Fraude in de onlinehandel herkennen en voorkomen

De coronapandemie betekende dan wel een mooie boost voor de onlinehandel, ze zorgde helaas ook voor een toename in onlinefraude. Cybercriminelen proberen immers nog intensiever van de huidige situatie te profiteren. Het is voor online bedrijven niet altijd eenvoudig om de verschillende fraudetrucs op te merken. Als fraude ervoor zorgt dat betalingen uitvallen, kan dat voor u als webshopeigenaar hoge kosten met zich meebrengen. In veel gevallen zou fraude echter voorkomen kunnen worden, als opvallende zaken in de bestelling of tijdens het bestelproces tijdig opgemerkt werden. Een voorwaarde daarvoor is een gepaste sensibiliteit in de verwerking van opdrachten, ofwel bedreven en doeltreffende controles.

Lees in deze Saferpay Blog hoe onlinefraudeurs te werk gaan, hoe u ze kunt herkennen en hoe u zich als bedrijf tegen fraude kunt beschermen om financiële schade te vermijden.

Om niet in de val van fraudeurs te lopen en uw bedrijf efficiënt tegen fraude- en manipulatiepogingen te beschermen, is het belangrijk dat u de verschillende fraudescenario's kent zodat u al bij de eerste aanwijzingen kunt ingrijpen.

Men kan de gegevens die nodig zijn om in e-commerce te betalen, zoals kaartnummer, naam, vervaldatum en controlegetal, simpelweg ‘verliezen’. Ze staan per slot van rekening voor iedereen duidelijk zichtbaar op de betaalkaart. Als een kaarthouder even niet oplet – aan de hotelreceptie of de strandbar – kan dat voor een bedreven fraudeur al voldoende zijn om ongemerkt een foto te nemen van de betaalkaart. Ook online zijn er tal van mogelijkheden waarop kaartgegevens in de verkeerde handen kunnen terechtkomen: Bijvoorbeeld bij een phishingaanval, waarbij een kaarthouder per ongeluk zijn kaartgegevens ingeeft op een onbeveiligde website waar fraudeurs kunnen meelezen. Of wanneer de kaartgegevens op een bepaalde pagina opgeslagen zijn en hackers er zonder toestemming aan kunnen.

Als een onlinebedrijf met succes gehackt wordt, worden de gestolen kaartgegevens nadien vaak op de zwarte markt op het zogenaamde darknet aangeboden. Daar kunnen onlinefraudeurs ze dan anoniem kopen. Kaartgegevens van een onlinehacking zijn meestal weliswaar onvolledig, aangezien bedrijven en betaalservices (zoals Saferpay) het controlegetal van de betaalkaart nooit mee mogen opslaan. Vaak proberen fraudeurs dan de ontbrekende gegevens te raden door veel betaalpogingen uit te voeren. Ze geven dan een laag transactiebedrag in om geen onnodige aandacht te trekken. Als fraudeurs alle kaartgegevens kunnen bemachtigen, inclusief het controlegetal van de betaalkaart, gaat het vaak om grote bedragen.

We spreken van fraude door accountovername ('Account Takeover' of ATO) wanneer een fraudeur zich toegang heeft verschaft tot een klantenprofiel in uw webshop en dan in naam van uw klant aankopen kan doen met het betaalmiddel dat is opgeslagen in de webshop. Dit soort identiteitsdiefstal is bv. mogelijk wanneer uw klant een gemakkelijk te raden wachtwoord heeft gekozen of wanneer het wachtwoord van de e-commerce-account bijvoorbeeld door een phishingaanval verdacht is gemaakt. Een andere variant is dat een fraudeur de e-mailaccount van uw klant gehackt heeft en op die manier ook toegang kreeg tot het klantenprofiel in uw webshop. Ook zo kan er financiële schade aangericht worden.

Het gemakkelijkste en handigste voor fraudeurs is rechtstreeks geld te krijgen, in plaats van in naam van een klant goederen te bestellen. Daarom is de zogenaamde reserveringsfraude ook zo geliefd bij fraudeurs. Deze truc treft vooral de hotelsector: er wordt een langer hotelverblijf geboekt met gestolen kaartgegevens. Vervolgens wordt de boeking onder een voorwendsel weer geannuleerd. Daarbij wordt gevraagd de terugbetaling over te maken op een andere creditcard of een andere rekening. De rechtmatige kaarthouder zal eveneens een terugboeking vragen zodra hij de schade opmerkt.

Bij Friendly Fraud ('vriendelijke fraude') gaat het om onlineaankopen waarvoor een klant een credit- of debitcard gebruikt en waarvoor hij later een terugboeking (chargeback) verlangt in plaats van een terugbetaling van het bedrijf. In de meeste gevallen gaat het dan echter niet om fraude. Zo kan de kaarthouder bijvoorbeeld online iets bestellen en het dan vergeten. Als hij nadien zijn kaartafrekening overloopt, kan hij zich de aankoop niet herinneren en eist hij de betaling terug. Soms kan ook een kind zonder toezicht toegang krijgen tot een apparaat waarop creditcardgegevens zijn opgeslagen. In uitzonderlijke gevallen zijn er ook wel klanten die ontkennen dat ze het product ontvangen hebben en zo hun voordeel er willen uithalen. Dergelijke uitzonderingen zijn helaas moeilijk te herkennen.

Betaalservices en banken zetten in op sterke klantauthenticatie ('Strong Customer Authentication' of SCA) met 2-factor-authenticatie om onlinefraude tegen te gaan: naast de kaartgegevens of een Wallet-login moet er dan ook een tweede factor (mobiele telefoon, wachtwoord, vingerafdruk enz.) ingegeven worden om de identiteit van de betaler te verifiëren. Met de sterke klantauthenticatie wordt fraude erg onwaarschijnlijk.

Met Saferpay kunt u als onlinebedrijf voor 3-D SECURE-betaalmiddelen zoals Visa en Mastercard een sterke klantauthenticatie afdwingen door op de API de vlag 'ThreeDsChallenge' op 'FORCE' te zetten. Dit is aan te raden indien u al voor de machtigingsaanvraag weet dat het om een zeer riskante transactie gaat (bv. een buitengewoon hoog transactiebedrag) of indien u verdachte activiteiten opgemerkt heeft die op een verlies van kaartgegevens of een identiteitsdiefstal wijzen.

Meer details over de 'ThreeDsChallenge-vlag' vindt u in onze API-documentatie en in de Saferpay Integration Guide in het hoofdstuk 3-D Secure - Optionele parameters.

Normaal gesproken draagt u als bedrijf het volledige risico bij onlinefraude – en dus ook de kosten. Aansprakelijkheidsomkering ('Liability Shift') is enkel mogelijk wanneer de uitgever van de kaart of de betaalservice bereid is om de aansprakelijkheid voor de individuele transactie over te nemen. Bij 3-D Secure-betalingen krijgt u als bedrijf bijna altijd aansprakelijkheidsomkering en speelt u dus op veilig. U loopt een risico bij betaalmiddelen zonder sterke klantauthenticatie en 3-D Secure, bij betalingen buiten het PSD2-gebied (waar 3-D Secure niet door alle uitgevers ondersteund wordt) alsook in uitzonderingsgevallen ('Exemptions') die aangevraagd worden door het bedrijf.

In principe geldt het volgende: wanneer aansprakelijkheidsomkering plaatsgevonden heeft en het vervolgens tot een terugboeking (chargeback) komt, zal de betaalservice de kosten daarvoor op zich nemen. Aansprakelijkheidsomkering is evenwel geen garantie dat het niet om fraude gaat!

• Is het transactiebedrag uitzonderlijk hoog?
• Heeft u aansprakelijkheidsomkering gekregen?
• Werd er gebruikgemaakt van een sterke klantauthenticatie?
• Zijn er meerdere transacties met hetzelfde betaalmiddel of van dezelfde klant binnen een korte tijdspanne?
• Waren er accountwijzigingen die op identiteitsdiefstal of verlies van kaartgegevens konden wijzen?
• Komt het land van de uitgever van de kaart overeen met het land van het IP-adres en het bezorgadres?
• Is het bezorgadres in een land waarnaar u normaal gesproken niet of slechts zeer zelden iets verzendt?
• Gaat het om een nieuwe klant die een e-mailadres met een combinatie van cijfers en letters (bv. skyblue123@gmail.com) van een gratis provider gebruikt?

Ook met de meest zorgvuldige controle kan het al eens tot een terugboeking omwille van fraude komen. Zolang dit afzonderlijke gevallen blijven, is er verder geen reden tot bezorgdheid. Wel wordt het gevaarlijk als uw omzet merkbaar vermindert door de kosten die u oploopt door fraude, of als betaalkaartorganisaties u boetes opleggen omwille van een verhoogd fraudepercentage.

De volgende mogelijke maatregelen helpen u om in geval van fraude correct te handelen, zonder onnodig tijd te verliezen:

Een grondige manuele risicoanalyse is omslachtig en kan bij grote bedrijven vaak niet op een kostenefficiënte manier uitgevoerd worden. Als u uw fraudepercentage wilt verlagen, helpen wij u hier graag bij, ongeacht of het om een acuut fraudeprobleem gaat of dat uw fraudepercentage al laag is maar u uw omzet nog beter wilt beschermen en verder optimaliseren. Wij hebben dé oplossing die aan uw behoeften voldoet – neem gerust contact met ons op!

fraud_eu@worldline.com (Europa)
fraud@worldline.com (Zwitserland)