Sechs Arten von Zahlungsbetrug und wie Unternehmen sie vermeiden können

Radar
Radar

Fight fraud with the strength of the Stripe network.

Mehr erfahren 
  1. Einführung
  2. Was ist Zahlungsbetrug?
  3. Arten von Zahlungsbetrug
    1. Phishing
    2. Skimming
    3. Identitätsdiebstahl
    4. Rückbuchungsbetrug
    5. Kompromittierung der geschäftlichen E-Mail-Adresse
    6. Card-Not-Present-Betrug
  4. Vorteile von Betrugsvorbeugung

Zahlungsbetrug kann die Unternehmensfinanzen und den Schutz der Privatsphäre von Kundinnen und Kunden bedrohen. Seine Bekämpfung erfordert Lösungen zur Abwehr, die genauso ausgereift und flexibel sein müssen wie die Taktiken betrügerischer Akteurinnen und Akteure.

Zahlungsbetrug gibt es in vielen verschiedenen Varianten, vom Diebstahl von Kreditkartennummern über ein ungeschütztes Kartenlesegerät bis hin zu bösartigen Fake-E-Mails. Beispielsweise hat eine Untersuchung von Tessian aus dem Jahr 2021 gezeigt, dass Mitarbeiter/innen in den USA durchschnittlich 14 E-Mails pro Jahr erhalten, in denen sie aufgefordert werden, finanziell betrügerische Aktionen auszuführen. In einigen Branchen ist diese Zahl deutlich höher, wobei Mitarbeiter/innen im Einzelhandel jährlich im Durchschnitt 49 betrügerische E-Mails erhalten.

Phishing ist eine der häufigsten Arten von Zahlungsbetrug und machte 2020 44 % aller Datenschutzverletzungen aus. Skimming, bei dem betrügerische Akteurinnen oder Akteure Karteninformationen an Geldautomaten erfassen, kosten Unternehmen geschätzte 1 Milliarde US-Dollar pro Jahr. Identitätsdiebstahl, bei dem persönliche Daten gestohlen und verwendet werden, um betrügerische Käufe zu tätigen, machten 2021 laut der FTC 24 % von nahezu 6 Millionen Betrugsmeldungen aus. Und das sind nur einige Arten von Zahlungsbetrug, die Unternehmen bekämpfen müssen.

Zahlungsbetrug ist eine große Bedrohung, doch Unternehmen können sie durch effektive Verteidigungsmechanismen mindern. Hier lesen Sie, was Sie über häufige Arten von Zahlungsbetrug wissen müssen, wie sie funktionieren und was Sie tun können, um sich, Ihr Unternehmen und Ihre Kundschaft zu schützen.

Worum geht es in diesem Artikel?

  • Was ist Zahlungsbetrug?
  • Arten von Zahlungsbetrug
  • Vorteile von Betrugsvorbeugung

Was ist Zahlungsbetrug?

Zahlungsbetrug ist eine Art von finanziellem Betrug, der die Nutzung gefälschter oder gestohlener Zahlungsinformationen zur Erlangung von Geld oder Waren umfasst. Zahlungsbetrug kann auf verschiedene Weise vonstattengehen, häufig jedoch in der Form, dass betrügerische Akteurinnen und Akteure Kreditkarten- oder Bankkontoinformationen stehlen, Schecks fälschen oder gestohlene Identitätsangaben verwenden, um nicht autorisierte Transaktionen vorzunehmen.

Arten von Zahlungsbetrug

Betrügerische Akteurinnen und Akteure wenden verschiedene Methoden an, um Zahlungsbetrug zu begehen. Im Folgenden sind die gängigsten Taktiken aufgeführt:

Phishing

Funktionsweise:
Phishing ist eine Art Social-Engineering-Angriff – eine Taktik, bei der Personen durch psychologische Manipulation getäuscht werden –, bei dem betrügerische Akteurinnen oder Akteure betrügerische E-Mails, Textnachrichten oder Websites nutzen, um Einzelpersonen dazu zu bringen, sensible Informationen wie Anmeldedaten und Kreditkartendaten offenzulegen.

Phishing-Angriffe erfolgen in der Regel durch E-Mails, die scheinbar von einem vertrauenswürdigen Absender stammen, etwa einer Bank oder einem namhaften Online-Händler. In der E-Mail wird die Empfängerin oder der Empfänger beispielsweise aufgefordert, ihre bzw. seine Kontoinformationen zu aktualisieren, eine kürzliche Transaktion zu prüfen oder einen Preis abzuholen. Wenn die Empfängerin bzw. der Empfänger auf den Link klickt, wird sie oder er auf eine gefälschte Website weitergeleitet und aufgefordert, Anmeldedaten, Kreditkarteninformationen oder andere sensible Daten einzugeben.

Phishing-Angriffe können auch über Textnachrichten erfolgen, bekannt als „Smishing“, oder über Social-Media-Plattformen, bekannt als „Pharming“. In diesen Fällen sendet die Angreiferin oder der Angreifer eine Nachricht oder einen Link zu einer scheinbar legitimen, tatsächlich jedoch betrügerischen Website, um persönliche Daten zu stehlen oder das Gerät mit Malware zu infizieren.

Vermeidungsstrategien:
Zum Schutz vor Phishing-Angriffen müssen Sie vorsichtig sein, wenn es darum geht, auf Links zu klicken oder Anhänge von unbekannten oder verdächtigen Absendern zu öffnen. Achten Sie auf Taktiken, die häufig von betrügerischen Akteurinnen und Akteuren genutzt werden, etwa dringliche oder bedrohende Sprache, falsch geschriebene Wörter oder verdächtige Links. Auch die Nutzung von Virenschutzsoftware kann zum Schutz vor Phishing-Angriffen beitragen.

Wie bei anderen Arten von Zahlungsbetrug entwickeln sich Phishing-Scams oft weiter, werden ausgefeilter und sehen legitimer aus. Einzelpersonen und Unternehmen sollten sich und ihre Mitarbeiter/innen über Phishing sowie über Strategien zur Erkennung und Vermeidung dieser Angriffsarten informieren.

Skimming

Funktionsweise:
Skimming tritt auf, wenn eine betrügerische Akteurin oder ein betrügerischer Akteur ein Gerät namens Skimmer einsetzt, um Kredit- oder Debitkarteninformationen zu stehlen. Die betrügerische Akteurin bzw. der betrügerische Akteur bringt einen Skimmer an einem Kartenlesegerät eines Geldautomaten oder eines Point-of-Sale-Terminals an, etwa an Tankstellen, Selbstbedienungskassen und anderen Zahlungsterminals. Der Skimmer erfasst die Daten auf dem Magnetstreifen der Karte, anhand derer gefälschte Karten erstellt oder betrügerische Käufe getätigt werden können.

Betrügerische Akteurinnen und Akteure verwenden neben Skimmern oft auch kleine Kameras oder Auflagen, die an der Tastatur des Geldautomaten oder des Zahlungsterminals angebracht werden, um die PIN der Kundinnen und Kunden zu erfassen. Diese Informationen werden dann zusammen mit den gestohlenen Kartendaten verwendet, um nicht autorisierte Abhebungen oder Käufe zu tätigen.

Vermeidungsstrategien:
Da die Skimming-Geräte meist klein und unauffällig sind, lässt sich Skimming nur schwer erkennen, es ist aber nicht unmöglich. Es gibt Anzeichen, die auf das Vorhandensein eines Skimming-Geräts hinweisen können, etwa lose oder beschädigte Kartenlesegeräte, ungewöhnliche oder zusätzliche Geräte, die am Zahlungsterminal angebracht sind, oder Geräte, die anders als andere Zahlungsterminals in der Umgebung aussehen.

Zum Schutz vor Skimming sollten Sie bei der Nutzung von Zahlungsterminals und Geldautomaten vorsichtig sein und das Gerät auf Anzeichen von Manipulation untersuchen. Auch das Abdecken der Tastatur mit der Hand kann helfen, zu verhindern, dass Ihre PIN bei der Eingabe von einer möglicherweise installierten Kamera erfasst wird.

Prüfen Sie Bank- und Kreditkartenabrechnungen regelmäßig auf verdächtige Transaktionen und melden Sie vermutete Skimming-Fälle schnellstmöglich der Bank oder dem Aussteller der Zahlungskarte.

Das Bezahlen mit Digital Wallets oder Karten mit EMV-Chip kann ebenfalls vor Skimming schützen, da diese Technologie sicherer ist als Karten mit Magnetstreifen. Indem Sie sicherstellen, dass Ihr Unternehmen diese sicheren Zahlungsmethoden akzeptieren kann, sind Sie gut gegen Skimming geschützt.

Identitätsdiebstahl

Funktionsweise:
Identitätsdiebstahl ist eine Art Zahlungsbetrug, bei dem eine betrügerische Akteurin oder ein betrügerischer Akteur die persönlichen Daten einer Person – etwa Name, Sozialversicherungsnummer oder Kreditkartennummer – stiehlt und sie verwendet, um im Namen des Opfers nicht autorisierte Käufe zu tätigen oder Konten zu eröffnen. Identitätsdiebstahl kann ernsthafte finanzielle und rechtliche Konsequenzen für das Opfer haben und ein hohes Maß an Stress und Angst verursachen.

Identitätsdiebstahl ist ein Oberbegriff, der verschiedene Betrugstaktiken beschreibt. Beispielsweise sind Phishing-Angriffe eine Art des Identitätsdiebstahls. Datenschutzverletzungen, bei denen ein Hacker Zugriff auf die Datenbank eines Unternehmens erlangt und in größerem Umfang persönliche Daten stiehlt, zählen ebenfalls zum Identitätsdiebstahl. Andere Methoden des Identitätsdiebstahls sind Postdiebstahl, Durchsuchen von Abfall oder das Stehlen von Brieftaschen oder Portemonnaies. Sobald betrügerische Akteurinnen oder Akteure die persönlichen Daten einer Person erlangt haben, können sie sie nutzen, um neue Kreditkartenkonten zu eröffnen, Kredite zu beantragen oder sogar falsche Steuererklärungen abzugeben.

Vermeidungsstrategien:
Zur Verhinderung von Identitätsdiebstahl können Unternehmen verschiedene Maßnahmen ergreifen. Zunächst muss sichergestellt werden, dass Kundendaten unter Verwendung von Verschlüsselung und anderen Sicherheitsmaßnahmen sicher gespeichert sind, um nicht autorisierten Zugriff zu verhindern. Unternehmen sollten den Zugriff auf Kundendaten auf die Mitarbeiterinnen und Mitarbeiter beschränken, die diesen für ihre Arbeit benötigen, sowie starke Passwörter und Multifaktorauthentifizierung für alle Konten und Systeme vorschreiben, die Kundendaten enthalten.

Mitarbeiterschulungen sind wichtig, um Identitätsdiebstahl vorzubeugen, und sie sollten sicherheitsbezogene Best Practices umfassen, etwa wie sich Phishing-E-Mails erkennen und starke Passwörter erstellen lassen.

Die Überwachung von Kundenkonten auf verdächtige Aktivitäten, beispielsweise nicht autorisierte Anmeldungen oder Änderungen an Kontoinformationen, können Unternehmen dabei helfen, Identitätsdiebstahl frühzeitig zu erkennen und Schäden einzudämmen. Die Wahl der richtigen Zahlungstechnologie kann dafür sorgen, dass für Betrugserkennung und -prävention keine wertvolle Zeit und Ressourcen geopfert werden müssen. Stripe Radar ist eine ausgeklügelte Technologie für die Betrugserkennung und -prävention, die in alle Stripe-Zahlungsprodukte, einschließlich Terminal, integriert ist.

Und nicht zuletzt sollten Unternehmen einen Plan zur Reaktion auf Datenschutzverletzungen haben, unter anderem um die betroffenen Kundinnen und Kunden zu benachrichtigen und ihnen Dienstleistungen zum Schutz vor Identitätsdiebstahl anzubieten.

Rückbuchungsbetrug

Was ist das?
Rückbuchungsbetrug, auch als „Friendly Fraud“ bezeichnet, tritt auf, wenn Kundinnen oder Kunden eine legitime Transaktion anfechten und angeben, sie hätten den Kauf nicht selbst getätigt oder sie hätten das bezahlte Produkt oder die bezahlte Dienstleistung nicht erhalten. In einigen Fällen erhält die Kundin oder der Kunde eine Rückerstattung und behält das Produkt oder die Dienstleistung, was zu einem finanziellen Verlust für das Unternehmen führt. Rückbuchungsbetrug kann erhebliche finanzielle Konsequenzen für Unternehmen haben: Sie können den Umsatz aus dem Verkauf verlieren und müssen unter Umständen Rückbuchungsgebühren und Strafen zahlen.

Es gibt unterschiedliche Möglichkeiten, wie Rückbuchungsbetrug auftreten kann. Bei der häufigsten Methode tätigt eine Kundin oder ein Kunde einen legitimen Kauf und ficht die Zahlung später bei ihrem bzw. seinem Kreditkartenunternehmen mit der Begründung an, der Artikel habe nicht der Beschreibung entsprochen oder sei nicht angekommen. Bei einer anderen Methode verwendet eine Kundin oder ein Kunde absichtlich eine gestohlene Kreditkarte, um einen Kauf zu tätigen, und ficht die Belastung anschließend als nicht autorisiert an.

Vermeidungsstrategien:
Zum Schutz vor Rückbuchungsbetrug sollten Unternehmen die Identität der Kundinnen und Kunden überprüfen und sicherstellen, dass es sich um die rechtmäßige Besitzerin bzw. den rechtmäßigen Besitzer der für den Kauf verwendeten Kreditkarte handelt. Dazu ist möglicherweise eine Unterschrift oder ein CVV-Code für Card-Not-Present-Transaktionen oder die Implementierung von Betrugserkennungstools wie Adressbestätigung oder IP-Geolokalisierung erforderlich. Unternehmen sollten stets über eine eindeutige Rückgabe- und Rückerstattungsrichtlinie sowie einen Prozess für den Umgang mit Rückbuchungsstreitfällen verfügen. Unternehmen sollten alle Transaktionen klar dokumentieren, einschließlich Zahlungsbelegen, Versandinformationen und Gesprächsverlauf mit dem Kunden, falls sie Beweise für einen Rückbuchungsstreifall benötigen.

Kompromittierung der geschäftlichen E-Mail-Adresse

Funktionsweise:
Angriffe auf die geschäftliche E-Mail-Adresse (Business Email Compromise, BEC) sind eine Art des Zahlungsbetrugs, bei dem Mitarbeiterinnen und Mitarbeiter per E-Mail dazu gebracht werden, Geld auf betrügerische Konten zu überweisen. Bei einem BEC-Scam erlangen betrügerische Akteurinnen und Akteure über Phishing oder Social-Engineering-Taktiken Zugriff auf ein geschäftliches E-Mail-Konto und nutzen es, um E-Mails an Mitarbeiterinnen und Mitarbeiter oder Anbieter zu senden und Überweisungen oder anderweitige Zahlungen zu fordern.

BEC-Scams können in vielen verschiedenen Formen auftreten. Häufig sind betrügerische Akteurinnen oder Akteure involviert, die sich als CEO oder Anbieter ausgeben und eine dringende Zahlung oder Überweisung fordern. Die E-Mail enthält möglicherweise das Branding des Unternehmens und eine bekannte E-Mail-Adresse und sieht daher legitim aus. Doch wenn die Mitarbeiterin oder der Mitarbeiter die Anweisungen in der E-Mail befolgt, wird das Geld auf ein Bankkonto überwiesen, über das die betrügerische Akteurin bzw. der betrügerische Akteur verfügt.

BEC-Scams lassen sich oft nur schwer erkennen, da häufig Social-Engineering-Taktiken angewendet werden, die das Vertrauen in eine höhergestellte Person ausnutzen. Es gibt jedoch einige Anzeichen, die auf einen BEC-Scam hinweisen:

  • Dringende Zahlungsanfragen
  • Ungewöhnliche Zahlungsanweisungen
  • E-Mails mit ungewöhnlichen Grammatik- oder Rechtschreibfehlern

Vermeidungsstrategien:
Der Schutz vor BEC umfasst viele der Taktiken und Best Practices, die Unternehmen bereits nutzen sollten, um sich vor anderen Betrugsarten zu schützen. Klären Sie Mitarbeiterinnen und Mitarbeiter darüber auf, wie sie verdächtige E-Mails erkennen und melden, und implementieren Sie starke E-Mail-Sicherheitsprotokolle, etwa Zwei-Faktor-Authentifizierung und Verschlüsselung.

Unternehmen sollten außerdem einen klaren Zahlungsgenehmigungsprozess haben, der die Verifizierung von Zahlungsanweisungen über einen zweiten Kanal umfasst, etwa einen Telefonanruf oder ein persönliches Gespräch. Es empfiehlt sich, ein klares Konzept für interne Anfragen zu haben, insbesondere wenn Geld im Spiel ist.

Und wie bei allen Betrugsarten ist es wichtig, Bankkonten regelmäßig auf verdächtige Aktivitäten zu überwachen und einen Plan zur Reaktion auf BEC-Scams zu besitzen, darunter die Kontaktierung der Strafverfolgungsbehörden und die Benachrichtigung der betroffenen Kundinnen/Kunden oder Partner.

Card-Not-Present-Betrug

Funktionsweise:
Card-Not-Present(CNP)-Betrug ist eine Art des Zahlungsbetrugs, bei dem eine betrügerische Akteurin oder ein betrügerischer Akteur gestohlene Kreditkarteninformationen verwendet, um Käufe zu tätigen, ohne die Karte physisch vorzulegen, in der Regel online oder per Telefon. CNP-Betrug hat durch den Aufschwung des E‑Commerce zugenommen und kann erhebliche finanzielle Konsequenzen für Unternehmen haben, die möglicherweise für Rückbuchungen oder betrügerische Käufe haften müssen.

CNP-Betrug tritt in der Regel auf, wenn eine betrügerische Akteurin oder ein betrügerischer Akteur durch Datenschutzverletzungen oder auf andere Weise gestohlene Kreditkarteninformationen erlangt und diese verwendet, um online nicht autorisierte Käufe zu tätigen. Bei einer anderen Methode nutzt eine betrügerische Akteurin oder ein betrügerischer Akteur Social-Engineering-Taktiken wie Phishing, um die Karteninformationen direkt vom Opfer zu erhalten.

Vermeidungsstrategien:
Zum Schutz vor CNP-Betrug können Unternehmen verschiedene Maßnahmen ergreifen:

  • Verwendung von Betrugserkennungstools wie Adressbestätigung oder IP-Geolokalisierung, um die Identität der Kunden zu überprüfen und verdächtige Aktivitäten zu erkennen
  • Implementierung starker Authentifizierungsprotokolle, einschließlich Zwei-Faktor-Authentifizierung und Tokenisierung, um Karteninformationen zu schützen
  • Pflege übersichtlicher, zugänglicher Aufzeichnungen aller Transaktionen, darunter Versandinformationen und Gesprächsverlauf mit Kunden, als Beweis für etwaige Rückbuchungsstreitfälle
  • Erstellung einer ausführlichen Rückgabe- und Rückerstattungsrichtlinie, die der Kundschaft klar mitgeteilt wird, sowie eines Prozesses für den Umgang mit Rückbuchungen und betrügerischen Transaktionen

Vorteile von Betrugsvorbeugung

Maßnahmen zur Betrugsvorbeugung können Unternehmen Sicherheit geben, ihr Finanzvermögen und ihre Kundendaten schützen, ihren Ruf bei der Kundschaft verbessern und die Compliance im Hinblick auf Bestimmungen erhöhen. Doch das sind noch längst nicht alle Vorteile. Nachstehend finden Sie einen Überblick über die wichtigsten Vorteile, die Unternehmen durch die Implementierung von Betrugsvorbeugungsmaßnahmen genießen können:

  • Schutz des Finanzvermögens
    Betrugsvorbeugung hilft dabei, das Finanzvermögen eines Unternehmens zu schützen. Zahlungsbetrug kann schon bei isolierten Fällen teuer werden, doch bei größeren Unternehmen kann das Risiko von Betrug in großem Umfang eine noch größere Bedrohung darstellen. Durch die Implementierung von Betrugsvorbeugungsmaßnahmen können Unternehmen das Risiko eines finanziellen Verlusts senken und zuverlässiger für die Zukunft vorsorgen.

  • Schutz von Kundendaten
    Unternehmen schützen nicht nur sich selbst, wenn sie in starke Maßnahmen der Betrugserkennung und -prävention investieren – sie schützen auch ihre Kundinnen und Kunden. Zahlungsbetrug umfasst häufig den Diebstahl von Kundendaten, etwa Kreditkartennummern und persönliche Daten. Durch die Implementierung von Maßnahmen zur Betrugsvorbeugung können Unternehmen die Daten ihrer Kundschaft schützen und Vertrauen und Loyalität seitens der Kundinnen und Kunden aufbauen.

  • Minderung von Rückbuchungen
    Rückbuchungen können für Unternehmen nicht nur Umsatz- und Warenverluste bedeuten, sondern auch zusätzliche Gebühren und Strafen nach sich ziehen, abgesehen von der Zeit und der Energie, die sie zur Klärung des Falls aufwenden müssen. Maßnahmen zur Betrugsvorbeugung können Rückbuchungen verhindern, indem betrügerische Transaktionen erkannt und verhindert sowie Rückbuchungstrends und Schwachstellen ermittelt werden.

  • Pflege von Ruf und Kundenloyalität
    Wenn Unternehmen jeden möglichen Schritt tun, um Betrug zu minimieren, erhöht dies das Vertrauen der Kundschaft in das Unternehmen. Selbst isolierte Fälle von Zahlungsbetrug können den Ruf eines Unternehmens schädigen, und zwar manchmal auf irreparable Weise. Durch die Implementierung von Betrugsvorbeugungsmaßnahmen zeigen Unternehmen ihren Einsatz für Sicherheit. Das trifft insbesondere auf Plattformen und Marktplätze zu, da für die Kundschaft deren eigene Kundinnen und Kunden sowie deren und der eigene Ruf auf dem Spiel stehen.

  • Compliance mit Bestimmungen
    Viele Branchen unterliegen aufsichtsrechtlichen Bestimmungen für Datensicherheit und Datenschutz. Durch die Implementierung von Betrugsvorbeugungsmaßnahmen können Unternehmen diese Bestimmungen erfüllen und Geldbußen vermeiden.

Glücklicherweise sind die meisten modernen Hardware- und Softwareprodukte standardmäßig mit starken Betrugsvorbeugungsfunktionen für die Annahme und Verarbeitung von Zahlungen, die Nachverfolgung von Kundenaufträgen und die Verwaltung der Finanzdaten eines Unternehmens ausgestattet – darunter die von Stripe angebotenen Produkte. In der Regel ist es günstiger, diese Maßnahmen zu implementieren, als die potenziellen Kosten von Zahlungsbetrug zu zahlen.

Weitere Informationen dazu, wie Stripe Radar Stripe-Produkte schützt, indem Daten von Millionen weltweiter Unternehmen genutzt werden, um Betrug intelligent auf jedem Kanal zu bekämpfen, finden Sie hier.

Startklar?

Erstellen Sie direkt ein Konto und beginnen Sie mit dem Akzeptieren von Zahlungen. Unser Sales-Team berät Sie gerne und gestaltet für Sie ein individuelles Angebot, das ganz auf Ihr Unternehmen abgestimmt ist.