Börja nu  Kontakta säljteamet 

ACH fraud 101: How these scams work and how to prevent them

Payments
Payments

Ta emot betalningar online, i fysisk miljö och globalt med en betalningslösning som är skapad för alla typer av företag – från växande startup-företag till globala storföretag.

Läs mer 
  1. Introduktion
  2. Typer av ACH-bedrägerier
    1. Typer av bedrägliga ACH-transaktioner
    2. Kontokapning
    3. Vanliga metoder för ACH-bedrägerier
  3. Hur man spårar ACH-betalningar
    1. Samla in information
    2. Kontakta banken
    3. Initiera spårning
    4. Granska resultat
  4. Ansvar vid ACH-bedrägeri
    1. Obehöriga debiteringar
    2. Kontokapning
    3. Datastöld
    4. Nätfiskebedrägerier
    5. Interna hot
    6. ACH-kiting
    7. Falska betalningar
  5. Upptäckt av ACH-bedrägerier
    1. Transaktionsövervakning
    2. Granskningsrutiner
    3. Rutiner för kundkännedom (KYC)
    4. Informationsdelning
    5. Plan för hantering av bedrägerier
  6. Bekämpning av ACH-bedrägerier
  7. Kom igång med Stripe 

ACH-betalningar (Automated Clearing House) är elektroniska betalningar som flyttar medel mellan bankkonton med hjälp av ACH-nätverket i USA. Detta system hanteras av Nacha och underlättar en mängd olika typer av betalningar, inklusive direktinsättningar från arbetsgivare, betalningar till uppdragstagare, automatiska betalningar av fakturor och överföringar mellan privatpersoner.

Likt andra typer av elektroniska betalningar är ACH-överföringar sårbara för bedrägerier. 30 procent av organisationerna uppgav att de hade drabbats av denna typ av bedräglig verksamhet under 2022., en ökning från 24 % under 2021. Den här guiden förklarar vad du behöver veta om ACH-bedrägerier, inklusive vanliga bedrägerimetoder, ansvar i händelse av ACH-bedrägerier och hur du förebygger och upptäcker ACH-bedrägerier.

Vad innehåller den här artikeln?

  • Typer av ACH-bedrägerier
  • Hur man spårar ACH-betalningar
  • Ansvar vid ACH-bedrägeri
  • Upptäckt av ACH-bedrägerier
  • Bekämpning av ACH-bedrägerier

Typer av ACH-bedrägerier

ACH-bedrägerier omfattar en mängd olika taktiker som utnyttjar processen för elektroniska överföringar av medel inom ACH-nätverket. Här följer olika typer av ACH-bedrägerier och vanliga metoder som används för att begå ACH-bedrägerier.

Typer av bedrägliga ACH-transaktioner

De flesta typer av ACH-bedrägerier inträffar när bedrägliga aktörer använder ACH-debiteringar för att överföra medel till konton som de kontrollerar eller har tillgång till. De gör detta genom att skaffa sig obehörig tillgång till offrets bankuppgifter eller genom att manipulera befintliga betalningssystem för att skicka obehöriga medel till sina egna konton. Bedrägliga aktörer kan också använda långsiktiga taktiker för att undvika upptäckt och långsamt integrera sig i finansiella arbetsflöden eller system.

Obehöriga debiteringar

Bedrägliga aktörer kan initiera obehöriga debiteringar när de får tag på offrets bankkontonummer och bankens clearingnummer, som de kan använda för att ta ut medel från kontot. De kan få tag på dessa uppgifter genom nätfiskeattacker, dataintrång eller genom att komma över fysiska dokument såsom checkar.

  • Genomförande: När de har fått tag på kontouppgifterna kan bedragarna initiera ACH-debiteringar genom att utge sig för att vara kontoinnehavaren eller andra legitima enheter som har behörighet att ta ut pengar. Dessa transaktioner kan vara små för att undvika upptäckt.

  • Upptäckt och förebyggande: Kunder och banker kan använda verktyg som ACH-filter och blockeringar som gör det möjligt för kontoinnehavare att ange vilka personer och enheter som har behörighet att göra debiteringar. Kunder bör regelbundet kontrollera sina konton för att upptäcka eventuella obehöriga transaktioner.

Kontokapning

Kontokapning sker när bedrägliga aktörer får obehörig åtkomst till ett bankkontos digitala plattformar. Cyberbrottslingar kan använda skadlig programvara, nätfiske eller tangentloggning för att stjäla inloggningsuppgifter.

  • Genomförande: Med hjälp av inloggningsuppgifter kan den bedrägliga aktören logga in på ett bankkonto och initiera ACH-överföringar till andra konton som de kontrollerar.

  • Upptäckt och förebyggande: Minimera risken för kontokapning genom att implementera multifaktorautentisering (MFA) för åtkomst till bankplattformar och avancerade säkerhetsåtgärder såsom beteendebiometri, samt genom att utbilda anställda i cybersäkerhetsrutiner.

ACH-kiting

ACH-kiting är när bedrägliga aktörer utnyttjar fördröjningen mellan initieringen av ACH-överföringen och när medlen debiteras eller krediteras, vilket i praktiken skapar ett falskt saldo.

  • Genomförande: Bedrägliga aktörer överför medel mellan konton som de kontrollerar hos olika banker för att artificiellt blåsa upp saldot innan transaktionerna genomförs, vilket gör det möjligt för dem att ta ut eller spendera pengar som inte finns.

  • Upptäckt och förebyggande: Banker kan använda verktyg för att analysera mönster som kan tyda på kiting, till exempel frekventa överföringar av jämna belopp mellan banker. De kan också införa förstärkta kontroller för frigörande av medel.

Falska betalningar

Denna metod innebär att man skickar falska fakturor till företag eller manipulerar befintliga betalningsinstruktioner för att omdirigera betalningar till konton som bedrägliga aktörer kontrollerar.

  • Genomförande: Genom att utge sig för att vara legitima leverantörer eller skapa helt fiktiva beställningar övertygar bedrägliga aktörer företag att göra ACH-betalningar till fel konton.

  • Upptäckt och förebyggande: Företag bör verifiera ändringar i betalningsuppgifter med kända kontakter via en säker och separat kommunikationskanal. Regelbunden utbildning för anställda i att granska fakturor och betalningsförfrågningar kan förhindra sådan bedrägeri.

Vanliga metoder för ACH-bedrägerier

Bedrägliga aktörer kan använda följande metoder för att få tillgång till de uppgifter som krävs för att begå bedrägeri eller övertyga behöriga parter att initiera debiteringar på sina konton. Bedrägliga aktörer kan också utnyttja svagheter i olika system (bank, e-post, datalagring) för att iscensätta en mångfacetterad attack, vilket gör det svårare för företag och banker att spåra och förhindra bedrägerier.

Datastöld

En bedräglig aktör snappar upp eller stjäl information om kunder som de kan använda för att initiera bedrägliga transaktioner. Det kan handla om att hacka sig in i ett företags databaser, fysisk stöld som att stjäla dokument eller social engineering-taktiker för att samla in känsliga uppgifter.

  • Genomförande: När bedragarna har samlat in tillräckligt med uppgifter kan de använda den för att initiera bedrägliga ACH-transaktioner eller sälja uppgifterna på den svarta marknaden.

  • Upptäckt och förebyggande: Företag kan skydda sig mot datastöld genom att kryptera känslig data, upprätthålla strikta IT-säkerhetsrutiner och regelbundet genomföra säkerhetsrevisioner. Företag bör se till att fysiska dokument förvaras och kasseras på ett säkert sätt.

Nätfiskebedrägerier:

Nätfiske är när bedrägliga aktörer lurar offret att avslöja känslig information som inloggningsuppgifter och kontonummer, vanligtvis genom falska e-postmeddelanden eller webbplatser som efterliknar legitima enheter.

  • Genomförande: När informationen har erhållits kan bedragare använda den för obehörig åtkomst och transaktioner, inklusive ACH-debiteringar.

  • Upptäckt och förebyggande: Att utbilda användare i att känna igen nätfiskeförsök och verifiera att begäran om känslig information är autentisk kan minska risken. Företag bör också överväga att implementera e-postfilter och säkerhetsprotokoll för att upptäcka och blockera e-postmeddelanden som innehåller nätfiske.

Kompromettering av företags e-post (BEC)

I detta sofistikerade bedrägeri använder bedragare nätfisketaktiker för att utge sig för att vara chefer eller leverantörer på företaget.

  • Genomförande: Bedrägliga aktörer kan förfalska eller snappa upp e-postmeddelanden som uppmanar ekonomipersonal att ändra kontoinformation för ACH-betalningar, omdirigera dessa betalningar till konton som de bedrägliga aktörerna kontrollerar, eller uppmana dem att initiera överföringar till bedrägliga konton.

  • Upptäckt och förebyggande: Verifieringsrutiner, såsom sekundärgodkännande av en annan anställd, kan bidra till att förebygga denna typ av bedrägeri. Anställda bör kunna känna igen nätfiske och vara skeptiska till ändringar av betalningsuppgifter som endast meddelas via e-post.

Interna hot

Ibland kan personer inom en organisation, såsom anställda eller uppdragstagare, missbruka sina privilegier för personlig vinning.

  • Genomförande: Insiders kan initiera obehöriga transaktioner eller ändra information om konton för att avleda medel.

  • Upptäckt och förebyggande: Regelbundna granskningar, uppdelning av arbetsuppgifter och övervakning av ovanlig aktivitet kan bidra till att minska denna risk. Det är också viktigt att skapa en kultur präglad av säkerhet och etiskt beteende.

Hur man spårar ACH-betalningar

Att spåra ACH-betalningar kan hjälpa till att lösa problem som uteblivna betalningar, fel eller misstänkt bedrägeri. Ju tidigare du påbörjar spårningen, desto lättare är det att spåra informationen korrekt.

Samla in information

För att spåra enACH-betalning börjar du med att samla in all relevant information om ACH-transaktionen, inklusive transaktionsbelopp, datum, transaktions-id eller referensnummer samt avsändarens och mottagarens kontonummer och banknamn.

Kontakta banken

Kontakta den bank där transaktionen initierades (om du är avsändare) eller den bank dit medlen skickades (om du är mottagare). Telefonsamtal kan vara effektivare än e-post när det gäller brådskande ärenden. Förse banken med alla transaktionsuppgifter.

Initiera spårning

Din bank kommer troligen att begära att du fyller i ett formulär för att formellt begära en spårning. De skickar detta formulär via ACH-nätverket till den andra banken som är involverad i transaktionen och verifierar om transaktionen har behandlats korrekt av varje bank, transaktionens aktuella status och var eventuella avvikelser eller fel har uppstått. Vissa banker kan ta ut avgifter för spårningstjänster.

ACH-spårningar kan ta flera arbetsdagar att slutföra. Följ upp regelbundet för att kontrollera hur spårningen fortskrider.

Granska resultat

När spårningen är klar kommer de berörda bankerna att tillhandahålla en rapport som beskriver transaktionsvägen och eventuella problem som uppstått. Om det fanns ett fel kan bankerna rätta till felet genom att behandla transaktionen på nytt eller göra nödvändiga justeringar av kontosaldon. Dokumentera all kommunikation och resultatet av spårningen. Denna dokumentation kan bidra till att lösa tvister och fungera som bevis om det blir nödvändigt att vidta rättsliga åtgärder.

Ansvar vid ACH-bedrägeri

Frågan om ansvar vid ACH-bedrägeri beror på omständigheterna i varje enskilt fall, även om lagstiftningen i allmänhet är fördelaktig för konsumenterna och ställer strängare krav på företag och banker. Lagar som Electronic Fund Transfer Act (EFTA) i USA begränsar i hög grad konsumenternas ansvar för obehöriga elektroniska transaktioner, förutsatt att kontoinnehavarna agerar inom de fastställda tidsramarna. Företag kan bli skyldiga att bära kostnaden för bedrägeriet om de inte kan visa att de hade tillräckliga kontroller på plats, och banker kan hållas ansvariga om deras säkerhetsrutiner anses otillräckliga eller om de inte följer överenskomna regelverk.

I många fall kan ansvaret för ACH-bedrägerier lösas genom förhandlingar mellan de berörda parterna och kan kräva rättsligt ingripande för att fastställa skuld. Genom att införa kraftfulla förebyggande åtgärder och upprätthålla tydliga, dokumenterade rutiner för hantering av elektroniska transaktioner kan organisationer minska riskerna och klargöra ansvaret i händelse av bedrägeri.

Här är hur ansvaret vanligtvis fördelas i vanliga scenarier såsom obehöriga debiteringar, BEC eller kontokapning.

Obehöriga debiteringar

Lagar såsom amerikanska EFTA kräver att kundens bank ersätter kunden för obehöriga debiteringar, förutsatt att kunden rapporterar den obehöriga transaktionen inom 60 dagar efter det att debiteringen framgår av kontoutdraget.

Kompromettering av företags e-post (BEC)

I fall av BEC faller ansvaret ofta på det företag vars anställde godkände den bedrägliga överföringen, särskilt om den anställde var försumlig och underlät att följa interna säkerhetsrutiner.

Kontokapning

Kunder är vanligtvis inte ansvariga för bedrägliga transaktioner som uppstår till följd av en kontokapning om de meddelar banken i god tid. Bankerna kan vara ansvariga om de inte har vidtagit rimliga säkerhetsåtgärder.

Datastöld

När ett företags data utsätts för intrång kan företaget hållas ansvarigt om det varit försumliga i hur det säkrat sina data. Försumlighet kan innefatta bristande efterlevnad av branschens säkerhetsstandarder eller underlåtenhet att vidta adekvata förebyggande åtgärder.

Nätfiskebedrägerier

Om en kund blir offer för ett nätfiskebedrägeri och rapporterar obehöriga transaktioner i tid, täcker banken vanligtvis förlusterna. Om kunden har varit grovt vårdslös (t.ex. genom att dela PIN-koder eller lösenord) kan denne komma att stå för hela eller delar av förlusten.

Interna hot

Den organisation där insiderpersonen är verksam bär vanligtvis ansvaret för dessa förluster, särskilt om bristande kontroller eller tillsyn har underlättat bedrägeriet. I vissa fall kan banker vidta åtgärder mot den enskilda gärningsmannen.

ACH-kiting

Den som begår ACH-kiting kan hållas ansvarig för bedrägeri. Banker kan också hållas ansvariga om de inte upptäckt och stoppat den misstänkta aktiviteten på grund av bristande övervakningssystem.

Falska betalningar

Ansvaret kan åläggas den enhet som underlåtit att verifiera betalningsbegäran eller fakturans äkthet, särskilt om de inte har genomfört due diligence. Banker är i allmänhet inte ansvariga om de har behandlat transaktionen i enlighet med de instruktioner de fått.

Upptäckt av ACH-bedrägerier

För att upptäcka ACH-bedrägerier krävs noggrann övervakning, granskning och informationsutbyte. Här är vad du bör veta.

Transaktionsövervakning

Implementera specialiserad programvara som kontinuerligt analyserar dina ACH-transaktioner mot etablerade standardvärden och historiska mönster. Maskininlärning och artificiell intelligens kan lära sig ditt företags typiska betalningsbeteende och flagga potentiellt misstänkta transaktioner baserat på komplexa mönster som människor kan missa. Följande kan vara tecken på potentiellt bedrägeri.

  • Ovanliga IP-adresser eller enheter kopplade till transaktioner

  • Avvikelser i transaktionsvolym eller belopp jämfört med historiska genomsnitt

  • Betalningar till nya mottagare, särskilt de som befinner sig på geografiska platser med hög risk.

  • Udda tider för transaktioner (utanför normala kontorstider)

  • Brådskande förfrågningar (t.ex. e-postmeddelanden eller telefonsamtal som kräver omedelbara åtgärder) som pressar företag att påskynda betalningar eller skicka pengar till okända konton.

  • Inkonsekvenser i namn, kontonummer eller andra uppgifter i en betalningsbegäran

Granskningsrutiner

  • Manuell granskning av transaktioner med hög risk: Granska noggrant de transaktioner som dina övervakningsverktyg flaggar för. Särskild personal bör kontrollera om det finns oegentligheter i mottagaren uppgifter, betalningshistorik och all tillhörande kommunikation.

  • Stickprovskontroller: Genomför slumpmässiga granskningar av en delmängd av ACH-transaktionerna. Även om du inte upptäcker något bedrägeri kan vissa bedrägliga aktörer avskräckas om de vet att ett företag noggrant granskar transaktioner när som helst.

  • Analys av ACH-returer: Övervaka ACH-returer noggrant. Höga returfrekvenser kan tyda på obehöriga debiteringar eller bedräglig mottagarinformation. Analysera orsakerna till returerna och leta efter mönster.

Rutiner för kundkännedom (KYC)

  • Kundverifiering: Innan du initierar återkommande betalningar eller lägger till nya mottagare ska du genomföra due diligence. Verifiera adresser och företagets legitimitet och kontrollera mot sanktionslistor och bedrägeridatabaser.

  • Relationsövervakning: Kontrollera regelbundet om det finns förändringar i mottagarens beteende, kommunikationsstil eller uppdaterade bankkontouppgifter som kan tyda på att kontot har komprometterats.

Informationsdelning

  • Banksamarbete: Håll en öppen kommunikation med din banks avdelning för bedrägeribekämpning. De kan varna dig för nya bedrägerimönster och samarbeta i utredningar.

  • Branschnätverk: Gå med i branschorganisationer och nätverk för bedrägeribekämpning. Genom att dela information om hot och bästa praxis kan alla ligga steget före bedrägliga aktörer.

Plan för hantering av bedrägerier

Vänta inte tills en incident inträffar innan du bestämmer vad du ska göra. Skapa proaktivt en plan som innehåller följande steg.

  • Vem du ska kontakta på din bank

  • Interna rapporterings- och utredningsprotokoll

  • Åtgärder för att begränsa ytterligare skada (t.ex. spärra konton, ändra inloggningsuppgifter)

  • Krav för att involvera polis

Bekämpning av ACH-bedrägerier

ACH-bedrägerier utgör ett betydande hot mot företag, bland annat i form av förlorade medel och skadat anseende. Så här stärker du ditt försvar och förhindrar försök till ACH-bedrägeri.

  • Multifaktorautentisering (MFA): Tillämpa MFA för alla inloggningar och finansiella transaktioner. Kräv ytterligare ett verifieringssteg utöver bara användarnamn och lösenord. Detta minskar risken för obehörig åtkomst även om inloggningsuppgifterna skulle komprometteras.

  • Förhandsgodkända betalningar: Detta verifieringssystem för ACH-debiteringar gör det möjligt för företag att förhandsgodkänna legitima mottagare och belopp för ACH-debiteringar. Eventuella avvikelser utlöser varningar som granskas innan behandlingen, vilket förhindrar bedrägliga uttag.

  • Utbildning av personal: Utbilda personalen i att känna igen nätfiskeförsök, social engineering-taktiker och varningssignaler som är förknippade med ACH-bedrägerier. Utbilda dem i korrekta rutiner för hantering av ACH-transaktioner och rapportering av misstänkta aktiviteter.

  • Uppdelning av arbetsuppgifter: Implementera ett system där olika anställda sköter uppgifter som att initiera betalningar, godkänna transaktioner och avstämning av konton. Detta minskar risken för att en enskild anställd manipulerar systemet i bedrägliga syften.

  • Övervakning i realtid: Använd verktyg för övervakning av transaktioner i realtid för att identifiera avvikelser och misstänkt aktivitet och stoppa dem innan de behandlas.

  • Avstämningsrutiner: Upprätta noggranna avstämningsrutiner för att jämföra förväntade betalningar med faktiska debiteringar och krediteringar. Granska regelbundet kontoutdrag och identifiera eventuella avvikelser som kan tyda på bedräglig verksamhet.

  • Datakryptering: Se till att all känslig data, inklusive kontoinformation och finansiella uppgifter, krypteras både när den lagras och överförs. Detta gör det mycket svårare för bedragare att stjäla värdefull information, även om de lyckas göra intrång i dina system.

  • Åtkomstkontroller: Implementera strikta åtkomstkontroller för finansiella data och ACH-behandlingssystem. Bevilja endast åtkomst på behovsbasis och använd starka lösenordspolicyer med regelbundna lösenordsbyten.

  • Tjänster för bedrägeribekämpning: Överväg att samarbeta med specialister på bedrägeribekämpning som erbjuder avancerade tjänster för underrättelser om cyberhot och övervakning. Dessa tjänster kan ge ytterligare säkerhetslager och expertis när det gäller att upptäcka sofistikerade bedrägeriförsök.

  • Deltagande i ACH-nätverk: Delta i ACH-nätverkets initiativ för riskminimering. Dessa initiativ erbjuder resurser och verktyg för att identifiera nya hot och bästa praxis för att bekämpa ACH-bedrägerier.

Innehållet i den här artikeln är endast avsett för allmän information och utbildningsändamål och ska inte tolkas som juridisk eller skatterelaterad rådgivning. Stripe garanterar inte att informationen i artikeln är korrekt, fullständig, adekvat eller aktuell. Du bör söka råd från en kompetent advokat eller revisor som är licensierad att praktisera i din jurisdiktion för råd om din specifika situation.

Fler artiklar

Är du redo att sätta i gång?

Skapa ett konto och börja ta emot betalningar – inga avtal eller bankuppgifter behövs – eller kontakta oss för att ta fram ett specialanpassat paket för ditt företag.
Payments

Payments

Ta emot betalningar online, i fysisk miljö och globalt med en betalningslösning som är skapad för alla typer av företag.

Dokumentation om Payments

Hitta en guide för hur du integrerar Stripes betalnings-API:er.