Fraud im Mobile Payment

Das Bezahlen über das Mobiltelefon wird immer einfacher und angenehmer in der Handhabung. Daher nutzen auch immer mehr Kunden das Handy nicht nur als Informationsmedium, sondern bezahlen ihre Produkte auch darüber. Mit zunehmender Beliebtheit steigt auch die Zahl der Betrüger. LexisNexis berichtete, dass im Jahr 2016 die Betrugskosten für M-Commerce-Händler im Verhältnis zu ihren Gesamteinnahmen höher waren als die für E-Commerce-Händler. Die verschiedenen Betrugsarten im Payment werden unter dem Begriff “Fraud” zusammen gefasst. Was genau sich hinter den Definitionen der einzelnen Betrugsarten verbirgt, lesen Sie in unserem Guide.

Größte Betrugsgefahren im M-Commerce

Generell ist Mobile Payment für die gleichen Arten von Betrug anfällig wie der E-Commerce. Die Komplexität des M-Commerce führt zu einigen Schwachstellen, die gerne auch von Betrügern ausgenutzt werden. Der Mangel an technologischen Standards beim mobilen Bezahlen, zusammen mit der Tatsache, dass mobile Apps installiert und daraufhin nicht navigiert werden, erhöht die Komplexität des Crawlings von Inhalten und erfordert proprietäre Screen-Rendering-Tools. Die unendliche Anzahl an verfügbaren Apps macht dies noch schwieriger. Der M-Commerce ist außerdem besonders anfällig, da das Gerät leichter gestohlen werden kann. Diebe können dann über Apps, in denen der Nutzer bereits angemeldet ist, Einkäufe tätigen. Hier ist insbesondere die Option "Angemeldet bleiben" eine Schwachstelle.

Weitere Informationen zu Betrugsarten finden Sie in unserem Guide zur Fraud Detection und Prevention.

Was bedeutet M-Commerce?

M-Commerce steht für "Mobile Commerce" und stellt eine Weiterführung des Online-Handels dar und beschreibt dabei den mobilen Online-Handel. Hierunter versteht man die Geschäftstransaktionen zwischen einem Händler und einem Kunden, die mittels mobiler Geräte stattfinden wie zum Beispiel via Smartphone oder Tablet.

Identitätsdiebstahl

Der Identitätsdiebstahl ist besonders beliebt bei Kriminellen. Beim Identitätsdiebstahl werden Transaktionen mit einer falschen bzw. fremden Identität ausgeführt. Hierbei zielen die Betrüger in erster Linie auf Karten ab, da nicht viel benötigt wird, um eine "Card-not-present" -Transaktion durchzuführen. Der Kriminelle erhält persönliche Informationen, z.B. Namen, Adressen, Kreditkarten- oder Kontoinformationen. Mit diesen Informationen können zum Beispiel Artikel unter falschem Namen online bestellt und mit einer Kreditkarte gezahlt werden, die jemand anderem gehört.

Loyalitätsbetrug

Auch Treueprogramme sind Zielscheiben von Kriminellen. Hier werden beispielsweise Mitgliederkonten angegriffen und die Treuepunkte auf ein anderes Konto übertragen. Manchmal können Punkte zum Geldgewinn verkauft oder übertragen werden.

Friendly Fraud

Händler sind sehr anfällig für „Friendly Fraud“. Der Prozess hier ist ziemlich einfach. Kunden bestellen Waren oder Dienstleistungen und bezahlen mit einer Kredit- oder Debitkarte. Nachdem sie ihre Bestellung erhalten haben, erklären sie, dass ihre Karten- oder Kontoinformationen gestohlen wurden, wodurch eine Rückbuchung (Chargeback) eingeleitet wird. Der Kunde erhält sein Geld zurück und behält die bestellten Waren oder Dienstleistungen. Diese Art von Betrug ist für Händler besonders kostspielig, da die meisten Zahlungsdienstleister eine zusätzliche Gebühr für Rückbuchungen verlangen.

Mobile Apps benutzen Prepaid-Karten

Betrüger können „Gift Card Accounts“ hacken und das Geschenkkarten-Guthaben des Kunden oder, im schlimmsten Fall, das Guthaben aller zugehörigen Kreditkarten-, Bank- oder PayPal-Konten „stehlen“. Online-Dienste oder physische Kioske können dann verwendet werden, um die Geschenkkarten in Bargeld umzuwandeln, wobei üblicherweise etwa 60% des Werts eingelöst werden. 2015 wurde beispielsweise die Starbucks-App von Hackern angegriffen. Nachdem diese Zugriff auf die Kreditkarteninformationen des Konsumenten hatten, luden sie die Gutscheinkarten über die App auf und transferierten das Kartenguthaben. Apps ohne eine zweistufige Authentifizierung sind besonders anfällig für diese Art von Betrug.

Phantom-Apps

Betrüger können Benutzer dazu verleiten, gefälschte Apps zu installieren, indem sie diese als Apps bekannter Unternehmen verkaufen. Im Jahr 2014 existierte eine gefälschte App auf Google Wallet, welche vorgab billige Autos zu verkaufen, das Geld jedoch anschließend an Betrüger weiterleitete.

Betrugspräventionsmaßnahmen für den M-Commerce

Die meisten Händler kombinieren mehrere Tools, um Betrug beim Mobile Payment in Online Shops zu verhindern. 44% der Händler nutzen dabei vier oder mehr Tools. Wie aus dem jährlichen Bericht Mobile Payment & Fraud hervorgeht waren die am häufigsten verwendeten Instrumente zur Betrugsprävention bei mobilen Zahlungen 2017 die Verifizierung der Kartensicherheitsnummer (58%), der Adresse (46%), Betrugsbewertung (Fraud Scoring) (48%), Gerätefingerabdruck (Device Fingerprinting) (38%), Geschwindigkeitsprüfung (Velocity Checks) (35%). %) und eine vollständige Betrugsplattform (47%).

Die wichtigsten Präventionsinstrumente werden hier beschrieben. Weitere Informationen zu diesem Thema finden Sie in unserem Guide zur Betrugsprävention.

Kartenprüfnummer

Der drei- oder vierstellige Sicherheitscode, der auf der Rückseite von Kreditkarten aufgedruckt ist, auch als Kartenprüfwert (CVV) bekannt, ist ein Sicherheitsmerkmal für Transaktionen, bei denen die Karte nicht vorhanden ist. Der Sicherheitscode bietet dabei einen besonderen Vorteil, da dieser nicht auf dem Magnetstreifen hinterlegt ist bzw. nicht auf Kauf- und Abrechnungsbelegen abgebildet wird. Dadurch soll sichergestellt werden, dass nur von dem tatsächlichen Besitzer der Karte Käufe durchgeführt werden können.

Adressüberprüfung

Kreditkartenanbieter können die angegebene Adresse mit der registrierten Adresse überprüfen. Wenn der Kunde beispielsweise eine deutsche Lieferadresse angibt, deren IP aus einem anderen Land stammt, kann dies ein Zeichen für Betrug sein.

Fraud Scoring

Fraud Scoring analysiert die Wahrscheinlichkeit, dass ein Kunde einen Betrug begeht und bewertet jeden Kunden entsprechend. Je höher die Punktzahl, desto höher das Risiko. Dieses Tool zur Betrugserkennung und -vorbeugung kann Händler vor potenziellen Risiken warnen und ihnen ermöglichen, manuell zu entscheiden, ob die Transaktion akzeptiert oder abgelehnt werden soll. Händler können ihre Kriterienliste auch personalisieren, z. B. durch die Verwendung von anonymen Proxys oder E-Mail-Adressen.

Device Fingerprinting

Beim "Fingerprinting" sammelt das verwendete Kaufgerät Informationen über den Käufer. Betrug kann aufgedeckt und verhindert werden, indem Geräte identifiziert werden, die zuvor zur Betrugsbekämpfung verwendet wurden. Außerdem kann die Wahrscheinlichkeit eines Betruges anhand des Signalprofils des Kunden bestimmt werden.

Velocity Checks (Geschwindigkeitsüberprüfungen)

Die Überwachung von Beziehungen zwischen Transaktionen durch Geschwindigkeitsüberprüfungen hilft dabei, Aufträge mit hohem Risiko zu identifizieren. Geschwindigkeitsprüfungen, bekannt als Velocity Checks, sind ein grundlegendes Instrument zur Betrugsprävention. In der Regel testen „Card-not-present“-Betrüger eine gestohlene Karte, bevor sie mehrere Transaktionen durchführen. Velocity Checks überprüfen Transaktionen um ein sich wiederholendes Muster über einen kurzen Zeitraum zu bestimmen. Wenn beispielsweise die gleichen Kundeninformationen in einem bestimmten Zeitraum mehrfach in ein Zahlungsgateway eingegeben werden, kann das Gateway die Transaktion ablehnen oder eine manuelle Überprüfung beim Händler anfordern. Die Geschwindigkeitsprüfung besteht aus 3 oder mehr Variablen, immer einschließlich Menge, Datenelement und Zeitrahmen. Ein geprüftes Datenelement kann zum Beispiel die Benutzer-ID, die IP-Adresse oder die Zahlungsmethode enthalten.

Benötigen Sie Beratung bei der Suche nach der besten Betrugspräventionslösung für Ihr Unternehmen? Kontaktieren Sie uns.