Zahlungsbetrug ist im Wesentlichen eine betrügerische oder illegitime Transaktion. Vor dem Internet bestand Zahlungsbetrug typischerweise aus einfachen Fällen von ungedeckten Schecks oder fehlerhaften Rückbuchungen. Mit dem Aufkommen von E-Commerce ist dies jedoch komplexer geworden.

Verbraucher verlieren persönliche Identitätsdaten und Kreditkartennummern durch Phishing-Betrug, Malware-Links in Text- und Sofortnachrichten sowie gefälschte Telefonanrufe. Mit zunehmender Raffinesse der Betrüger müssen auch Ihre Betrugsmanagementmaßnahmen entsprechend verbessert werden, um Ihre Kunden und Ihr Unternehmen vor finanziellen Verlusten zu schützen.

Im Jahr 2024 wurde prognostiziert, dass der globale E-Commerce-Modeindustrie einen Gesamtmarktwert von 781,5 Milliarden US-Dollar erreichen wird. Laut einer Studie von Juniper Research werden die kumulierten Händlerverluste durch Online-Zahlungsbetrug weltweit zwischen 2023 und 2027 mehr als 343 Milliarden Dollar übersteigen.

Leider sind Betrüger an diesem wachsenden Markt für unethischen finanziellen Gewinn interessiert und operieren manchmal als Teil eines größeren organisierten Verbrecherrings.

Die Sicherung von persönlichen Daten und Zahlungsinformationen trägt wesentlich dazu bei, Angriffe durch Zahlungsbetrug zu stoppen. Zu wissen, welche Arten von Zahlungsmethoden die Betrüger angreifen, ist hilfreich, um zu verhindern, dass es dazu kommt. Lassen Sie uns sieben gängige Möglichkeiten untersuchen, wie ein Unternehmen eine Zahlung verarbeiten könnte.

Zahlungsarten, die ein Unternehmen verarbeiten könnte

• Karte präsent (Card-present – CP): Zahlungsabwicklungen mit Präsenz der Karte erfolgen an stationären Standorten, an denen Käufer eine physische Karte vorlegen müssen, um einen Kauf zu tätigen. Der Händler verwendet in der Regel ein Point of Sale (POS)-System, das einen Kartenleser zur Verarbeitung von CP-Transaktionen einschließt.
• Karte nicht präsent (Card-not-present – CNP): CNP-Transaktionen finden statt, wenn ein Kunde Käufe ohne eine physische Karte tätigt. Online-Käufer können einem E-Commerce-Händler keine physische Karte vorlegen, sodass Transaktionen mit der Kartennummer, dem Ablaufdatum und des Kartenprüfwerts (CVV) erfolgen. CNP-Transaktionen können auch per Post oder Telefon durchgeführt werden.
• Zahlungen über eine automatisierte Clearing-Stelle (ACH): Dieser Zahlungstyp umfasst eine elektronische Bank-zu-Bank-Zahlung und ist bei Software-as-a-Service (SaaS)-Plattformen und Abonnementmodellen üblich, die regelmäßige monatliche Zahlungen erfordern. Für diese Art der Transaktion benötigt der Käufer eine Bankleitzahl und eine Kontonummer.
• Jetzt kaufen, später bezahlen (Buy-now-pay-later – BNPL): Jetzt kaufen, später bezahlen bietet kurzfristige Finanzierungen, die es Verbrauchern ermöglichen, Einkäufe zu tätigen und sie in gleichen Raten über die Zeit zu bezahlen, oft mit wenig oder gar keinen Zinsen. BNPL ist in den letzten Jahren zu einem der angesagtesten Trends bei Zahlungen geworden, da diese Zahlungen bis 2026 fast ein Viertel aller globalen E-Commerce-Transaktionen ausmachen werden, gegenüber nur 9 Prozent im Jahr 2021.
• Digitale Wallets: Diese Zahlungsmethode funktioniert kontaktlos sowie elektronisch und ermöglicht den Kunden, ihre Kreditkarte oder Debitkarte auf ihrem Smartphone zu speichern, um Zahlungen zu tätigen. Digitale Wallets vereinfachen den Kassenprozess mit nur einem Klick und machen sie zu einer der bequemsten und beliebtesten Zahlungsmethoden für Händler und Verbraucher. Digitale Geldbörsen machten fast die Hälfte der E-Commerce-Zahlungen weltweit aus und werden voraussichtlich 2024 53 Prozent ausmachen.
• Offene Rechnung: Typischerweise handelt es sich bei B2B-Zahlungen um eine offene Rechnung, die noch nicht bezahlt wurde. Rechnungen enthalten in der Regel eine Rechnungsnummer und eine Auftragsnummer sowie den Unternehmensnamen, die Adresse und die Kontaktdaten des Zahlers und des Zahlungsempfängers.
• Treuepunkte: Seit Jahren haben Kreditkartenherausgeber ihren Kunden Treuepunkte für ausgegebene Beträge auf der Karte gewährt. Verbraucher können diese Punkte dann für Käufe verwenden. Häufige Kategorien für die Verwendung von Treuepunkten umfassen Reisen, Gastronomie, Konsumgüter und mehr. Darüber hinaus ermöglichen einige Unternehmen und Fluggesellschaften ihren Kunden, Treuepunkte für Käufe auf ihren Plattformen zu verwenden.

Um mit einer dieser Zahlungsmethoden zu bezahlen, geben Verbraucher Zahlungsinformationen über einzigartige Kontonummern bekannt, entweder eine Kreditkarte oder eine Bankkontonummer. Für Betrüger ergibt sich dadurch eine Gelegenheit: Nummern sind leicht zu stehlen – das ist der Kern des Zahlungsbetrugsproblems. Verbraucher müssen ihre Daten schützen und Händler tun ihr Bestes, um sie zu schützen. Hacker und Identitätsdiebe sind jedoch Experten darin, Sicherheitsmaßnahmen zu umgehen.

Häufige Zahlungsbetrugsangriffe

• Zahlungsbetrug tritt auf, wenn ein böswilliger Akteur falsche oder gestohlene Zahlungsinformationen verwendet, um einen Kauf zu tätigen. Er kann bei allen Zahlungsmethoden auftreten, und die Betrüger gehen jedes Jahr raffinierter vor. Hier sind einige Beispiele für häufige Zahlungsbetrugsangriffe.
• Kreditkartenbetrug: Bei dieser Art von Zahlungsbetrug handelt es sich um eine der frühesten Formen des Zahlungsbetrugs. Dabei verwendet ein Betrüger gestohlene Kreditkartendaten, um nicht autorisierte Käufe zu tätigen.
• Kartenbetrug ohne physische Präsenz der Karte (Card-not-present – CNP): Wie der Name schon sagt, tritt dieser Betrug auf, wenn ein Kunde keine physische Karte vorlegt, um einen Kauf zu tätigen, wie z. B. bei einer Online- oder Telefonbestellung. CNP-Betrug tritt typischerweise auf, nachdem Kreditkarten- oder Zahlungsinformationen durch Datenlecks gestohlen oder im Dark Web illegal gekauft wurden.
• Betrug über Zahlungsportale: Diese Art von E-Commerce-Betrug tritt auf, wenn ein Cyberkrimineller gestohlene Identitäten und Kartendaten verwendet, um persönliche und Zahlungsinformationen auf der Online- oder mobilen Commerce-Website eines Händlers einzugeben. Hierzu zählen auch Angriffe auf Bankidentifikationsnummern (BIN), bei denen ein Betrüger mithilfe von Software versucht, aktive Kartennummern anhand der BIN oder der ersten sechs Ziffern einer Karte zu ermitteln.
• Betrug durch Kontoübernahme (Account Takeover – ATO): Bei dieser Betrugstaktik erhält ein Betrüger unbefugten Zugang zu einem Online-Konto eines legitimen Kunden ohne Zustimmung des Inhabers, in der Regel aufgrund einer Datenpanne. Wenn ein Betrüger Zugriff auf das E-Commerce-Konto eines Kunden erhält, beispielsweise auf ein Bankkonto, eine E-Mail-Adresse oder ein Social-Media-Profil, kann er verschiedene Betrugsversuche unternehmen – vom Einkaufen mit gespeicherten Zahlungsmethoden bis zum Einlösen von Treuepunkten oder einfach dem Ausnutzen wertvoller persönlicher Informationen.
• Betrug mit digitaler Wallet: Obwohl digitale Wallets über viele fortschrittliche Sicherheitsprotokolle und Funktionen verfügen, sind sie nicht betrugsicher.
  
  Betrüger verwenden üblicherweise vier Taktiken, um digitale Wallets anzugreifen:

1. Erstellung neuer digitaler Wallets mit gestohlenen Daten
2. Einsetzen einer gestohlenen SIM-Karte in einem neuen Telefon, um das Opfer zu impersonieren und Käufe zu tätigen
3. Manipulation von biometrischen Daten mit Deepfakes, Gesichtsmasken, künstlichen Fingerabdrücken und falschen Stimmen
4. Social-Engineering-Angriffe, die ahnungslose Verbraucher dazu verleiten, ihre Anmeldedaten preiszugeben

Wie begehen Betrüger Zahlungsbetrug?

Als Meister der Manipulation führen Betrüger Angriffe aus, um ihre Opfer auszunutzen. Sie verwenden verschiedene Social-Engineering-Taktiken, um Opfer dazu zu bringen, persönliche und Zahlungsinformationen preiszugeben und an sie zu übertragen, oder sie starten Malware, um diese Informationen zu stehlen. Sie können eine falsche Identität annehmen, beispielsweise als Forscher oder Autoritätsperson, um das Vertrauen des Opfers zu gewinnen.

Zu den Arten des Social Engineering durch Betrüger gehören:

• Phishing ist eine Form des Social Engineering, bei der eine E-Mail gesendet oder eine bösartige Website eingerichtet wird, um sich als seriöse Organisation auszugeben. Normalerweise wird das Opfer bei dieser Methode über ein Problem informiert und darüber, dass es zur Lösung des Problems sofort Zahlungsinformationen angeben muss.

• Smishing ist eine weitere Form des Social Engineering. Dabei werden Textnachrichten und SMS verwendet, um private Informationen für böswillige Zwecke zu erlangen. Betrüger senden dem Empfänger beispielsweise einen Link per SMS, der eine Webseite, E-Mail-Adresse oder Telefonnummer öffnet, und fordern den Empfänger auf, zu antworten, eine E-Mail zu senden oder anzurufen, um die Informationen herauszugeben.

• Vishing, dabei wird versucht, das Opfer dazu zu bringen, eine Telefonnummer anzurufen, um seine Kontodaten preiszugeben. Häufig fälschen Betrüger die Identität von Anrufern, um den Anschein zu erwecken, dass das Opfer mit einer seriösen Organisation spricht.

Sobald Betrüger auf diese Weise an die für einen Angriff benötigten Informationen gelangen, schlagen sie zu. Betrüger können auch in Teams oder mit organisierten Verbrecherbanden zusammenarbeiten, um Angriffe in großem Maßstab durchzuführen. Sie suchen nach Sicherheitslücken wie ungesicherten Zahlungsgateways und unzureichenden Betrugspräventionsmaßnahmen, um diese auszunutzen und in Unternehmenssysteme einzudringen.

Schritte zur Betrugsprävention für Händler

Der erste Schritt, um Zahlungsbetrug in Ihrem Unternehmen zu verhindern, besteht darin, über Betrugstrends auf dem Laufenden zu bleiben. Hacker legen Wert darauf, über alle aktuellen Trends im Bereich der Cyberkriminalität auf dem Laufenden zu bleiben, um Sie auszunutzen. Wenn Sie ihre Taktiken verstehen, können Sie sie also stoppen.

• Erwägen Sie, einen ethischen Hacker einzustellen: Diese Personen verfügen über dasselbe Fachwissen wie ihre „Black Hat“-Kollegen. Betrachten Sie es als einen „Stresstest“, um Ihre Kunden zu schützen und Zahlungsbetrug zu verhindern.

• Schützen Sie Kundenkonten: E-Commerce-Unternehmen können digitale Maßnahmen ergreifen, um die Übernahme von Kundenkonten zu verhindern:

• Verifizieren Sie die E-Mail-Anmeldung: Fordern Sie neue Benutzer auf, ihre E-Mail bei der Registrierung zu verifizieren, um sicherzustellen, dass das Konto mit dem richtigen Benutzer verknüpft ist.
• Wenden Sie die Multi-Faktor-Authentifizierung (MFA) an, um es Betrügern zu erschweren, auf Konten zuzugreifen. Senden Sie Benachrichtigungen, wenn ein Benutzer eine Adress- und E-Mail-Änderung vornimmt oder eine erneute Validierung oder Löschung einer gespeicherten Zahlungsmethode anfordert. Wenn Sie automatische Zahlung aktivieren, fordern Sie eine erneute Validierung des Kartenprüfwerts (CVV) für die gespeicherte Zahlungsmethode an.

• Legen Sie ein Callcenter-Protokoll fest: Um Social-Engineering-Angriffe zu minimieren, erstellen Sie eine entsprechende Richtlinie darüber, was Sie von einem Kunden verlangen, um Kontoänderungen telefonisch vorzunehmen.

• Implementieren Sie ein Passwortprotokoll: Die Aufforderung an Kunden, ihre Passwörter regelmäßig zu ändern, mag unangenehm erscheinen, ist aber eine Sicherheitsmaßnahme zu deren Schutz. Jede Änderung erfordert, dass Hacker von vorne anfangen. Ein paar Tipps:

• Fordern Sie sichere Passwörter für Kundenkonten, die Sonderzeichen und Zeichenbeschränkungen enthalten. Setzen Sie eine vorübergehende oder dauerhafte Sperrung bei einer bestimmten Anzahl falsch eingegebener Passwörter durch, um zu verhindern, dass Hacker das Passwort knacken.

• Erstellen Sie eine Datenschutz- und Sicherheitsrichtlinie: Kunden benötigen die Gewissheit, dass ihre Transaktionen sicher sind. Schreiben Sie eine Datenschutz- und Sicherheitsrichtlinie, um zu erklären, was Sie in diesen Bereichen tun. Veröffentlichen Sie diese Richtlinien auf Ihrer Webseite, auf der Kunden die Links sehen und sie für einen schnellen Zugriff einfach anklicken können.

• Fordern Sie ein Benutzeranmeldung für Käufe: Diese Funktion verwirrt Kunden manchmal, da es so aussieht, als wären sie beim Surfen Ihrer Website abgemeldet gewesen, was jedoch nicht der Fall ist. Die Anforderung einer zusätzlichen Anmeldung vor dem endgültigen Kauf durch den Kunden ist eine Sicherheitsmaßnahme. Sie stellt sicher, dass der Käufer nicht einfach das Mobilgerät des tatsächlichen Kontoinhabers genommen hat und die automatisch gespeicherten Einstellungen verwendet, um seine Kreditkarten zu belasten.

• Codieren Sie Ihre Website mit einer zeitgesteuerten Benutzerabmeldung: Die automatische Abmeldung schließt die Anwendung, wenn der Benutzer für einen bestimmten Zeitraum inaktiv war. Kunden lassen ihren Computer oft stehen oder ihr Mobilgerät oft liegen und vergessen, welche Apps sie geöffnet gelassen haben. Wenn dies versehentlich an einem öffentlichen Ort geschieht, sind sie anfällig für Identitätsdiebstahl und „Online-Ladendiebe“.

• Schulen Sie Ihre Mitarbeiter und Kunden: Wenn Sie die Warnsignale von Social-Engineering-Angriffen kennen, können Sie Betrüger daran hindern, an die Informationen zu gelangen, die sie für Zahlungsbetrug benötigen. Teilen Sie diese Warnsignale Ihren Mitarbeitern und Kunden mit, um zu verhindern, dass Betrüger Zugriff erhalten.

• Überprüfen Sie die E-Mail-Adresse des Absenders: Bitten Sie Ihre Mitarbeiter, die E-Mail-Adresse des Absenders genau zu überprüfen, da diese oft als legitime Organisation erscheint und nur wenige Buchstaben fehlen. Auf verdächtige E-Mail-Adressen darf nicht geantwortet werden und sie sollten zur Überprüfung an interne Sicherheitsteams weitergeleitet werden.
• Kommunikation fehlt Personalisierung: Wenn die Anrede (Hallo oder Sehr geehrte Damen oder Herren) und der Inhalt der E-Mail allgemein sind, kann das ein Zeichen sein, dass Sie Phishing erhalten.
• Bösartige Links und Anhänge: Bitten Sie Ihre Mitarbeiter und Kunden, mit der Maus über Links zu fahren, bevor sie auf sie klicken. Wenn die Links nicht mit dem Text übereinstimmen, wenn Sie mit der Maus darüber fahren, ist das ein verdächtiges Zeichen. Betrüger können Opfer auffordern, Anhänge dringend herunterzuladen, damit sie keine Gelegenheit haben, darüber nachzudenken. Das ist ein Warnzeichen. Handelt es sich dabei um bösartige Anhänge, ist Ihr System plötzlich unter der Kontrolle von Cyberkriminellen.

Schützen Sie Ihr Unternehmen mit einer Betrugspräventionslösung

Da die digitale Customer Journey nahezu ständig von raffinierten betrügerischen Aktivitäten angegriffen wird, können Tools zur Betrugserkennung und zum Betrugsmanagement für ein beruhigendes Gefühl sorgen. Der richtige Partner zur Betrugsprävention kann Ihnen helfen, Risiken zu minimieren, neue Märkte und Produkte zu erschließen, neue Zahlungsmethoden einzuführen, verifizierten Kunden ein nahtloses Erlebnis zu bieten und letztendlich den Umsatz zu steigern, während er eine bessere Kostenprognose und ein geringeres Risiko bei einem geringeren Investitionsaufwand an Zeit und Ressourcen bietet.

Das Management von Zahlungsbetrug ist ein fortlaufender Kampf, der nötig ist, um die neuen Betrugstrends und -methoden im Auge zu behalten. Seien Sie wachsam, indem Sie einen proaktiven und ganzheitlichen Ansatz zur Betrugsprävention annehmen. Betrug wird nicht aufhören, aber mit diesen Schritten können Sie ihn verlangsamen und seine Auswirkungen auf Ihr Unternehmen minimieren.

Betrug eliminieren, Gewinne maximieren

Entdecken Sie Strategien zum Betrugsmanagement, die Ihr Ergebnis schützen, Ihren Umsatz optimieren und nachhaltiges Wachstum fördern.

Holen Sie sich den Leitfaden

Frequently asked questions

Was ist Kontenübernahmebetrug?