Skip to main content
Blog

Halloween-Special: Die Nacht der lebenden Betrüger

Von: Marc Kriegs

Letzte Änderung: 2. May 2018


“Es war eine finstere und stürmische Nacht. Der Wind tobte um die alten Mauern von Wolf Manor, in denen sein Besitzer gerade ein Glas mit blutrotem Wein erhob und sich selbst einen Toast zusprach. Für Nathaniel Wolf war es ein erfolgreiches Jahr gewesen: Seine Mondkalender-Software war das erfolgreichste Softwareprodukt des Landes, und sein Unternehmen war für das kommende Geschäftsjahr bestens gerüstet. Er nippte noch einmal an seinem Wein, bevor er seinen Laptop öffnete und die jüngsten Verkaufsberichte durchsah. Aber was war das? Nathaniel hob die buschigen Augenbrauen. Da war es, das eine Wort, vor dem ihm mehr graute als vor dem Silberbesteck, das ihm sein Nachbar letzte Weihnachten geschenkt hatte. Unverkennbar und in Großbuchstaben las er das Wort in der ersten Zeile … und in der zweiten … und auch in der dritten: ‘CHARGEBACK!’ Nathaniel fühlte, wie sein Blut in den Adern vor Zorn kochte, einem Zorn, wie er ihn noch nie gefühlt hatte.

Durch das Tosen des Sturms um die alten Mauern von Wolf Manor hörte man das Zerspringen von Glas, gefolgt von einem wütenden, unmenschlichen Heulen …”

Im Geist von Halloween wollen wir ein Thema aus dem Bereich E-Commerce behandeln, das schon manchen Online-Händler das Fürchten gelehrt hat: Betrug. Mit dem Begriff Betrug oder “Fraud” kennzeichnen wir einen Prozess, bei dem jemand versucht, über diverse hinterhältige Tricks an Ihr Produkt bzw. Ihren Service oder an Ihr Geld zu gelangen. Wie Vampire dürsten diese Vandalen nach Ihrem Blut oder – in diesem Fall — nach Ihrem sauer verdienten Geld. Lesen Sie weiter, auch wenn dieses Posting das Blut in Ihren Adern gefrieren lässt; wenn Sie mutig bis zum Ende durchhalten, halten Sie damit den Schlüssel zum Verhindern von Betrugsfällen in Ihren Händen.

Nehmen Sie sich in Acht vor Identitätsdiebstahl

Die häufigsten Betrugsversuche gegen Online-Händler fallen in die Kategorie “Identitätsdiebstahl”, d. h., die Person, die einen Auftrag platziert, verwendet zur Bezahlung eine Kreditkarte, die ihr nicht gehört, oder sie gibt sich als jemand anderer aus. Diese Person könnte die physische Karte gefunden oder gestohlen haben oder auf andere Weise an die elektronischen Kartendaten gelangt sein. Wenn mit dieser Karte bei Ihnen eingekauft wird und der legitime Besitzer der Kreditkarte eine betrügerische Aktion erkennt, informiert er normalerweise den Kartenanbieter, und das Geld wird dem Besitzer der Karte zurückerstattet. Sie verlieren damit Ihren Umsatz, den Sie bereits für die Transaktion gebucht hatten, und haben ein Verlustgeschäft gemacht.

Ziemlich gruselig, nicht wahr? Aber wie in der “Kettensägen”-Serie kommt es auch hier noch schlimmer, je länger die Geschichte dauert. Geld zu verlieren ist schlimm genug, aber die Folgen eines solchen Betrugs können noch ernster sein, weil sie auch Kosten umfassen, die auf den ersten Blick gar nicht erkennbar sind. Laut der  jährlichen Fraud-Studie von LexisNexis liegen die Kosten für Online-Händler bei derartigen Betrugsfällen tatsächlich bei 2,4 $ für jeden durch den Betrug verlorenen Dollar. Eine Rückbuchung von 100 $ kostet Sie im Schnitt also 247 $.

Diese Zusatzkosten entstehen u. a. durch die Rückbuchungsgebühren, die Ihr Zahlungsanbieter Ihnen in Rechnung stellt, und durch die Umstufung in eine ungünstigere Transaktionsgebührenklasse. Und Sie müssen auch die zusätzliche Arbeit berücksichtigen, die beim Kunden-Support und den Finanzteams durch die Bearbeitung des Falls und die Löschung der “Zombies” aus Ihrer Kundendatenbank anfällt: die Daten der fiktiven und betrügerischen Aufträge und Konten dieser lebenden Toten. Vergessen Sie auch nicht die entgangenen Gewinne und Upsell-Gelegenheiten für Kunden, die sich als fiktiv erwiesen haben.

Wenn Sie ein Händler sind, werden Sie schnell feststellen, dass Ihre Zahlungsanbieter eine Höchstgrenze für zulässige Rückbuchungen eingerichtet haben. Im schlimmsten Fall wird Ihr Konto schneller geschlossen, als Sie “Bu!” sagen können, und am Ende haben Sie einen Web-Shop, der keine Aufträge mit Kreditkarten verarbeiten kann. Ein wahrer Horror!

Sie wissen jetzt, wie ernst das Thema sein kann. Sehen wir uns jetzt einige der Betrugskategorien an, bevor wir zum versprochenen Happy End kommen. Beim E-Commerce haben wir es hauptsächlich mit vier Betrugskategorien zu tun:

  1. Betrügerische Wiederverkäufer. Bei dieser Kategorie von Identitätsdiebstahl nutzen die Betrüger gestohlene oder auf andere Weise erhaltene Kreditkartendaten, um Ihr Produkt zu kaufen und es an anderer Stelle wieder zu verkaufen, beispielsweise über eBay. Im Bereich des Kreditkartenbetrugs gibt es eine richtige Industrie, und die Betrüger können ganze Stapel von Kartennummern für ihre dunklen Geschäfte kaufen.
  2. Karten-Tester. Für diese Art von Betrügern sind Sie ein interessantes Opfer, wenn Sie Produkte oder Services zu einem sehr niedrigen Preis anbieten, beispielsweise für 4,99 $ pro Monat. Betrüger versuchen, Transaktionen für diese Produkte einzuleiten, um festzustellen, ob die von ihnen gehaltenen Kartendaten tatsächlich funktionieren. In diesem Fall sind also nicht Ihre Produkte das eigentliche Ziel, sondern der Betrüger möchte nur mit den illegal erworbenen Kartendaten Transaktionen mit niedrigem Wert als Versuchsballon platzieren, um anschließend an anderer Stelle mit diesen Karten einen großen Coup zu landen.
  3. Affiliate-Fraud. Dies ist eine spezielle Form der Kriminalität. Der “Affiliate” meldet sich an und verhält sich wie eine normaler Affiliate-Partner, bis er die Provision erhält. Dann plötzlich erleben Sie eine Vielzahl von Rückbuchungen.
  4. Friendly Fraud. Technisch gesehen handelt es sich bei diesem Kunden nicht um Betrüger, weil sie keine Rückbuchungen zu ihrem finanziellen Vorteil einleiten. Da sie jedoch Ihre Rückbuchungsrate und Ihre Einstufung bei Ihrem Zahlungsanbieter beeinflussen, werden wir sie ebenfalls im Rahmen dieses Themas behandeln. Es handelt sich hierbei um Kunden, die ihre Kreditkartenauszüge durchgesehen und eine Belastung gefunden haben, die sie nicht zuordnen konnten.

Zum guten Schluss …

Der Kampf gegen Betrüger im Internet ähnelt einer apokalyptischen Zombie-Schlacht: Wie viele Betrugsattacken Sie auch abwehren, Sie können sicher sein, dass immer neue folgen werden. Es gibt jedoch einige Verteidigungslinien, die sich als sehr wirksam gegen Betrug erwiesen haben. Gewissermaßen die Holzpflöcke und silbernen Kugeln des E-Commerce-Zeitalters:

  • Abwehr betrügerischer Wiederverkäufer: Der Schlüssel liegt darin, den Wiederverkauf illegaler Lizenzen unmöglich oder wenigstens so unattraktiv wie möglich zu machen. Erstellen Sie Ihre Produkte in einer Weise, die es Ihnen ermöglicht, Lizenzen und Services zu deaktivieren, sobald ein Auftrag als betrügerisch erkannt wurde. Wenn Sie eine Lizenz jederzeit “abschalten” können, ist Ihr Produkt für diese Art von Betrug nicht besonders interessant.
  • Abwehr von Karten-Testern: Diese Betrüger nutzen selten einen manuellen Ansatz, sondern lassen die Aufgabe eher von Scripts oder Botnets erledigen. Das bedeutet, dass gut definierte Geschwindigkeitsregeln in einer Betrugsmanagement-Lösung einen Großteil dieser Angriffe herausfiltern können.
  • Abwehr betrügerischer Affiliates: Vergewissern Sie sich, dass Sie Affiliate-Netzwerke verwenden, in denen die Provisionen für Ihre Partner nicht zu früh ausbezahlt werden. Wenn die Betrüger keine Chance haben, sich schnell mit Ihrem Geld davonzumachen, sind Sie kein attraktives Ziel.
  • Abwehr von Friendly Fraud: Wenn eine Bank Sie informiert, dass ein Kunde über eine unbekannte Belastung auf seinem Kartenauszug alarmiert ist, kann es sinnvoll sein, mit diesem Kunden Kontakt aufzunehmen. Eventuell können Sie die Rückbuchung auch anfechten, d. h., Sie können der Bank Informationen liefern, die die Rechtmäßigkeit der Belastung und den entsprechenden Auftrag belegen.

Im E-Commerce geht das geflügelte Wort um, die einzige Möglichkeit, Betrug bei der Zahlungsabwicklung zu verhindern, sei das Einstellen der Verkaufsaktivitäten. Weder Sie noch ich wollen das, aber leider ist etwas Wahres dran: Je enger Sie Ihr Abwehrnetz weben, desto mehr legitime Aufträge werden von Ihrem System abgelehnt. Der Begriff “Falsch Positive” kennzeichnet Kunden, die versucht haben, mit ihrer eigenen Kreditkarte einen legitimen Auftrag zu platzieren, deren Auftrag aber zurückgewiesen wurde, weil irgend ein Detail die Fraud-Abwehrsysteme aktiviert hat. Die Konfiguration der Fraud-Abwehrsysteme und die Schulung eines Fraud-Teams, bis Sie eine optimale Balance zwischen der Zurückweisung unseriöser Aufträge und einem guten Umsatz erreicht haben, erfordert viel Zeit und Geld und gehört zu den komplexesten Backend-Systemen, die Sie managen müssen. Leider sind diese Aufgaben jedoch unverzichtbar.

Wie der Partner in Horrorfilmen, der am Ende das hilflose Opfer vor den Schurken rettet, tritt auch MyCommerce als der Merchant of Record auf und nimmt Ihnen die Last des Fraud-Risikos von den Schultern. Praktischerweise haben wir auch das modernste Fraud-Abwehrsystem zur Hand – den von uns entwickelten Transaction DefenderTM – und die erfahrensten Fraud-Abwehr-Teams in der gesamten Branche. Unsere Technologie und Erfahrung bieten alle oben erwähnten Abwehrmechanismen und noch mehr. Wir bleiben über die neuesten Fraud-Trends auf dem Laufenden und tun alles dafür, um Ihnen eine Lösung zu bieten, die Sie ruhig schlafen lässt. Eine Halloween-Horrorgeschichte mit einem MyCommerce-Kunden in der Hauptrolle hört sich viel weniger schrecklich an:

“Es war eine finstere und stürmische Nacht. Der Wind tobte um die alten Mauern von Wolf Manor, in denen sein Besitzer in tiefem Schlaf lag, das leere Weinglas auf dem Nachttisch. Nathaniel Wolf fühlte sich sicher, denn er wusste, sein Online-Geschäft wurde von MyCommerce geschützt.”