer Notfall in der Familie – angegeben
4. Friendly Fraud


Bei Friendly Fraud ("freundlicher Betrug") handelt es sich um Online-Käufe, bei denen ein Kunde mit Kredit- oder Debitkarte bezahlt und später eine Rückbuchung verlangt (Chargeback), statt eine Rückerstattung vom Händler. In den meisten Fällen liegen dabei aber keine betrügerischen Absichten vor. Zum Beispiel wird etwas online bestellt und dann vergessen - der Karteninhaber kann sich bei der Durchsicht seiner Kartenabrechnung nicht an den Vorgang erinnern und reklamiert die Zahlung. Oder ein Kind hat unbeaufsichtigten Zugang zu einem Gerät, auf dem Kreditkartendaten hinterlegt sind. In Einzelfällen gibt es jedoch auch Kunden, die den Erhalt der Ware einfach abstreiten und sich so einen Vorteil verschaffen wollen. Solche Einzelfälle lassen sich jedoch leider nur schwer erkennen.

Achten Sie auf folgende Indizien
  • Mehrfach Schwierigkeiten mit demselben Kunden
  • Erhöhtes Risiko bei digitalen Gütern und In-App Käufen

Starke Kundenauthentifizierung gegen Online-Betrug

Zahlungsdienstleister und Banken setzen auf starke Kundenauthentifizierung ("Strong Customer Authentication" oder kurz SCA) per 2-Faktor-Authentifizierung um Online-Betrug zu bekämpfen: Neben der Eingabe von Kartendaten oder einem Wallet-Login wird dabei ein weiterer Faktor (Handy, Passwort, Fingerabdruck usw.) abgefragt, um die Identität des Zahlenden zu überprüfen. Wenn eine starke Kundenauthentifizierung stattgefunden hat, ist Fraud sehr unwahrscheinlich.

Mit Saferpay können Sie als Online-Händler bei 3-D Secure Zahlungsmitteln, wie Visa und Mastercard, eine starke Kundenauthentifizierung erzwingen, indem Sie auf der API das Flag „ThreeDsChallenge“ auf „FORCE“ setzen. Das ist ratsam, falls Sie schon vor der Autorisierungsanfrage wissen, dass es sich um eine besonders riskante Transaktion handelt (z.B. ein ungewöhnlich hoher Transaktionsbetrag) oder falls Sie verdächtige Aktivitäten festgestellt haben, die auf einen Verlust von Kartendaten oder einen Identitätsdiebstahl hindeuten.

Mehr Details zum „ThreeDsChallenge Flag“ finden Sie in unserer API Dokumentation und im Saferpay Integration Guide im Kapitel 3-D Secure - Optionale Parameter.

So erkennen Sie die Haftungsumkehr: Wer zahlt im Schadensfall?

In der Regel tragen Sie als Händler das volle Risiko im Online-Betrugsfall – und somit auch die Kosten. Eine Haftungsumkehr ("Liability Shift") gibt es nur, wenn sich der Kartenherausgeber oder Zahlungsdienstleister bereit erklären, für die einzelne Transaktion die Haftung zu übernehmen. Bei 3-D Secure-Zahlungen bekommen Sie als Händler fast immer eine Haftungsumkehr und sind damit auf der sicheren Seite. Ein Risiko tragen Sie bei Zahlungsmitteln ohne starke Kundenauthentifizierung und 3-D Secure, bei Zahlungen außerhalb des PSD2-Raums (wo 3-D Secure nicht von allen Issuern unterstützt wird) sowie in Ausnahmefällen ("Exemptions"), die vom Händler beantragt werden.

Grundsätzlich gilt: Wenn eine Haftungsumkehr stattgefunden hat und es dann zu einer Rückbuchung (Chargeback) kommt, dann wird der Zahlungsdienstleister die Kosten dafür übernehmen. Die Haftungsumkehr ist allerdings keine Garantie, dass es sich nicht um Betrug handelt!

Haftungsumkehr und starke Kundenauthentifizierung in Saferpay erkennen
In den Transaktionsdetails im Saferpay Backoffice können Sie genau erkennen, ob es eine Haftungsumkehr gibt und eine starke Kundenauthentifizierung stattgefunden hat:
  • Im ersten Abschnitt Zahlungsdetails zeigt das Feld Haftungsumkehr an, ob es zu einer Haftungsumkehr gekommen ist. Beispiel: "ja (Visa Secure)"
  • Falls es sich um eine 3-D Secure Zahlung handelt, werden weitere Details im Abschnitt 3-D Secure Authentifizierung dargestellt
  • Das Feld Art der Authentifizierung zeigt, an ob eine starke Kundenauthentifizierung stattgefunden hat. Beispiel "Strong".

Allgemeine Empfehlungen, um Online-Betrug zu vermeiden

Achten Sie auf folgende Merkmale
  • Ist der Transaktionsbetrag ungewöhnlich hoch?
  • Haben Sie eine Haftungsumkehr bekommen?
  • Hat eine starke Kundenauthentifizierung stattgefunden?
  • Gibt es mehrere Transaktionen desselben Zahlungsmittels oder Kunden innerhalb kurzer Zeit?
  • Gab es Account-Änderungen, welche auf Identitätsdiebstahl oder Verlust von Kartendaten hindeuten könnten?
  • Stimmt das Kartenherausgeberland mit dem Land der IP- und der Lieferadresse überein?
  • Ist die Lieferadresse in einem Land, in das Sie normalerweise nicht oder nur selten versenden?
  • Handelt es sich um einen Neukunden, der eine E-Mail-Adresse mit einer Kombination aus Zahlen und Buchstaben (z.B. skyblue123@gmail.com) von einem Gratis Provider verwendet?
Das können Sie tun
  • Stellen Sie Gutschriften grundsätzlich immer nur auf das Zahlungsmittel aus, welches für die Originaltransaktion verwendet wurde.
  • Falls Ihr Produktsortiment Artikel mit erhöhtem Betrugsrisiko enthält, können Sie beim Verkauf von diesen und ungewöhnlich hohen Transaktionsbeträgen die starke Kundenauthentifizierung mit dem ThreeDsChallenge-Flag erzwingen.
  • Überprüfen Sie die Echtheit der Kartendaten und führen Sie eine Adressverifizierung mit Hilfe des Formulars Überprüfung der Angaben des Karteninhabers durch.
  • Bitten Sie Ihre Kunden, wenn möglich, die Zahlung mit einem anderen Zahlungsmittel (ggf. mit gesetztem ThreeDsChallenge Flag) zu wiederholen.
  • Versuchen Sie, besonders riskante Transaktionen zu identifizieren und schauen Sie diese näher an - viele nützliche Details dazu, zum Beispiel das Land der IP-Adresse des Käufers und das Kartenherausgeberland, können Sie in den Transaktionsdetails im Saferpay Backoffice finden.

Was, wenn es doch zu Betrug kommt?

Auch bei sorgfältigster Prüfung kann es mal zu einer Rückbuchung aufgrund von Betrug kommen. So lange dies Einzelfälle bleiben, ist das nicht weiter bedenklich. Kritisch wird es jedoch, wenn bei Ihnen die durch Betrug entstehenden Kosten den Umsatz merklich schmälern oder Kartenorganisationen Strafzahlungen wegen erhöhter Betrugsrate fordern.

Die folgenden möglichen Maßnahmen helfen Ihnen, im Betrugsfall richtig zu handeln, ohne unnötig Zeit zu verlieren:

  • Ein Angreifer testet Kartennummern
  • Wie starte ich mein Terminal neu?
  • Gehäufte Betrugsfälle aus bestimmten Ländern

Wir stehen Ihnen mit Rat und Tat zur Seite

Eine gründliche manuelle Risikoanalyse ist aufwändig und bei großen Händlern oft nicht kosteneffektiv durchführbar. Wenn Sie Ihre Betrugsrate reduzieren wollen, dann helfen wir Ihnen gerne dabei, egal ob es sich um ein akutes Betrugsproblem handelt oder Sie bei schon geringer Betrugsrate Ihre Umsätze noch besser schützen und weiter optimieren wollen. Wir haben die richtige Lösung für Ihre Anforderungen – kommen Sie gerne auf uns zu!

FEEDBACK
Hat Ihnen dieser Blogpost gefallen? Helfen Ihnen diese Informationen bei der Erkennung und Vermeidung von Betrug? Haben Sie noch etwas hinzuzufügen? Lassen Sie es uns wissen. Um Saferpay weiterzuentwickeln und noch besser auf Ihre Bedürfnisse als Händler, Entwickler und Endnutzer auszurichten, sind wir auf Ihr Feedback angewiesen. Wir wissen, wie wertvoll Ihre Zeit ist - und schätzen es deshalb umso mehr, wenn Sie uns eine Rückmeldung geben.

Wir freuen uns, von Ihnen zu hören!


Feedback senden