Fraud Risk Management 

Betrüger lauern überall – vor allem im Internet

Betrug im Zahlungsverkehr stellt eine große Herausforderung für Banken und Händler dar: Nicht nur im POS-Umfeld, sondern auch im Bereich e-Commerce wächst die Anzahl der Betrugsversuche rasant. Dabei spielt das Vertrauen bei der Kundengewinnung und -bindung eine ganz erhebliche Rolle. Doch wie können Banken und Händler Fraud verhindern und das Vertrauen ihrer Kunden in die Sicherheit ihrer Leistungen stärken? Wir haben uns dazu aktuelle Betrugstrends angeschaut.

Fraud: Zielscheibe Banken

Cybercrime ist nicht erst seit Corona ein wachsendes Problem für Unternehmen und Privatpersonen: Das BKA verzeichnet einen rapiden Anstieg (+12,2%) im Bereich der Cyberkriminalität, der viele verschiedene Gesichter haben kann (Quelle: BKA - Homepage - Informationsvideo zum Bundeslagebild Cybercrime 2021). Nach unseren Erfahrungen finden im Bankenumfeld  betrügerische Aktivitäten vor allem in den folgenden vier verschiedenen Kategorien statt. Diese können regional unterschiedlich stark ausgeprägt sein:

1. Kontoübernahme (ATO = Account Take Over): Eine Kontoübernahme liegt vor, wenn sich Kriminelle Zugang zu den Kunden- oder Finanzkonten einer Person verschaffen. Dies führt häufig zu nicht genehmigten Transaktionen wie Überweisungen, dem Handeln mit Aktien oder Online-Einkäufen. Aufgrund von COVID-19 gibt es derzeit eine noch nie dagewesene Anzahl von ATO-Fällen. Diese Angriffe gehen weit über das klassische Phishing, das viele Nutzer nicht nur kennen, sondern auch erkennen können, hinaus (siehe unten). Die Betrüger kennen nicht nur die Kartendaten, sondern auch die Antworten auf alle Sicherheitsfragen (z.B. den Namen des ersten Haustieres usw.). Möglicherweise merkt der Kontoinhaber nicht einmal, dass eine Übernahme seines Kontos stattgefunden hat.

2. Traditionelles Phishing: Aufforderungen, Webseiten zu besuchen, kommen nach wie vor in allen Bereichen des Internets vor. Die Betrüger erlangen z.B. Bankdaten oder Passwörter, indem sie auf einer scheinbar echten Webseite Karteninhaber auffordern, sich zu registrieren, einzuloggen oder Daten erneut zu bestätigen. In Wirklichkeit handelt es sich aber um Betrüger, die so die benötigten Angaben abfragen. Auch beim Phishing haben Betrüger ihre Chancen während der Pandemie erkannt und nutzen sie, indem sie sich mit immer glaubhafteren Szenarien an die Kunden wenden, um Zugang zu persönlichen Daten zu erhalten.

3. Malware: Betrüger sind oft äußerst technikaffin. Sie entwickeln Schadsoftware, um eine unerwünschte und ggfs. schädliche Funktion beim Kunden auszuführen. Malware ist somit eine allgegenwärtige Bedrohung. Ein Beispiel dafür ist das Keylogging, bei dem sich Kriminelle Zugang zum Computer des Bankkunden verschaffen, eingegebene Passwörter stehlen und das Verhalten im Internet dokumentieren, wodurch sie an unterschiedliche Informationen gelangen, wie z.B. Kreditkartennummern, Zugangscodes und Bankkonten. Mit diesen Informationen können dann betrügerische Transaktionen getätigt werden.

4. Identitätsdiebstahl: Eine Steigerung der ATO-Angriffe, wobei ganze Konten eröffnet oder Darlehen und Kredite mit gestohlenen Identitäten beantragt werden.

Fraud: Zielscheibe Händler

Im Bereich Merchant Services zeichnen sich drei Betrugstrends deutlich ab:

1. Karte nicht vorhanden: Die häufigste Ursache für Betrug bei e-Commerce-Händlern sind nach wie vor gestohlene oder manipulierte Kartendaten. Durch Transaktionen mit Kleinstbeträgen testen die Betrüger häufig gestohlene Kartendaten. So können sie herausfinden, ob die Karten zwischenzeitlich gesperrt wurden. Zudem favorisieren die Betrüger Gast-Accounts bei großen Online-Portalen, bei denen nur wenige der sehr spezifischen Kartendaten (z.B. Verfalldatum, CVC2 etc.) einzugeben sind.

2. Kontoübernahme: Aufgrund der Zunahme von Phishing-Angriffen kommt es immer häufiger zu kompromittierten Zahlungsmitteln oder Bankkonten. Für den Händler ist dies nicht immer direkt ersichtlich, kann jedoch schwerwiegende Imageschäden nach sich ziehen.

3. Friendly Fraud: Diese Art des ernstzunehmenden Betrugs aus dem Handelsumfeld wurde besonders durch die Pandemie verstärkt. Ein Kunde tätigt einen Online-Kauf mit seiner eigenen Kreditkarte, erhält sein Paket von dem Händler, unterschreibt die Quittung aber nicht. Später bestreitet er den Erhalt des Pakets bzw. der gekauften Ware und fordert eine Rückbuchung auf sein Konto.

Betrugsbekämpfung bei Banken und dem Handel bleibt eine weltweite Herausforderung

Wollen Unternehmen ins Ausland, vor allem außerhalb Europas, expandieren, so sollten sie sich vorab über die lokalen Betrugslandschaften informieren. Eine erste Recherche hilft nicht nur, auf Angriffe besser vorbereitet zu sein, sondern auch gleichzeitig Kunden besser zu schützen und das Vertrauen in die Dienstleistungen zu stärken.

Nordamerika: Bis Mitte der 2010er waren Magnetstreifenkarten in den USA gängig. Die Umstellung auf EMV- (Europay, Mastercard, Visa) Chipkarten in vielen anderen Ländern führte in den USA zu steigenden Betrugsfällen, da einige Acquirer die chipbasierten Daten nicht im Protokoll übermitteln konnten. Die anfänglichen Probleme konnten mittlerweile gelöst werden. Seit der Einführung im Jahr 2014 sind nun mittlerweile rund eine Milliarde EMV-Karten im Umlauf.

Europa: In Europa stehen gestohlene oder kompromittierte Kartendaten immer noch an der Spitze der Betrugsfälle. Dies ist auf das starke Wachstum im Bereich e-Commerce und die geringere Nutzung starker Kundenauthentifizierungsmethoden wie 3D-Secure zurückzuführen. Die PSD2-Zahlungsdiensterichtlinie der EPA (European Payment Association) brachte dabei eine deutliche Verbesserung. Beim Zahlen im Internet oder kontaktlos am POS muss sich der Kunde nach jeder 5. Transaktion über eine starke Authentifizierungsmethode verifizieren bzw. seine PIN erneut eingeben.

Afrika: Spitzenreiter der Betrugsfälle sind hier Phishing- und Social-Engineering. Letzteres bezeichnet Fälle, in denen Kriminelle anstelle von Software-Hacking soziale Taktiken einsetzen, um sich Zugang zu persönlichen Daten eines Benutzers zu verschaffen. Zudem beobachten wir viele Fälle von Postwegverlusten, bei denen die so erbeuteten Karten für betrügerische Transaktionen eingesetzt werden.

Asien: In Asien stellt Malware die größte Betrugsbedrohung für Banken dar. Im Vergleich zu Europa ist der Einzelschaden pro Betrugsfall höher, wobei die Betrugsfälle eher technischer Natur sind, z.B. Angriffe zur Kontoübernahme.

Kunden vor Betrug schützen

Jeden Betrug zu verhindern und gleichzeitig dem ehrlichen Kunden das Shopping-Erlebnis so angenehm und so nahtlos wie nur möglich zu gestalten, wird wohl immer eine der Herausforderungen bleiben. Wir bei Worldline verfügen über ein umfassendes Marktverständnis und stellen uns den Herausforderungen, indem wir proaktiv denken und handeln. Unsere leistungsstarken Fraud-Tools werden maßgeschneidert für die Prozesse und Anforderungen unserer Kunden. Die Teams aus hochqualifizierten Experten in der Entwicklung und die Systemspezialisten in der Anwendung sorgen dafür, dass das Kunden-Portfolio bestmöglich vor Betrug geschützt wird.