E-Commerce-Betrug in Zeiten der Corona-Pandemie und des Ukraine-Kriegs

Die Corona-Pandemie hat zu einer Zunahme von Betrug im E-Commerce geführt. Laut einer Studie der deutschen Wirtschaftsauskunftei CRIFBÜRGEL waren zwischen Juli 2020 und Juni 2021 insgesamt 91 Prozent aller Online-Shops in der DACH-Region von Online-Betrug betroffen. Das ist ein neuer Rekord im E-Commerce Fraud. Dabei führen 61,5 Prozent der Händler*innen den erneuten Anstieg von Betrugsfällen auf die Corona-Pandemie zurück.

Aber auch der Ukraine-Krieg wirft seine Schatten auf den E-Commerce voraus. Die Bitdefender Labs haben Anfang März 2022 wieder vermehrt Phishing-Aktivitäten identifiziert. Der Grund: Die in den Krieg verwickelten Staaten gehen auch online gegeneinander vor. Das motiviert Trittbrettfahrer zu Phishing-Aktivitäten, bei denen sie Appelle an humanitäre Hilfe ins Zentrum ihrer Malware-Aktivitäten stellen. Dies ist zunächst Phase 1, in der die Betrüger*innen Daten von echten Personen sammeln, die sie in Phase 2 für ihr Online-Shopping verwerten können. Sollte Phase 2 auf uns zukommen, ist eine erneute Zunahme von Betrugsfällen im Netz möglich.

Aus diesen aktuellen Anlässen haben wir die aktuell wichtigsten Betrugsmuster zusammengestellt – jeweils mit Hinweisen, wie sich Online-Shops am besten dagegen schützen können. Interessanterweise haben sich während der Pandemie noch keine neuen Betrugsmuster entwickelt. Dennoch sind die bestehenden einen erneuten Blick wert:

1. Identitätsbetrug

Nach wie vor auf Platz eins: der Identitätsbetrug. Bei diesem Betrugsmuster werden im Vorfeld zum Beispiel über Phishing-Aktivitäten Daten real existierender Personen abgegriffen und dann auf deren Namen Online-Bestellungen vorgenommen. Die Herausforderung besteht auf Seiten der Betrüger*innen im anschließenden Abfangen der Bestellung. So wird mit einer von der Rechnungsanschrift abweichenden Lieferanschrift versucht, die Pakete an eine Adresse oder Packstation schicken zu lassen, wo die Betrüger*innen die Ware empfangen können.

Vor der Pandemie konnten die Betrüger*innen die Sendung oft auch direkt vor der Haustür des realen Empfängers abfangen, was besonders gut an Arbeitstagen funktionierte, da viele zu dieser Zeit nicht zu Hause waren. Nun hat sich pandemiebedingt bei nicht wenigen Menschen das Home Office etabliert. Daher treffen Versanddienstleister die Empfänger*innen vermehrt in ihren eigenen vier Wänden an. Das erschwert für die Betrüger*innen den Identitätsbetrug zumindest an dieser Stelle.

Beim Identitätsbetrug gibt es leider noch eine Steigerung der betrügerischen Verwendung echter Personendaten: die Verwendung echter Bestandskundendaten. Wenn eine Bestellung von einem vermeintlichen Bestandskunden durchgeführt wird, der in der Vergangenheit durch hervorragende Zahlungsmoral und Bonität geglänzt hat, gibt es für Online-Händler*innen bei einer betrügerischen Bestellung nicht den geringsten Grund, skeptisch zu werden.

Was können Online-Shops gegen Identitätsbetrug tun?

Einfach und wirkungsvoll wäre es natürlich, wenn Online-Shops zumindest bei Neukund*innen die Bestellung nur an die Rechnungsadresse liefern oder die Lieferung an Paketshops und Packstationen komplett unterbinden. Unter solchen Maßnahmen leidet auf der anderen Seite natürlich das Einkaufserlebnis ehrlicher Shopper*innen.

Eine weitaus größere Chance, Identitätsbetrug zu verifizieren, haben in der Tat Payment-Anbieter, die ihre Zahlungslösungen im Checkout eines Online-Shops zur Verfügung stellen – also zum Beispiel auch wir von Ratepay. Anders als einzelne Online-Händler*innen, die sich nur auf die Kundendaten ihres eigenen historisch gewachsenen Ökosystems verlassen müssen, verfügen wir über weitaus größere, Shop-übergreifende Datenbanken. Wir kennen bestimmte Kundenprofile möglicherweise von anderen getätigten Online-Einkäufen in völlig anderen Shops.

Ist dies der Fall, kennen wir natürlich auch die Zahlungsmoral, die präferierte Zahlart, übliche Rechnungs- und Lieferadressen, durchschnittliche Bestellwerte beim Kauf auf Rechnung und sogar das Endgerät inklusive des Betriebssystems, über welches der echte Kunde üblicherweise bestellt. Die Gesamtheit dieser Parameter können Betrüger*innen normalerweise nicht komplett simulieren. Das Resultat: der Identitätsbetrug fällt noch im Checkout auf. Die Transaktion wird abgelehnt.

Eine solche Echtzeit-Risiko-Analyse führen wir bei Ratepay mit Hilfe von Machine Learning und unserer Fraud Rule Engine aus. Sie dauert weniger als eine Sekunde, so dass Shopper*innen davon nichts mitbekommen.

2. Friendly Fraud

Friendly Fraud ist ähnlich stark verbreitet wie Identitätsbetrug. Hier beanstanden die Betrüger*innen nach ordnungsgemäßem Erhalt der Lieferung, entweder gar nichts, nur eine Teillieferung oder beschädigte Ware erhalten zu haben. Deshalb weisen sie bei ihrer Bank oder ihrem Kreditkarteninstitut die Rückbuchung der Transaktion an oder bezahlen einfach überhaupt nicht. Da für Online-Shops guter Kundenservice überlebenswichtig ist, akzeptieren viele die Rückabwicklung. Das Resultat auf Seiten des Shops: keine Ware mehr und kein Geld.

Was können Online-Shops gegen Friendly Fraud tun?

Einen wirksamen Schutz vor Friendly Fraud kann jeder Online-Shop mit verhältnismäßig einfachen Bordmitteln selbst aufbauen, ohne das Shopping-Erlebnis seiner Kund*innen wesentlich einzuschränken. Diese Maßnahmen sollten Online-Shops auch ernst nehmen und konsequent umsetzen. Denn im Betrugsfall ist es juristisch gesehen essenziell, dass man als Händler*in den Falschaussagen der Betrüger*innen mit möglichst handfesten Nachweisen über den Sendungsverbleib entgegentreten kann. Das sind die Möglichkeiten:

Zunächst bieten viele Logistikpartner Lieferoptionen für Warensendungen an, mit deren Hilfe sich Friendly Fraud entweder vermeiden lässt oder der Warenverbleib relativ einfach nachweisbar ist. Zum Beispiel die Option, Warensendungen nur direkt an den Empfänger zu übergeben (und nicht dem Nachbarn auszuhändigen oder bei Abwesenheit des Empfängers vor die Haustür zu stellen). Beim Versand von Hochrisiko-Artikeln wie bspw. teuren Kameras werden Tracker eingesetzt, über die ständig die aktuelle Position der Sendung ermittelt werden kann. So bleibt kein Restzweifel über den Erhalt der Ware.

Doch auch für die Online-Shops selbst gibt es einfache Maßnahmen: Über die Seriennummer eines versendeten Artikels kann geprüft werden, ob der wegen eines angeblichen Defekts retournierte Artikel tatsächlich derselbe ist, der vom Shop verschickt wurde. Betrüger*innen behalten nämlich im Falle einer Reklamation den intakten Artikel und senden einen gleichen Artikel mit Defekt zurück.

Wer vor Versand der Ware das Gesamtgewicht des Pakets auf dem Lieferschein vermerkt, kann sich wiederum gegen Reklamationen wegen unvollständiger Warensendung schützen.

Ein etwas strengeres Konzept sieht vor, Neukund*innen, die schon beim ersten Einkauf eine vergleichsweise hohe Bestellung aufgeben, im Checkout nur die Vorkasse anzubieten. Dies wäre allerdings ein Einschnitt ins Shopping-Erlebnis und muss daher genau abgewogen werden.

Wie beim Identitätsbetrug empfiehlt sich letztlich auch beim Friendly Fraud die Einbindung eines Payment-Anbieters wie zum Beispiel Ratepay für eine sichere Zahlungsabwicklung – aus denselben Gründen. Vor allem, wenn man als Online-Händler*in den Rechnungskauf anbietet.

3. Account Takeover

Bei diesem Betrugsmuster handelt es sich um die Übernahme eines echten Kundenkontos durch Hacker*innen. Anders als beim klassischen Identitätsbetrug können hier einerseits die im Kundenkonto hinterlegten Zahlarten von den Betrüger*innen für Transaktionen genutzt werden. Andererseits eignet sich der Account Takeover perfekt, um alle personenbezogenen Daten bequem für das jeweilige Betrugsziel abzuändern. Welche Online-Händler*innen schöpfen schon Verdacht, wenn sich eine Bestandskundin oder ein Bestandskunde mit hervorragender Zahlungsmoral ins Kundenkonto einloggt und einmalig seine Lieferadresse ändert. Er könnte schlichtweg umgezogen sein.

Was können Online-Shops gegen Account Takeover tun?

Zunächst hilft es natürlich, die eigene Shop-Software immer auf dem aktuellen Stand zu halten und außerdem die Kund*innen beim Anlegen eines Accounts auf die Wichtigkeit komplizierter Passwörter hinzuweisen, damit das Kundenkonto nicht so leicht gehackt werden kann. So wichtig diese Maßnahmen sind, so schnell stoßen sie jedoch an ihre Grenzen.

Auch hier kämen wieder wir von Ratepay mit unserer spezialisierten Technologie, unserer Expertise und vor allem mit unseren viele Shops und Bestellprozesse übergreifenden Datenbanken ins Spiel. Wir können vermeintlich harmlose und plausible Änderungen an einem Kundenkonto in einem viel größeren Gesamt-Kontext bewerten. Ggf. wissen wir sogar, ob die betreffende Person tatsächlich umgezogen ist, da sie schon seit einiger Zeit verschiedene Online-Bestellungen an eine neue Lieferadresse schicken lässt. Auch können Payment-Anbieter wie wir ggf. die Plausibilität der neuen Lieferadresse beurteilen. Und natürlich greifen wir wieder auf technische Analysen bei Endgeräten zurück und prüfen, ob die betreffende Bestellung immer noch vom selben Betriebssystem und mit demselben Browser durchgeführt wird oder ob es hier tatsächlich Abweichungen und damit Auffälligkeiten gibt.

Das Beispiel Account Takeover zeigt erneut, weshalb gerade die Daten von Bestandskunden besonders schützenswert sind. Einerseits, um alle Beteiligten vor Cyberkriminalität und den wirtschaftlichen Folgen betrügerischer Einzelbestellungen zu bewahren. Andererseits, um zufriedene Bestandskunden nicht zu verärgern und letztlich zu verlieren. Denn selbst, wenn Online-Händler*innen und Kund*innen nach einem Account Takeover kulant aufeinander zugehen, geht dennoch auf Seiten der Shopper*innen das Vertrauen in die Sicherheit des betreffenden Shops verloren. Die Konsequenz: Das Kundenkonto wird gelöscht, weitere Bestellungen bleiben aus.

Aber noch ein weiterer Effekt ist nicht zu unterschätzen: Bei vermehrtem Auftreten von Account Takeovern ist es nur eine Frage der Zeit, bis diese Betrugsfälle in der Öffentlichkeit kursieren. Sei es auf Social-Media-Kanälen im Internet oder sogar in der konventionellen Presse. Den damit verbundenen Image-Schaden möchten sich Händler*innen ungern ausmalen.

Bestandskundendaten gehören also gerade im Kontext von E-Commerce Fraud zum wichtigsten und schützenswertesten Gut für alle Online-Shops.

4. Bot Attacks

Dieses relativ junge Betrugsmuster kommt erst seit maximal 2 Jahren produktiv zur Anwendung. Bei Bot Attacks führen von Hackern entwickelte, automatisierte Skripte in kürzester Zeit immer die gleichen Bestellungen durch. Dabei lassen sich innerhalb einer Sekunde bis zu 200 Bestellungen messen, bei denen das Skript immer mit derselben IP-Adresse exakt die gleiche Bestellung zu exakt den gleichen Parametern (bspw. den gleichen Kundendaten) ausführt. Gerade im Fashion-Bereich sind solche Bot Attacks öfter anzutreffen. Das Problem ist, dass bei diesen Cyberangriffen ebenfalls echte Kundendaten benutzt werden.

Da dieses Betrugsmuster noch relativ neu ist, sind die technischen Möglichkeiten zur Prävention noch limitiert. Handlungsbedarf besteht dennoch, weil auch hier die negativen Konsequenzen ähnlich wie beim Account Takeover sind: Unzufriedene Bestandskunden, deren echte Daten für die Bot Attack missbraucht werden, fühlen sich nicht mehr sicher, kaufen im betreffenden Shop nicht mehr ein und löschen wahrscheinlich auch ihr Kundenkonto.

Fazit

Bei Betrugsmustern wie dem Friendly Fraud können Online-Shops ohne viel Aufwand mit logistischen Maßnahmen gegen E-Commerce Fraud vorgehen. Bei Bot Attacks wiederum muss nach Technologien gesucht werden, die bis zu 200 Fake-Bestellungen pro Sekunde unterbinden. Und bei Identitätsbetrug gäbe es zwar simple Maßnahmen wie die generelle Ausklammerung von Packstationen – dies ginge aber zu Lasten eines guten Shopping-Erlebnisses.

Eine Präventionsmaßnahme jedoch ist mit allen Betrugsmustern kompatibel und ein verlässlicher Pfeiler der Prävention: ein zuverlässiger und erfahrener Payment-Anbieter, der im Checkout eines Shops implementiert ist und etwas kann, was eigentlich kein Online-Shop in dieser Form alleine zu stemmen vermag: Eine beträchtliche Anzahl von Betrüger*innen identifizieren, noch bevor sie Schaden anrichten. Und natürlich sollte dieser Payment-Anbieter auf die beliebteste Bezahlart der DACH-Region spezialisiert sein: den Kauf auf Rechnung.