eCommerce Anzeige
/ e-Commerce Recht & Sicherheitsfragen / Die beliebtesten E-Commerce-Betrugstaktiken im Jahr 2020

Die beliebtesten E-Commerce-Betrugstaktiken im Jahr 2020

Redaktion an 2. Juli 2020 - 16:37 in e-Commerce Recht & Sicherheitsfragen
Omer Silverman

Omer Silverman

Zwischen Händlern und Betrügern findet im E-Commerce ein nicht enden wollender Wettstreit statt. Während Händler in neue Lösungen investieren, um ihre Onlineshops noch besser abzusichern und das Problem dadurch in den Griff zu bekommen, finden Täter stets neue Mittel und Wege, um diese dennoch zu überwinden. In vielen Fällen sind ihre Betrugsmaschen so raffiniert, dass sie sich sogar in großem Maßstab anwenden lassen.

Um an ihr Ziel zu gelangen, müssen Betrüger in der Lage sein, ihre wahre Identität zu verbergen und die Händler stattdessen davon überzeugen, dass es sich bei ihnen um legitime Käufer handelt. Nur so können sie ihre Bestellung mithilfe einer gestohlenen Kreditkarte aufgeben. Im ersten Moment mag die Lösung, mit denen sich Händler vor solchen Betrugsmaschen schützen können, recht einfach klingen. So einfach ist das jedoch nicht. Viele Händler verfügen nicht über moderne Mittel zur Betrugsprävention und haben deshalb kaum eine Chance, mit Betrügern mitzuhalten, die ihre Identität scheinbar ständig ändern. Die Frage ist also: Wie gehen Betrüger vor? Und welche Methoden können Online-Händler anwenden, um einem Betrug zu entgehen?

1. Der Einkauf

Während Kunden Onlineshops durchstöbern, können sich Händler einen ersten Eindruck davon verschaffen, ob es sich bei diesen um legitime, potenzielle Käufer oder um Betrüger handelt. Aus diesem Grund versuchen Täter in dieser ersten Phase, legitim zu erscheinen und verschleiern ihre wahre Identität, indem sie sich hinter einer anderen Person verstecken. Damit das gelingen kann, ist es für den Betrüger wichtig, zu wissen, wo sich sein Opfer, mit dessen persönlichen Daten er sich tarnt, in diesem Moment befindet und wie dieser normalerweise online einkauft. Wenn der tatsächliche Kreditkarteninhaber beispielsweise in München wohnt und gewöhnlich über sein iPhone einkauft, wird der Betrüger versuchen, ebenfalls diesen Anschein zu erwecken. Diese Taktik wird als Spoofing bezeichnet – und sie ist keinesfalls neu, sondern besteht schon genauso lange, wie es Proxy-Server gibt.

Neu ist jedoch, in welchem Umfang die Täter dazu in der Lage sind, ihre wahre Identität zu verschleiern. Sie können sowohl ihre Zeitzone als auch ihr Gerät, ihre Sprache und ihren Browser manipulieren. Und das alles mit dem Ziel, sich als legitimer Kunde auszugeben und dadurch die Sicherheitsmaßnahmen, die Händler zur Betrugsprävention integriert haben, zu umgehen.

Händler, die einen solchen Online-Betrug verhindern wollen, müssen deshalb in erster Linie eine Lösung einsetzen, die Unregelmäßigkeiten in der Sitzung eines Benutzers erkennen kann. Wenn ein potenzieller Kunde zum Beispiel den Anschein erweckt, auf seinem Smartphone zu surfen, gleichzeitig aber Anzeichen dafür bestehen, dass er tatsächlich mit seinem Laptop auf den Shop zugreift, ist dies ein starker Hinweis darauf, dass der jeweilige Benutzer seine wahre Identität zu verbergen versucht.

2. Die Lieferadresse

Die nächste Hürde ist der Zahlvorgang. Händler sehen sich hierbei im ersten Schritt die Rechnungs- und Lieferadressen ihrer Käufer genau an und blockieren bereits im Vorfeld Bestellungen, bei denen die angegebene Lieferadresse mit einem potenziellen Betrug in Verbindung gebracht wird. Darüber hinaus können sie auch die Anzahl großer Bestellungen prüfen, die durch den jeweiligen Nutzer innerhalb sehr kurzer Zeitabstände aufgegeben werden und für die sie wiederum dieselbe Lieferadresse nutzen. Dieser Kontrollmechanismus kann E-Commerce-Betrüger daran hindern, größeren Schaden anzurichten.

An dieser Stelle kommt allerdings häufig die Adressverschlüsselung auch „Adress-Scrambling” genannt, ins Spiel. Diese Betrugstaktik besteht darin, zusätzliche Zeichen in die Adressfelder einzufügen, um das Kassensystem des jeweiligen Onlineshops zu verwirren und die Adressen eindeutig erscheinen zu lassen. So wird aus der Kirchstraße 115 beispielsweise die Kirchstraße3k9jijo0 115 gemacht. Durch diesen Zusatz variabler und inhaltsloser Zahlen und Buchstaben kann die Kirchstraße 115 nun mehrfach als Lieferadresse verwendet werden, ohne dass das System den Betrugsversuch als solchen erkennt. Die verschlüsselte Adresse wird entweder bereits beim Zeitpunkt des Versands automatisch als korrekt angesehen oder aber der Paketbote kontaktiert den Betrüger, um sich die Adresse, bei deren Zusatz es sich scheinbar um einen Tippfehler handelt, bestätigen zu lassen. Während das Spoofing früher manuell durchgeführt wurde, bedeutet die Einführung von Bots, dass Betrüger nun tausende von Adressänderungen in kürzester Zeit generieren können, ohne dabei enttarnt zu werden. Für Händler, die Adress-Scrambling in großem Maßstab erkennen wollen, ist es deshalb essentiell, die Mechanismen, die einen Bot enttarnen, zu verbessern. Nur so können Betrüger daran gehindert werden, innerhalb kürzester Zeit Angriffe in großem Umfang durchzuführen.

3. Die Lieferung

Die Adressverschlüsselung hilft Betrügern dabei, eine Lieferadresse mehrfach zu verwenden, ohne dass diese Unregelmäßigkeit dem System auffällt. Dies ist jedoch längst nicht die einzige Methode, Waren auf illegalem Weg zu erhalten. Betrüger können auch Hilfe in Anspruch nehmen. Der sogenannte „Maultierbetrug“ ist in dieser Phase des Bestellvorgangs eine beliebte Betrugsmasche. Sie besteht darin, dass dritte Personen die Ware, die im Rahmen des Betrugs erbeutet wurde, erneut bestellen. Manchmal geschieht dies freiwillig, aber in den meisten Fällen sind diese „Maultiere“ unwissentlich an diesem Prozess beteiligt. Die Betrüger bemühen sich oft darum, die Opfer manuell ausfindig zu machen und gezielt anzusprechen – sei es, indem sie sich als technische Unterstützung für ältere Opfer ausgeben, oder indem sie Dating-Portale nutzen, um auf diesem Weg ahnungslose Komplizen zu finden. Teilweise bauen sie sogar enge persönliche Beziehungen zu ihren Opfern auf, was zwar sehr aufwändig klingen mag, um letztlich erfolgreich zu sein, investieren die E-Commerce-Betrüger jedoch gerne viel Zeit und Ressourcen.

Für Händler stellt diese Taktik eine enorme Herausforderung dar. Die sogenannten „Maultiere“ sehen nicht wie Betrüger aus und wissen häufig selbst nichts von ihrer Rolle, die sie im Rahmen dieser Betrugsmasche spielen. Der Schlüssel liegt deshalb darin, Bestellungen ganzheitlich zu betrachten und zu entscheiden, ob die Einkäufe sinnvoll erscheinen. Ist der Versand der betreffenden Artikel mit einem hohen Risiko verbunden? Hat sich der Käufer normal verhalten oder hat er vielleicht ein unbekanntes Gerät oder Netzwerk benutzt? Passt die Bestellung in sein sonstiges Einkaufsmuster? Da mehrere Händler betroffen sein können, lohnt es sich, ebenfalls die Frage zu stellen, ob Käufer und Empfänger dort bereits bekannt sind. Je größer der Einblick in die Transaktionen des verdächtigen Käufers ist, desto besser sind Händler dazu in der Lage, festzustellen, ob eine Bestellung Auffälligkeiten aufweist. Hierbei können innovative Sicherheitslösungen unterstützend hinzugezogen werden, die auf Grundlage großer Datenmengen etwaige Trends erkennen und entsprechend Alarm schlagen können.

Maßnahmen gegen Betrüger

Da Betrüger ihre Methoden ständig weiterentwickeln, ist es von entscheidender Bedeutung, dass Händler Strategien wählen, die sich ebenso flexibel anpassen lassen. Zu viele machen noch immer von veralteten, regelbasierten Lösungen Gebrauch, die nicht mit den agilen Methoden der Betrüger mithalten können. Welch fatale Auswirkungen das haben kann, wurde im Rahmen der gegenwärtigen Corona-Pandemie deutlich: Eine Studie von Riskified ergab, dass die Betrugsfälle während der Krise um 41 Prozent zugenommen haben. Händler sind deshalb jetzt im Zugzwang, auf moderne Technologien umzusteigen. Nur mit Hilfe dynamischer Sicherheitslösungen, die sich ständig an neue Betrugstrends anpassen, werden sie dazu in der Lage sein, sich vor Betrügern zu schützen und dadurch große Verluste zu vermeiden.

~ Omer Silverman, Leiter des Analytics Operations Team bei Riskified ~

0 Kommentare beitragen

Senden Sie uns eine Mitteilung Hier

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Pin It on Pinterest

Share This