Foto: Maxx-Studio - shutterstock.com
In seinem letzten Lagebild Cybercrime hat das BKA angegeben, dass die Anzahl der in der polizeilichen Kriminalstatistik registrierten Straftaten im Bereich Cybercrime in den vergangenen Jahren kontinuierlich angestiegen ist. Insgesamt registrierte das Bundesamt 2020 rund 108.000 Cybercrime-Delikte. Das waren 7,9 Prozent mehr als 2019. Der Lagebericht aus dem Jahr 2021 zeigt sogar einen Anstieg von 12 Prozent. Das österreichische Bundeskriminalmt hat in einer Sicherheitsstudie aus dem Jahr 2020 bei einer Befragung von Online-Händlern herausgefunden, dass 46 Prozent bereits Opfer von Betrug wurden.
Betrug im Online-Handel muss also ernst genommen und entsprechend bekämpft werden. Um das tun zu können, ist es erst einmal wichtig, die wichtigsten methoden der Angreifer zu kennen.
Kontoübernahmen (ATO/Account Take-over)
Angreifer verwenden oft gestohlene Anmeldedaten oder Brute-Force-Angriffe, um die Konten tatsächlicher Kunden zu übernehmen. Viele Betrüger heben dann das Guthaben von Geschenkkarten und Treuepunkten ab oder tätigen unberechtigte Einkäufe mit den hinterlegten Zahlungsmitteln. Diese nicht genehmigten Käufe führen zu Rückbuchungen und Umsatzeinbußen für Online-Unternehmen.
In den vergangenen Jahren ist die Zahl der ATO-Angriffe sprunghaft angestiegen. Sie hat zum Beispiel zwischen April 2019 und Juni 2021 um 307 Prozent zugenommen. Bereits im Jahr 2019 verloren E-Commerce-Unternehmen und Verbraucher schätzungsweise 16,9 Milliarden US-Dollar durch ATO-Angriffe. ATO-Betrug ist ein schnell wachsendes und kostspieliges Problem, das Online-Unternehmen angehen müssen.
Ausnutzung von Rabattaktionen
Kriminelle nutzen auch Rabattaktionen und Werbung aus, um Online-Shops in großem Stil zu schädigen. Zu diesem Zweck kaufen sie etwa Schnäppchen auf, um sie in ihren eigenen Shops anzubieten. Oder sie nutzen zum Kauf mit Bots übernommene Konten legitimer Nutzer, die dann auf den Kosten sitzen bleiben.
In diesem Fall werden sowohl die E-Commerce-Unternehmen als auch die Verbraucher betrogen. Gefälschte Rabatte und Angebote bekannter Marken und Shops werden aber auch genutzt, um legitime Nutzer auf scheinbar echte E-Commerce-Seiten zu locken, um so an ihre Bankdaten zu gelangen.
Dreiecksbetrug
Beim Dreiecksbetrug stellt ein Betrüger einen begehrten Artikel zum Verkauf auf einem Marktplatz ein. Kauft ein Verbraucher diesen Artikel, stiehlt der Betrüger diesen Artikel anschließend von einem Händler. Dazu gibt er an der Kasse eine Lieferadresse für den Marktplatzkäufer ein, die in der Regel die Adressüberprüfung umgeht.
In diesem Szenario erhält der Marktplatzkäufer seinen Artikel und der Betrüger sein Geld - aber der Händler geht leer aus. Der Marktplatzbetreiber ist in dem Fall völlig ahnungslos. Betrüger bevorzugen diesen Dreiecksbetrug, weil sie keine Anstrengungen unternehmen müssen, bevor sie einen Käufer haben. Sie müssen sich nie darum sorgen, etwas gestohlen zu haben, das sie nicht verkaufen können, und sie müssen die Ware nie anfassen (was ihre "Betriebskosten" weiter reduziert). Einige der beliebtesten Artikel für Dreiecksbetrug waren im Jahr 2022 hochwertige "kuschelige" Decken, Turnschuhe, Spielkonsolen und Elektronikartikel.
Alle drei Taktiken sind darauf ausgelegt, sich der Entdeckung zu entziehen. Einzelhändler müssen daher sicherstellen, dass sie den Betrügern immer einen Schritt voraus sind. Dabei sollten sie sich auf folgende Punkte konzentrieren:
Starke Authentifizierung verhindert Kontenübernahmen
Die Forderung einiger Händler, dass Benutzer die Zwei-Faktor-Authentifizierung (2FA) für die Kontoanmeldung aktivieren, kann Betrüger an der Kontenübernahme hindern. Viele Unternehmen verwenden 3D Secure (3DS), um 2FA auf ihren Websites zu implementieren. 3DS ist eine von Visa und Mastercard entwickelte Technologie zur sicheren Authentifizierung von Benutzern. Die Benutzer bestätigen ihre Identität mit zwei der folgenden Elemente:
Etwas, das sie wissen: z. B. ein Passwort, eine PIN oder eine Passphrase.
Etwas, das sie haben: z. B. ein Smartphone, eine Smartwatch oder eine Smartcard.
Etwas, das sie sind: z. B. ein Fingerabdruck, Gesichtsmerkmale oder Stimmmuster.
2FA ist ein guter erster Schutz gegen die Übernahme von Konten. Betrüger haben jedoch Wege gefunden, sie zu umgehen - zum Beispiel durch SIM-Swap-Betrug. Daher sollten Händler eine zweite Verteidigungslinie in Form einer identitätsbasierten Betrugsentscheidung hinzufügen.
Identitätsbasierte Betrugsentscheidungen
Betrüger neigen dazu, regelbasierte Systeme zu umgehen. Das führt dann zu Umsatzeinbußen für das Unternehmen. Stattdessen sollten Einzelhändler eine identitätsbasierte Technologie einsetzen, bei der Entscheidungen auf der Grundlage der Person oder des Unternehmens getroffen werden, das versucht, ein Konto zu erstellen oder darauf zuzugreifen.
Eine identitätsbasierte Technologie nutzt maschinelles Lernen, um die Zugriffsversuche auf ein Konto mit Milliarden von Daten abzugleichen. Sie kennt die "Persona" - von den verwendeten Geräten über die Komplexität und Zusammensetzung ihres Warenkorbs bis hin zur Sprache ihres Betriebssystems und mehr.
360-Sicht auf Betrugsangriffe
Händler sollten sicherstellen, dass sie einen klaren Überblick darüber haben, was in der Welt des Betrugs über Unternehmen, Branchen und Regionen hinweg vor sich geht. Ganz gleich, ob sie eine Plattform mit einem großen Netzwerk verschiedener Unternehmen nutzen, sich in regelmäßige Diskussionsgruppen mit Branchenkollegen austauschen oder einer Messaging-Gruppe beitreten, in der sich Firmen mit ähnlichem Hintergrund über die neuesten Angriffe austauschen - sie müssen in der Lage sein, das Gesamtbild zu überblicken, sonst können sie sich nicht schützen.
Fazit
Betrug im Online-Handel ist nach wie vor ein großes Problem. Um den aktuellen und zukünftigen Trends einen Schritt voraus zu sein, müssen Einzelhändler den gesamten Weg des digitalen Handels bewerten - von der Kontoerstellung bis zur Lieferung. Durch den Einsatz starker Authentifizierungsmaßnahmen, identitätsbasierter Entscheidungsfindung und einer ganzheitlichen Betrachtung der Betrugswelt können sie böswillige Akteure abwehren und ein besseres Kundenerlebnis bieten.
Betrug durch Verbraucher im Online-Handel