IT4Retailers
IT4Retailers
Sie sind hier:»»„Jetzt kaufen, später zahlen“: So schützen sich Banken vor Betrügern

„Jetzt kaufen, später zahlen“: So schützen sich Banken vor Betrügern

0
Von am Payment

Zinslose Kredite für Sofortkauf-Angebote stellen Einzelhändler über Banken oder FinTechs bereit. Diese müssen sich letztlich um das Einziehen des Betrags und den Schutz vor Kriminellen kümmern. Die gute Nachricht ist, dass die meisten Betrugsmethoden bekannt sind – wie Identitätsdiebstahl, Kontoübernahmen oder gestohlene Kreditkarten. Doch die schlechte Nachricht lautet, dass Fälschungen vereinfacht werden und die Betrugsversuche deutlich zunehmen dürften.

Statt Bargeld, Kreditkarte oder Ratenzahlung nutzen Konsumenten zunehmend so genannte „buy now, pay later“ (BNPL)-Optionen. Damit kaufen sie spontan ihre Waren und bezahlen sie dann „irgendwann später“. Der Vorteil: Es werden weder Zinsen noch Anzahlungen oder gar der gesamte Kaufpreis fällig. Denn die meisten BNPL-Dienstleister berechnen keine Zinsen, wenn die Zahlungen über einen bestimmten Zeitraum hinweg pünktlich erfolgen.

Diese flexible Zahlungsmöglichkeit wird immer beliebter – sowohl im Online-Shopping als auch im stationären Handel. Dabei hängt der Erfolg von BNPL vor allem davon ab, dass die Konsumenten sie problemlos nutzen können. Dazu gehören:

  • Einfache Kaufabwicklung, die nur wenige Klicks erfordert
  • Einheitliches Benutzererlebnis auf allen Websites
  • Keine Bearbeitungsgebühren
  • Sofortige Gutschrift, ohne langwierige Genehmigungsverfahren

Die Prozesse für eine einfache und ansprechende User Experience sind jedoch oft die gleichen, die Betrüger für ihre Zwecke ausnutzen. Sie verwenden die bestehenden oder leicht abgewandelte Techniken, um die Systeme und Dienste für BNPL zu täuschen.

Wie BNPL-Systeme funktionieren

BNPL-Dienste werden von Finanztechnologieunternehmen (FinTechs) oder Banken angeboten. Einzelhändler abonnieren diese Dienste und bieten ihren Kunden einen alternativen Zahlungsmechanismus an. Die Zahlungsmethode wird in der Regel direkt an der Verkaufsstelle gewählt. Auf einer E-Commerce-Plattform erhält der Verbraucher häufig BNPL als Zahlungsoption, nachdem er Artikel in den Einkaufswagen gelegt hat und zur Kasse geht.

Wählt der Käufer BNPL aus, wird er zu einem entsprechenden Dienstleister weitergeleitet. Nach der Verifizierung des Nutzenden stellt der Dienstleister dem Verbraucher einen zinslosen Kredit zur Verfügung. Der Zahlungsvorgang umfasst das Scannen eines QR-Codes, die Bestätigung der Transaktion mit dem Smartphone oder die Eingabe eines Einmalpassworts, welches an das Handy gesendet wird.

Betrugstechniken in der Praxis

BNPL-Dienste funktionieren wie andere digitale Anwendungen. So setzen Angreifende verschiedene Techniken ein, um das System zu täuschen. Die Bank- und Finanzbranche ist bereits mit einigen dieser Tricks vertraut, unter anderem:

  • Kontoübernahme: BNPL-Services bieten in der Regel eine Standardkreditlinie für ein neues Konto. Die Kreditlimits steigen dabei in der Regel je nach Alter des Kontos, den Transaktionen und dem Zahlungsverhalten. Betrüger erstellen gefälschte Konten, um aus dem Standardkredit Kapital zu schlagen. Um ihren Gewinn zu erhöhen, nehmen sie auch bestehende Konten ins Visier. Die Angreifer verwenden eine Kombination von Techniken wie Phishing, Credential Stuffing und Klonen von SIM-Karten, um sich auf Kosten anderer zu bereichern.
  • Missbrauch des Standardkreditrahmens für neue Konten: Bei den meisten BNPL-Systemen können sich Verbraucher anmelden, indem sie einfach Name, Adresse und Geburtsdatum eingeben. Mithilfe von Informationen, die aus gestohlenen E-Mails oder Datendiebstahl stammen, erstellen Betrüger gefälschte Konten und nutzen dann die gleichen einfachen Anmeldeformulare und Kreditangebote, die legitimen Kunden zur Verfügung stehen. In einigen Fällen arbeiten die Betrüger sogar mit Händlern zusammen, um die Standardkreditlinie in Bargeld umzuwandeln.
  • Rückzahlungen mit einer gestohlenen Kreditkarte: Die meisten BNPL-Dienste ermöglichen es den Verbrauchern, Kredite mit Kreditkarten zu tilgen. Betrüger machen sich diese Möglichkeit zunutze und bezahlen ihre Schulden mit gestohlenen Kreditkartendaten. Für den Händler führen solche Transaktionen zu Rückbuchungen und anderen Kosten für die Begleichung des Betrugs.

Planung einer zuverlässigen Abwehr

Um dem erwarteten Ansturm durch die verschiedenen Angriffsmechanismen von Betrügern zu begegnen, müssen die Anbieter von BNPL-Diensten mehrere Sicherheitskontrollen zur Prävention und Erkennung einführen. Dazu gehören Mechanismen zur Identifizierung der Nutzenden und ihrer Absichten. Einige der für BNPL-Systeme erforderlichen Kontrollen sind:

  • Validierung des Nutzenden während des Anmeldevorgangs: Bei den meisten BNPL-Systemen ist der Anmeldevorgang sehr einfach. Doch er muss im Hintergrund zuverlässige Kontrollen für die tatsächliche Identität durchführen. Dazu gehören Abfragen bei Bonitäts-Dienstleistern sowie Datenbanken mit Adressen oder bekannten gestohlenen Identitäten und gefälschten Konten, die jedoch nicht immer aktuell und vollständig sind. Weitere Maßnahmen sind die verpflichtende Eingabe einer Handy-Nummer, die zum Beispiel in Deutschland angemeldet ist. Für internationale Kunden sind Kopien von Dokumenten zum Nachweis der Identität (z.B. Führerschein) und/oder einer aktuellen Adresse (z.B. Rechnungen von Versorgungsunternehmen) möglich. Diese sollten über Hologramme oder Schriftarten auf Fälschungen geprüft werden. Denkbar ist auch eine biometrische Authentifizierung (z.B. Fingerabdruck, Gesicht oder andere Faktoren) mit Aktivitätsprüfungen.
  • Erkennung und Verhinderung von Kontoübernahmen: BNPL-Dienste müssen den Diebstahl von gültigen Benutzerkonten verhindern. Dies erfordert eine Reihe von Überprüfungen, die Folgendes umfassen:
    • Erkennung von automatisierten und manuellen Angriffen über Brute Force und Credential Stuffing sowie Implementierung von Gegenmaßnahmen wie Ratenbegrenzungen und zeitlich begrenzte Kontensperrungen
    • Sammeln und Analysieren zusätzlicher kontextbezogener Informationen wie Gerät, Standort und Tageszeit sowie deren Verwendung in Kombination mit anderen Authentifizierungsfaktoren
    • Verhaltensanalysen, um ungewöhnliche Verhaltensweisen wie sofortiges Ändern der Kontakt-Mail-Adresse oder der hinterlegten Telefonnummer zu erkennen
    • Implementierung eines robusten, risikobasierten Multi-Faktor-Authentifizierungssystems

 

  • Schutz vor Verwendung gestohlener Kreditkarten: Implementierung und Durchsetzung des 3D-Secure-Protokolls für Kreditkarten, um den Schutz vor Kreditkartenbetrug zu verbessern.

 

  • Erkennung von Anomalien: Sammeln der erforderlichen Telemetriedaten zu Nutzertransaktionen, einschließlich Endpunktinformationen, sowie Einsatz von Algorithmen für maschinelles Lernen, um Transaktionsanomalien wie Absprachen zwischen Käufern und Verkäufern zu erkennen.

Fazit

BNPL-Systeme erhöhen die Kaufkraft der Verbraucher und sprechen dabei ein breites Publikum an. Allerdings können Betrüger bekannte Tricks nutzen, um davon zu profitieren. Die Vorschriften für FinTech-Unternehmen sind von Region zu Region unterschiedlich, aber sie sollten folgende Sicherheitskontrollen zum Schutz vor Systemmissbrauch verwenden:

 

  • Böswillige Absichten von Menschen und Bots erkennen und blockieren
  • Risikobasierte Authentifizierungs- und Autorisierungssysteme implementieren
  • Intelligente Onboarding-Prozesse entwickeln, die über künstliche Intelligenz die Verwendung gestohlener Informationen ausschließen, etwa durch den Abgleich eines Selfies des Benutzers mit einem Identitätsnachweis
  • Konten und Transaktionen auf anomale Aktivitäten prüfen

Das könnte Sie auch interessieren