ACH fraud 101: How these scams work and how to prevent them

Payments
Payments

Ontvang over de hele wereld online en fysieke betalingen met een betaaloplossing die past bij elke onderneming, van veelbelovende start-ups tot multinationals.

Meer informatie 
  1. Inleiding
  2. Soorten ACH-fraude
    1. Soorten frauduleuze ACH-transacties
    2. Accountovername
    3. Veelvoorkomende ACH-fraude tactieken
    4. Phishing-zwendel
    5. Zakelijke e-mailcompromittering (BEC)
  3. Hoe ACH-betalingen opsporen
    1. Informatie verzamelen
    2. Contact opnemen met bank
    3. Uitvoering starten
    4. Resultaten bekijken
  4. Aansprakelijkheid bij ACH-fraude
    1. Ongeautoriseerde afschrijvingen
    2. Zakelijke e-mailcompromittering (BEC)
    3. Rekeningovername
    4. Gegevensdiefstal
    5. Phishing zwendel
    6. Bedreigingen van binnenuit
    7. ACH-kiting
    8. Valse betalingen
  5. ACH-fraudedetectie
    1. Transactiebewaking
    2. Controleprocedures
    3. Ken-je klant-(KYC)-procedures
    4. Informatie delen
    5. Fraudebestrijdingsplan
  6. ACH-fraudepreventie

ACH-betalingen (Automated Clearing House) zijn elektronische betalingen waarbij geld wordt overgemaakt tussen rekeningen via het ACH-netwerk in de Verenigde Staten. Dit systeem wordt beheerd door Nacha en maakt verschillende soorten betalingen mogelijk waaronder directe stortingen van werkgevers, betalingen aan contractanten, automatische factuur betalingen en peer-to-peer overschrijvingen.

Net als andere vormen van elektronische betalingen zijn ACH-overschrijvingen kwetsbaar voor fraude. Dertig procent van organisatie gaf aan in 2022 met dit soort frauduleuze activiteiten te maken te hebben, tegenover 24% in 2021. In deze gids wordt uitgelegd wat je moet weten over ACH-fraude, waaronder veelvoorkomende fraudemethoden, aansprakelijkheid in geval van ACH-fraude en hoe je ACH-fraude kunt voorkomen en opsporen.

Wat staat er in dit artikel?

  • Soorten ACH-fraude
  • Hoe ACH-betalingen traceren
  • Aansprakelijkheid bij ACH- fraude
  • ACH-fraude opsporing
  • ACH-fraudepreventie

Soorten ACH-fraude

ACH-fraude omvat verschillende tactieken die misbruik maken van het proces van elektronische geldoverschrijvingen binnen het ACH-netwerk. Hieronder volgen de verschillende soorten ACH-fraude en veelgebruikte methoden om ACH-fraude te plegen.

Soorten frauduleuze ACH-transacties

De meeste vormen van ACH-fraude vinden plaats wanneer fraudeurs ACH-overschrijvingen gebruiken om geld over te overschrijven naar rekeningen die ze beheren of waartoe ze toegang hebben. Dit doen ze door ongeoorloofde toegang te krijgen tot de bankgegevens van het slachtoffer of door bestaande betalingssystemen te manipuleren om ongeoorloofd geld naar hun eigen rekeningen te sturen. Fraudeurs kunnen ook langetermijntactieken toepassen om ontdekking te voorkomen,waarbij zij zich langzaam in financiële workflows of systemen integreren.

Ongeautoriseerde afschrijvingen

Fraudeurs kunnen ongeautoriseerde afschrijvingen uitvoeren wanneer ze het bankrekeningnummer en bankroutingnummer van een slachtoffer verkrijgen, waarmee ze geld van die rekening kunnen opnemen. Ze kunnen deze gegevens verkrijgen via phishingaanvallen, datalekken of door fysieke documenten zoals cheques te onderscheppen.

  • Uitvoering: Zodra ze de accountgegevens hebben, kunnen fraudeurs ACH-afschrijvingen initiëren door zich voor te doen als de rekeninghouder of andere legitieme entiteiten die bevoegd zijn om geld op te nemen. Deze transacties kunnen klein zijn om detectie te voorkomen.

  • Detectie en preventie: Klanten en banken kunnen tools zoals ACH-filters en blokkeringen gebruiken waarmee rekeninghouders kunnen aangeven welke personen en entiteiten bevoegd zijn om afschrijvingen te doen. Klanten moeten rekeningen regelmatig controleren op ongeautoriseerde transacties.

Accountovername

Account overname vindt plaats wanneer fraudeurs ongeoorloofde toegang krijgen tot de digitale platforms van een bankrekening. Cybercriminelen kunnen malware, phishing of keylogging gebruiken om inloggegevens te stelen.

  • Uitvoering: Met behulp van inloggegevens kan de fraudeur inloggen op een bankrekening en ACH-overschrijvingen starten naar andere rekening die hij beheert.

  • Detectie en preventie: Minimaliseer het risico op bankrekening overnames door multifactorauthenticatie (MFA) te implementeren voor toegang tot bankplatforms en geavanceerde beveiligingsmaatregelen zoals gedragsbiometrie, evenals het trainen van werknemers in cyberbeveiligingspraktijken.

ACH-kiting

ACH-kiting is wanneer fraudeurs misbruik maken van de vertraging tussen het initiëren van het ACH-overschrijven en het moment waarop het geld wordt afgeschreven of bijgeschreven, waardoor in feite een vals saldo ontstaat.

  • Uitvoering: Frauduleuze actoren maken geld over tussen rekeningen die zij bij verschillende banken beheren om het saldo kunstmatig op te blazen voordat de transacties worden goedgekeurd, waardoor ze geld kunnen opnemen of uitgeven dat niet bestaat.

  • Detectie en preventie: Banken kunnen tools gebruiken om patronen te analyseren die op kiting kunnen wijzen, zoals frequente overschrijvingen tussen banken van ronde bedragen. Ze kunnen ook verbeterde verificatie implementeren voor het vrijgeven van fondsen.

Valse betalingen

Bij deze methode worden frauduleuze facturen naar bedrijven gestuurd of bestaande betalingen worden gemanipuleerd om betalingen om te leiden naar rekeningen die door fraudeurs worden beheerd.

  • Uitvoering: Door zich voor te doen als legitieme leveranciers of volledig fictieve bestellingen te maken, overtuigen fraudeurs bedrijven om ACH-betalingen naar de verkeerde rekeningen te doen.

  • Detectie en preventie: Bedrijven moeten wijzigingen in betalingsgegevens verifiëren bij bekende contacten via een veilig en gescheiden communicatiekanaal. Regelmatige training voor werknemers over het controleren van facturen en betalingsverzoeken kan dergelijke fraude voorkomen.

Veelvoorkomende ACH-fraude tactieken

Fraudeurs kunnen de volgende methoden gebruiken om toegang te krijgen tot de gegevens die nodig zijn om fraude te plegen of geautoriseerde partijen te overtuigen om afschrijvingen van hun rekeningen te initiëren. Fraudeurs kunnen ook misbruik maken van zwakke punten in verschillende systemen (bankieren, e-mail, gegevensopslag) om een meervoudige aanval op te zetten, waardoor het voor bedrijven en banken moeilijker wordt om trajecten en fraude te voorkomen.

Gegevensdiefstal

Een fraudeur onderschept of steelt klantinformatie die hij kan gebruiken om frauduleuze transacties te starten. Denk hierbij aan het hacken van de databases van een bedrijf, fysieke diefstal zoals het stelen van documenten, of social engineering-technieken om gevoelige gegevens te verzamelen.

  • Uitvoering: Zodra fraudeurs voldoende gegevens hebben, kunnen ze deze gebruiken om frauduleuze ACH-transacties te beginnen of de gegevens op de zwarte markt te verkopen.

  • Detectie en preventie: Bedrijven kunnen zich beschermen tegen gegevensdiefstal door gevoelige gegevens te versleutelen, strikte IT-beveiligingspraktijken te handhaven en regelmatig beveiligingsaudits uit te voeren. Bedrijven moeten ervoor zorgen dat fysieke documenten veilig worden opgeslagen en verwijderd.

Phishing-zwendel

Van phishing is sprake wanneer fraudeurs het doelwit misleiden om gevoelige informatie vrij te geven, zoals inloggegevens en rekeningnummers, meestal via valse e-mails of websites die legitieme entiteiten nabootsen.

  • Uitvoering: Zodra de informatie is verkregen, kunnen fraudeurs deze gebruiken voor ongeoorloofde toegang en transacties, waaronder ACH-afschrijvingen.

  • Detectie en preventie: Door gebruikers te leren phishingpogingen te herkennen en de echtheid van verzoeken om gevoelige informatie te controleren, kan je het risico verkleinen. Bedrijven moeten ook overwegen e-mail filters en beveiligingsprotocollen te implementeren om phishing-e-mails te detecteren en blokkeren.

Zakelijke e-mailcompromittering (BEC)

Bij deze geraffineerde zwendel gebruiken fraudeurs phishingtactieken om zich voor te doen als directieleden of leveranciers van bedrijven.

  • Uitvoering: Fraudeurs kunnen e-mails vervalsen of onderscheppen die financieel personeel opdracht geven bankgegevens voor ACH-betalingen te wijzigen, deze betalingen om te leiden naar rekeningen die door fraudeurs worden beheerd, of hen opdracht geven overschrijvingen naar frauduleuze accounts te initiëren.

  • Detectie en preventie: Verificatieprocedures zoals secundaire afmeldingen door een andere medewerker kunnen dit soort fraude helpen voorkomen. Werknemers moeten phishing kunnen herkennen en sceptisch kunnen zijn over wijzigingen in betalingsdetails die alleen via e-mail worden gecommuniceerd.

Bedreigingen van binnenuit

Soms kunnen personen binnen een organisatie, zoals werknemers of aannemers, hun privileges misbruiken voor persoonlijk gewin.

  • Uitvoering: Insiders kunnen ongeautoriseerde transacties beginnen of rekeninggegevens wijzigen om geld af te leiden.

  • Detectie en preventie: Regelmatige audits, scheiding van taken en monitoring van ongebruikelijke activiteiten kunnen dit risico helpen beperken. Het is ook belangrijk om een cultuur van veiligheid en ethisch gedrag op te zetten.

Hoe ACH-betalingen opsporen

Het opzoeken van ACH-betalingen kan helpen bij het oplossen van problemen zoals het niet ontvangen van geld, fouten, of vermoedelijke fraude. Hoe eerder je een verificatie start, hoe gemakkelijker het is de details nauwkeurig te controleren.

Informatie verzamelen

Om een ACH-betaling te controleren, begin je met het verzamelen van alle relevante informatie over de ACH-transactie, waaronder transactiebedrag, datum, transactie ID of referentienummer, en de herkomst en ontvangst van rekeningnummers en banknamen.

Contact opnemen met bank

Neem contact op met de bank waar de transactie is uitgevoerd (als jij de afzender bent) of de bank waar het geld naartoe is gestuurd (als jij de ontvanger bent). Voor dringende problemen kan telefoneren effectiever zijn dan e-mailen. Verstrek alle transactiegegevens aan de bank.

Uitvoering starten

Je bank zal je waarschijnlijk vragen om een formulier in te vullen om een formele controle aan te aanvraag. Ze sturen dit formulier via het ACH-netwerk naar de andere bank die bij de transactie betrokken is, en waar eventuele tegenstrijdigheden of fouten zijn opgetreden. Sommige banken brengen kosten in rekening voor deze controlediensten.

ACH-controles kunnen enkele werkdagen duren. Volg regelmatig de voortgang op van de controle.

Resultaten bekijken

Zodra de controle is voltooid, zullen de betrokken banken een rapport verstrekken met een gedetailleerd traject van de transactie en eventuele problemen die zich hebben voorgedaan. Als er een fout is gemaakt, kunnen banken de fout corrigeren door de transactie opnieuw te verwerken of de nodige aanpassingen door te voeren in rekeningsaldo's. Documenteer alle communicatie en de resultaten van de controle. Deze documentatie kan helpen bij het oplossen van geschillen en dienen als bewijs als juridische stappen nodig zijn.

Aansprakelijkheid bij ACH-fraude

De kwestie van aansprakelijkheid bij ACH-fraude zal afhangen van de specifieke kenmerken van elk geval, hoewel wetten over het algemeen gunstig zijn voor consumenten en strengere eisen hebben voor bedrijven en banken. Wetten zoals de Wet Op Elektronische Overschrijving (EFTA) in de VS beperken de aansprakelijkheid van consumenten voor ongeautoriseerde elektronische transacties aanzienlijk, zolang rekeninghouders binnen de gestelde termijnen handelen. Bedrijven kunnen verplicht worden om de kosten van fraude te dragen als ze niet kunnen aantonen dat ze voldoende controles hadden, en banken kunnen aansprakelijk zijn als hun beveiligingsprocedures ontoereikend worden geacht of als ze overeengekomen protocollen niet volgen.

In veel gevallen kan de aansprakelijkheid bij ACH-fraude worden geregeld door middel van onderhandelingen tussen de betrokken partijen en kan juridische tussenkomst nodig zijn om de fout vast te stellen. Door het nemen van krachtige preventieve maatregelen en het handhaven van duidelijke, gedocumenteerde procedures voor het afhandelen van elektronische transacties kunnen organisaties helpen risico's te beperken en aansprakelijkheid in geval van fraude te verduidelijken.

Dit is hoe aansprakelijkheid doorgaans wordt toegewezen in veelvoorkomende scenario's zoals ongeautoriseerde afschrijvingen, BEC of rekeningovername.

Ongeautoriseerde afschrijvingen

Regelgeving zoals de VS EFTA vereist dat de bank van de klant de klant onbevoegde afschrijvingen vergoedt, op voorwaarde dat de klant de ongeautoriseerde transactie meldt binnen 60 dagen na het afschrift waarop de afschrijving staat vermeld.

Zakelijke e-mailcompromittering (BEC)

In het geval van BEC, ligt de aansprakelijkheid vaak bij het bedrijf waarvan de werknemer frauduleuze overschrijvingen heeft goedgekeurd, vooral als de werknemer nalatig was en de interne beveiligingsprocedures niet heeft gevolgd.

Rekeningovername

Klanten zijn doorgaans niet aansprakelijk voor frauduleuze transacties als gevolg van een rekeningovername als ze de bank tijdig op de hoogte stellen. Banken kunnen de aansprakelijkheid dragen als ze geen redelijke beveiligingsmaatregelen hebben ingevoerd.

Gegevensdiefstal

Wanneer de gegevens van een bedrijf worden geschonden, kan het bedrijf aansprakelijk worden gesteld als het nalatig was met de manier waarop het zijn gegevens heeft beveiligd. Nalatigheid kan bestaan uit het niet voldoen aan beveiligingsnormen in de sector of het niet nemen van adequate preventieve maatregelen.

Phishing zwendel

Als een klant het slachtoffer wordt van phishing en ongeautoriseerde transacties tijdig meldt, dekt de bank doorgaans de verliezen. Als de klant grof nalatig was (bijvoorbeeld door pincodes of wachtwoorden te delen), kan het zijn dat hij een deel van het verlies moet dragen.

Bedreigingen van binnenuit

De organisatie waar de insider actief is draagt doorgaans de aansprakelijkheid voor deze verliezen, vooral als ontoereikende controles of toezicht de fraude hebben vergemakkelijkt. In sommige gevallen, kunnen banken actie ondernemen tegen de individuele dader.

ACH-kiting

De dader van ACH-kiting kan aansprakelijk worden gesteld voor fraude. Banken kunnen ook aansprakelijk worden gesteld als ze de verdachte activiteit niet hebben gedetecteerd en gestopt vanwege een gebrek aan goede monitoringsystemen.

Valse betalingen

De aansprakelijkheid kan liggen bij de entiteit die de echtheid van de aanvraag of factuur niet heeft geverifieerd, met name als ze geen grondig onderzoek hebben uitgevoerd. Banken zijn over het algemeen niet aansprakelijk als ze de transactie hebben verwerkt volgens de ontvangen instructies.

ACH-fraudedetectie

Het opsporen van ACH-fraude vereist zorgvuldige monitoring, controle en het delen van informatie. Dit is wat je moet weten.

Transactiebewaking

Implementeer gespecialiseerde software die je ACH-transacties voortdurend analyseert aan de hand van vastgestelde basislijnen en historische patronen. Machine-learning en kunstmatige intelligentie kunnen het typische betalingsgedrag van je bedrijf achterhalen en potentieel verdachte transacties signaleren op basis van complexe patronen die mensen misschien over het hoofd zien. Het volgende kunnen tekenen zijn van mogelijke fraude.

  • Ongebruikelijke IP-adressen of apparaten die gekoppeld zijn aan transacties

  • Afwijkingen in transactievolume of bedragen ten opzichte van historische gemiddelden

  • Betalingen aan nieuwe begunstigden, met name die in geografische gebieden met een hoog risico

  • Onregelmatige transactietijden (buiten standard bedrijfsuren)

  • Dringende verzoeken (bijv. e-mails of telefoontjes waarin onmiddellijke actie wordt geëist) om bedrijven onder druk te zetten betalingen te versnellen of geld naar onbekende rekeningen te sturen

  • Inconsistenties in namen, rekeningnummers of andere details binnen een betalingsaanvraag

Controleprocedures

  • Handmatige controle van transacties met een hoog risico: Onderzoek zorgvuldig de transacties die door je monitoringtools worden gemarkeerd. Toegewijd personeel moet controleren op onregelmatigheden in de gegevens van de begunstigde, de betalingsgeschiedenis en eventuele bijbehorende communicatie.

  • Spot audits: Voer willekeurige controles uit op een deel van ACH-transacties. Zelfs als je geen fraude ontdekt, kunnen sommige fraudeurs worden afgeschrikt als ze weten dat een bedrijf transacties op elk moment nauwlettend onder de loep neemt.

  • Analyse van ACH-terugboekingen: Houd ACH-terugboekingen nauwlettend in de gaten. Hoge percentages van terugboekingen kunnen duiden op ongeautoriseerde afschrijvingen of frauduleuze informatie over begunstigden. Analyseer de redenen voor terugboekingen en zoek naar patronen.

Ken-je klant-(KYC)-procedures

  • Verificatie van klanten: Voordat je terugkerende betalingen initieert of nieuwe begunstigden toevoegt, moet je due diligence uitvoeren. Verifieer adressen en legitimiteit van ondernemingen en controleer aan de hand van sanctielijsten en fraude databases.

  • Controle van relaties: Controleer regelmatig op veranderingen in het gedrag van ontvangers, communicatiestijl of bijgewerkte bankrekening informatie die erop kunnen wijzen dat een account is gecompromitteerd.

Informatie delen

  • Samenwerking met banken: Zorg voor een open communicatie met de afdeling fraudepreventie van je bank. Ze kunnen je waarschuwen voor opkomende fraude patronen en samenwerken aan onderzoeken.

  • Branchenetwerken: Sluit je aan bij brancheorganisatie en fraudepreventie netwerken. Door informatie over bedreigingen en best practices te delen, kan iedereen fraudeurs een stap voor blijven.

Fraudebestrijdingsplan

Wacht niet tot een incident om te beslissen wat je gaat doen. Maak proactief een plan met de volgende stappen.

  • Met wie je contact kunt opnemen bij je bank

  • Interne rapportage- en onderzoeksprotocollen

  • Stappen om verdere schade te beperken (bijv. het blokkeren van rekeningen, het wijzigen van inloggegevens)

  • Vereisten voor betrokkenheid van wetshandhavingsinstanties

ACH-fraudepreventie

ACH-fraude vormt een aanzienlijke bedreiging voor bedrijven, waaronder verloren geld en reputatieschade. Hier lees je hoe je je verdediging kunt versterken en ACH-fraude pogingen kunt voorkomen.

  • Multifactorauthenticatie (MFA): Dwing MFA af voor alle aanmeldingen en financiële transacties. Vereist een extra verificatiestap die verder gaat dan alleen een gebruikersnaam en wachtwoord. Dit vermindert het risico op ongeoorloofde toegang zelfs als aanmeldgegevens worden gecompromitteerd.

  • Vooraf geautoriseerde betalingen: Met dit ACH-debetverificatiesysteem kunnen bedrijven legitieme ontvangers en bedragen voor ACH-debiteringen vooraf autoriseren. Eventuele afwijkingen worden gecontroleerd voordat ze worden verwerkt, zodat frauduleuze opnames worden voorkomen.

  • Opleiding van personeel: Leid personeel op in het herkennen van phishing-pogingen, social engineering-tactieken en rode vlaggen die verband houden met ACH-fraude. Leer hen de juiste procedures voor het afhandelen van ACH-transacties en het melden van verdachte activiteiten.

  • Takenscheiding: Implementeer een systeem waarin verschillende medewerkers taken uitvoeren, zoals het initiëren van betalingen, het goedkeuren van transacties en het afstammen van rekeningen. Dit verkleint het risico dat één medewerker het systeem manipuleert voor frauduleuze doeleinden.

  • Realtime monitoring: Gebruik tools voor realtime transactie monitoring om afwijkingen en verdachte activiteiten te identificeren en stop ze voordat ze worden verwerkt.

  • Afstammingsprocedures: Stel grondige afstemmingsprocedures op om verwachte betalingen te vergelijken met werkelijke afschrijvingen en crediteringen. Controleer regelmatig bankafschriften en identificeer eventuele verschillen die kunnen duiden op frauduleuze activiteiten.

  • Gegevens encryptie: Zorg ervoor dat alle gevoelige gegevens, inclusief klantinformatie en financiële gegevens, worden versleuteld tijdens opslag en transport. Dit maakt het voor fraudeurs veel moeilijker om waardevolle informatie te stelen zelfs als ze je systeem proberen te hacken.

  • Toegangscontroles: Implementeer strikte toegangscontroles voor financiële gegevens en ACH-verwerkingssystemen. Verleen alleen toegang op een need-to-know-basis en gebruik een sterk wachtwoordbeleid met regelmatige wachtwoordwijzigingen.

  • Fraudepreventie diensten: Overweeg samen te werken met fraudepreventie specialisten die geavanceerde informatie over bedreigingen en monitoringdiensten bieden. Deze diensten kunnen extra beveiligingslagen en expertise bieden bij het opsporen van geavanceerde fraude pogingen.

  • Neem deel aan het ACH-netwerk: Neem deel aan initiatieven voor risicobeperking van het ACH-netwerk. Deze initiatieven bieden middelen en tools om nieuwe bedreigingen te identificeren en best practices voor het bestrijden van ACH-fraude.

De inhoud van dit artikel is uitsluitend bedoeld voor algemene informatieve en educatieve doeleinden en mag niet worden opgevat als juridisch of fiscaal advies. Stripe verklaart of garandeert niet dat de informatie in dit artikel nauwkeurig, volledig, adequaat of actueel is. Voor aanbevelingen voor jouw specifieke situatie moet je het advies inwinnen van een bekwame, in je rechtsgebied bevoegde advocaat of accountant.

Klaar om aan de slag te gaan?

Maak een account en begin direct met het ontvangen van betalingen. Contracten of bankgegevens zijn niet vereist. Je kunt ook contact met ons opnemen om een pakket op maat voor je onderneming samen te stellen.
Payments

Payments

Ontvang over de hele wereld online en fysieke betalingen met een betaaloplossing die past bij elke onderneming.

Documentatie voor Payments

Vind een whitepaper over de integratie van de betaal-API's van Stripe.