Das Weihnachtsgeschäft ist die wichtigste Saison des Jahres. Ein Viertel des Jahresgeschäfts machen Online-Händler durchschnittlich im November und Dezember. Das gilt leider auch für Betrüger. Mit Black Friday und Cyber Monday startet auch für sie die Hochsaison.
So machen aktuell wieder Medienberichte über immer professioneller daherkommende Fake Shops die Runde – jüngst etwa für Kaffeeautomaten und Spielkonsolen. Sie betrügen möglichst schnell möglichst viele Kunden und sind schon nach wenigen Tagen wieder verschwunden. Das Portal Onlinewarnungen.de führt eine Liste bekannt gewordener Fake Shops. Es sind mehr als 1.500.
Das ist die eine Seite. Wesentlich stiller dagegen ist es in den Medien um die andere Seite des Online-Betrugs – den Schaden, den Kriminelle Tag für Tag unzähligen Online-Händlern zufügen. Vor einem Jahr hatte der Risikodienstleister CRIFBÜRGEL 130 Online-Händler dazu befragt. Ganze 97 Prozent gaben an, schon einmal betrogen worden zu sein. Und bei 71 Prozent hat das Problem zugenommen.
Online-Betrug hat sich vervielfacht
Wie hoch der Schaden ist, darüber gibt es nur Schätzungen. Die Berliner Hochschule bbw geht hierzulande von jährlich 2,4 Milliarden Euro aus. Das US-Unternehmen LexisNexis kommt auf 1,8 Prozent des Umsatzes – eine Verdreifachung innerhalb von fünf Jahren. Das wären bei 65 Milliarden Euro Online-Umsatz hierzulande (laut Verband bevh für 2018) rund 1,2 Milliarden Euro. Irgendwo dazwischen dürfte die Wahrheit liegen. Im Schnitt werden etwa drei Prozent aller Käufe als Betrugsversuch klassifiziert.
Betroffen sind vor allem Produkte, die gut handelbar sind, einen hohen Wiederverkaufspreis haben sowie einen großen Käuferkreis. Das reicht von Smartphones und Laptops über Kleidung, Schmuck und Sportartikel bis hin zu Werkzeug und Kfz-Zubehör. Oder auch Tickets. Die Deutsche Bahn etwa hatte Ende 2018 schnell reagiert und die Lastschriftzahlung ausgesetzt, nachdem bekannt wurde, dass Betrüger über gehackte Kunden-Accounts massenhaft Tickets gebucht, storniert und anschließend die Gutschriften weiterverkauft hatten.
Das sind die wichtigsten Betrugsmaschen
Mit welch cleveren Maschen Betrüger arbeiten, darüber kann wohl jeder Online-Händler ein Lied singen. Das reicht vom privaten Gelegenheitsbetrüger, der behauptet ein Paket nicht bekommen zu haben, bis zu durchorganisierten Banden, die mit gestohlenen Identitäten konzertierte Aktionen starten. Hier die wichtigsten Betrugsmaschen im Überblick:
1. Abstreiten des Warenerhalts
Ein Klassiker ist das Abstreiten des Warenerhalts. Es wird beispielsweise unter falschem Vornamen, aber der richtigen Adresse bestellt, oder aber mit richtigem Namen, aber falscher Hausnummer – um nachher zu behaupten, das Paket sei nicht angekommen. Das stellt Händler immer wieder vor die Gewissensfrage: Selbst wenn sie den Weg der Lieferung relativ sicher nachverfolgen können, wollen sie natürlich niemanden unberechtigt verdächtigen. Tipp: Ware ab einem gewissen Wert nur versichert verschicken, die Versandhistorie prüfen, um mehrmaligen Betrug zu vermeiden – und „Risk-Tools“ einsetzen, wie sie etwa der Zahlungsdienstleister BS PAYONE anbietet. Diese prüfen während des Bestellvorgangs im Hintergrund zum Beispiel die Existenz und die Zusammengehörigkeit von Namen und Adressen.
2. Eingehungsbetrug
Ein weiterer Klassiker ist der sogenannte Eingehungsbetrug: Kunden bestellen, obwohl sie bereits wissen, dass sie die Ware nicht bezahlen können. Strafrechtlich ist die böse Absicht nicht leicht nachzuweisen.
Doch soweit soll es ohnehin nicht kommen. Als Online-Händler können Sie dieses Risiko ziemlich wirksam über eine automatisierte Bonitätsabfrage minimieren. Denn die meisten Kunden, die so betrügen wollen, sind auch zuvor schon mal aufgefallen – und in den Datenbanken von Schufa, Creditreform und Co. gespeichert. Zahlungsdienstleister wie BS PAYONE greifen daher in Echtzeit auf die Datenbanken der Auskunfteien zurück, die die Bonität fast jeder Privatperson in Deutschland zuverlässig einschätzen können. Bei negativer Auskunft kann beispielsweise automatisch der Rechnungskauf ausgeschlossen oder der gesamte Kauf abgebrochen werden.
Wie anfällig für diese beiden Betrugsarten vor allem der Rechnungskauf ist, musste der Online-Bekleidungshändler Zalando vor einiger Zeit feststellen. Fast ein Jahr lang wurden Hunderte Pakete an eine Flüchtlingsunterkunft in Lebach geliefert – und nie bezahlt. Ein Großteil ging vermutlich an Besteller mit Fantasienamen. Solche Fälle lassen sich durch die automatisierte Namens- und Adressprüfung im Hintergrund minimieren. Zudem können Sie über Partner wie BS PAYONE auch Ihre auf Rechnung getätigten Verkäufe absichern. Mögliche Umsatzverluste, die Sie durch nicht bezahlte Rechnungen erleiden, können so erstattet werden.
3. Missbrauch des Widerrufsrechts
Zu einem regelrechten Trend ist das „Wardrobing“ geworden: Das schicke Abendkleid wird auf der Weihnachtsfeier getragen, das Etikett elegant versteckt. Nach dem Event und innerhalb der Widerrufsfrist geht das Ganze – mehr oder weniger säuberlich eingepackt – an den Händler zurück. Die Jeansmarke Diesel macht damit sogar Werbung: „Enjoy before returning“ lautet der provokante Slogan zur neuen Winterkollektion.
Ähnlich geht es aber auch in anderen Branchen zu. Da wird etwa der neue Großbildfernseher gleich nach der WM wieder zurückgeschickt. Kosmetik-Händler berichten von minderwertigen Duplikaten, die anstelle des bestellten teuren Parfums zurückkommen. Oder es wird ein technisches Gerät geordert, das der Kunde bereits zu Hause hat – leider defekt. Die Bestellung wird reklamiert, das defekte Gerät zurückgeschickt. Der Einfallsreichtum kennt kaum Grenzen.
Als der Händlerbund dazu 900 Shops befragte, kam heraus, dass bei Kleidung gut 40 Prozent der retournierten Ware beschädigt war. Der Schaden ist schwer zu beziffern. In den USA hat eine Studie 8,8 Milliarden US-Dollar pro Jahr ermittelt.
Obwohl hier rechtlich ein Betrug vorliegt, zeigen sich Händler oft kulant, um keine Kunden zu verlieren. Eine neue und pragmatische Lösung sind sogenannte „Seal Tags“ – gut sichtbare Extra-Etiketten an der Vorderseite, die beim Entfernen zerstört würden.
4. Identitätsdiebstahl
Immer mehr Kopfzerbrechen bereitet Sicherheitsexperten indes ein Phänomen, das in den vergangenen Jahren geradezu explosionsartig zugenommen hat: der Identitätsdiebstahl, bei dem Betrüger sich als jemand anderes ausgeben. So werden seit Jahren mit gestohlenen oder gefälschten Ausweisen Bankkonten eröffnet oder Mobilfunkverträge geschlossen. „Social Engineering“ nennt sich der Trend, bei dem – mit teilweise aufwendigen Mitteln – fremde Identitäten aufgebaut werden. Material dazu findet sich reichlich, von einfachen Adresslisten über gehackte E-Mail-Konten bis hin zu kompletten Kreditkartensätzen. Schätzungen zufolge sind bereits zehn Prozent aller Internetnutzer betroffen, alle 30 Sekunden wird hierzulande eine Identität gestohlen. Das Hasso-Plattner-Institut – über dessen „Identity Leak Checker“ übrigens jeder selbst prüfen kann, ob er betroffen ist – hat seit dem Start 2011 mehr als 180 Millionen geleakte Identitäten erfasst. Und täglich kommt Nachschub für den Handel im Darknet. Teilweise von spektakulären Fällen wie dem Diebstahl von 500 Millionen Gästedaten bei der Hotelkette Marriott.
Die einfachste Variante des Identitätsdiebstahls: mit fremdem Namen auf Rechnung bestellen und die Ware an eine abweichende Adresse, eine Packstation oder einen Paketshop liefern lassen, wo sie sicher abgeholt werden kann. Hier hilft die standardmäßige Bonitätsprüfung nicht weiter, wird sie doch vermutlich kein negatives Ergebnis bringen.
Eine einfache Gegenmaßnahme: bei Erstkäufern ausschließlich an die Rechnungsadresse liefern. Doch das kann ehrliche Kunden kosten. Zudem könnten Betrüger eine kleine Testbestellung vorausschicken, um danach richtig zuzuschlagen. Dienstleister wie BS PAYONE helfen hier mit ihren Risikomanagement-Tools, die zum Beispiel Adressdaten validieren und überprüfen können.
Fraud Filter gegen Betrug
Derartige „Fraud Filter“ werden Umfragen zufolge von fast jedem dritten Shop eingesetzt. Sie prüfen etwa IP-Adressen und CVV-Nummern, melden auffällige Schwankungen im Traffic, unüblich hohe Einkaufssummen, auffällig viele Bestellungen vom gleichen Endgerät oder auch identische Telefonnummern für unterschiedliche Adressen. Mittels „Device Fingerprinting“ lassen sich Nutzer und ihre Geräte recht gut identifizieren.
Doch die richtige Justierung eines Fraud Filters ist nicht leicht. LexisNexis geht davon aus, dass in der Praxis jeder vierte gemeldete Betrugsversuch „falsch positiv“ ist. So gerät etwa jemand, der seine IP-Adresse verschleiert oder einen Aufpreis für schnellere Lieferung zahlt – Betrüger lieben schnelle Lieferung –, vielleicht vorschnell ins Visier.
Der beste Weg dürfte die Kombination von manueller Überprüfung und automatisierten Fraud Filtern sein. Große Online-Händler haben nicht nur viel Entwicklungsarbeit in ihre Betrugserkennungssoftware investiert, sondern unterhalten gleichzeitig Teams von 20, 30 oder mehr Mitarbeitern ausschließlich zur Betrugsvermeidung. Auch kleinere Händler sollten Mitarbeiter in der Betrugserkennung schulen, damit sie einerseits Fraud Filter effizient bedienen können und andererseits ein sicheres Gefühl bei der manuellen Überprüfung entwickeln. Nicht zu unterschätzen ist hierbei der Wert selbst erhobener Kundendaten. Wer zum Beispiel weiß, dass sein Kunde zwei Hunde hält, wird vielleicht hellhörig, wenn dieser plötzlich größere Mengen Katzenfutter bestellt.
Falscher Alarm
Auf eine Probe werden die Sicherheitssysteme immer wieder bei Events wie Black Friday oder Cyber Monday gestellt. Dann verändert sich das Shoppingverhalten von Kunden so rapide, dass manch ein Fraud Filter überfordert ist. Da werden Warenkörbe deutlich voller gepackt oder mehrere Einkäufe hintereinander getätigt, um Rabatte geschickt auszunutzen. Oder Kunden bestellen Geschenke, die sie an Freunde ins Ausland liefern lassen. Da herrscht schnell Alarm im System. Im Vorfeld derartiger Events sollten Sie daher die Sicherheitseinstellungen Ihres Shops überprüfen und im Zweifel Transaktionen verstärkt manuell überprüfen.
Massenhaft gestohlene Kreditkarten
Zur Massenware sind im Internet gestohlene Kreditkartendaten geworden. Sie werden eifrig gehandelt, teilweise sogar mit „Gebrauchsanleitungen“ für weniger geübte Betrüger. Genutzt werden die Daten heutzutage vor allem für Card-not-Present-Transaktionen im Online-Shopping, wo die physische Karte nicht vorliegen muss. Und da etliche Shops mittlerweile Sicherheitsverfahren wie 3D Secure implementiert haben, finden sich im Internet auch Listen sogenannter „Cardable Sites“ – Webseiten mit geringer Sicherheit und somit Erfolg versprechende Angriffsziele. Ein Grund mehr für Shop-Betreiber, auf Zwei-Faktor-Authentifizierung zu setzen, auch wenn diese noch nicht verpflichtend ist.
Um gestohlene Kreditkartendaten zu testen, setzen Betrüger zunehmend auf Bots. In hohem Tempo können diese mit kleineren Einkäufen „Card Testing“ betreiben, um funktionierende Karten anschließend für größere Einkäufe zu nutzen. Eine Studie von Imperva geht davon aus, dass bis zu 20 Prozent des Traffics auf E-Commerce-Seiten von Bots kommt.
Ähnlich wird auch generell bei Online-Nutzerkonten vorgegangen. Über „Credential Stuffing“, das „Vollstopfen“ von Login-Seiten mit gestohlenen Anmeldedaten, ermitteln Bots automatisch gültige User-Passwort-Kombinationen, die dann zum erfolgreichen Missbrauch genutzt werden können. Vor allem, da viele Menschen die gleichen Passwörter für verschiedene Anwendungen nutzen. Ein gutes Sicherheitsmanagement erkennt, ob ein Mensch oder eine Maschine im Shop aktiv ist.
Betrug durch Bots
Bots betrügen nicht nur im engeren Sinne, sie richten auch anderweitig Schaden an. Sie ermitteln etwa Preise, um Konkurrenten automatisiert zu unterbieten. Ein Problem werden Bots zunehmend im Verkauf von Konzerttickets. Für begehrte Events sichern sich die intelligenten Programme durch Aushebeln der Kaufgrenzen jede Menge Tickets, die anschließend teurer weiterverkauft werden. In den USA und Großbritannien wurden sogar schon die Strafgesetze geändert, um dem Problem Herr zu werden.
Und auch in der Fashion-Branche werden Bots gerne genutzt, um limitierte Produkte Sekunden nach Erscheinen aufzukaufen und dann teurer weiterzuvertreiben. Einen Frankfurter Skateshop-Betreiber hat das so genervt, dass er statt der neuen Nike-Sneakers nur Fotoabzüge davon zum Kauf in den Shop gestellt hat. Die Bots sind darauf reingefallen und haben massenhaft zugeschlagen.
Im B2B-Geschäft gelten andere Regeln
Etwas andere Regeln gelten indes im B2B-Geschäft. Hier ist der Rechnungskauf in der Online- wie in der Offline-Welt die mit Abstand dominierende Zahlungsart. Es folgen Vorkasse, Kreditkarten und neuere Zahlungsmittel. Absichern können sich B2B-Händler – im Gegensatz zu B2C – gegen das Rechnungskauf-Risiko nicht. Experten glauben auch nicht, dass eine solche Absicherung irgendwann kommen wird. Daher wird Neukunden aus Sicherheitsgründen oft kein Rechnungskauf angeboten.
Doch dadurch verlieren Sie möglicherweise interessante neue Kontakte. Besser ist hier eine individuelle Prüfung. Wobei generell im B2B-Segment weniger die detaillierte Sicherheitsanalyse jeder einzelnen Transaktion, sondern eher ein fortlaufendes Monitoring wichtig ist. Denn ein Großteil des Geschäfts beruht auf langfristigen Beziehungen. Es gilt, früh zu erkennen, wenn ein Kunde in Zahlungsschwierigkeiten gerät. Anschließend sollten Sie auf ein möglichst automatisiertes und gleichzeitig sensibel agierendes Mahnverfahren setzen, um Kundenbeziehungen nicht allzu früh zu irritieren. Durch ein derart kontrolliertes Risikomanagement können BS PAYONE und Partner, etwa die Schufa mit Daten zu fast sechs Millionen Unternehmen, auch Firmen wirksam gegen Betrug schützen.
Fazit: Gefahr erkannt, Gefahr gebannt!
Prinzipiell gilt: Wollen Sie Ihren Shop besser gegen Betrug absichern, müssen Sie zunächst die individuellen Risiken analysieren. Wie anfällig ist das Warensortiment? Für welche Betrugsmaschen? Welche Betrugsversuche kommen tatsächlich vor? Wie hoch ist der geschätzte Schaden? Wo genau entsteht dieser maßgeblich? Welche Maßnahmen werden bislang ergriffen? Welche weiteren Möglichkeiten gibt es? Und wie ist deren Kosten-Nutzen-Verhältnis?
Die Kunst liegt vor allem darin, Sicherheitsschranken einzubauen, ohne das Einkaufserlebnis durch komplizierter werdende Bezahlprozesse zu stören. Hier ist Fingerspitzengefühl gefordert – und Know-how! Die Sicherheitsexperten von BS PAYONE haben beides. Nutzen auch Sie den Erfahrungsschatz der Payment-Profis, damit das Verkaufen noch mehr Spaß macht.
