Börja nu  Kontakta säljteamet 

Betalningar

Intäkter

Penninghantering

Plattformar och marknadsplatser

Efter fas
Efter användningsfall
Efter bransch
Dokumentation
Guider
Resurser
Lär dig
Support
Företag
Börja nu  Kontakta säljteamet 

Riskhantering av bedrägerier: Så bedömer, avhjälper och övervakar du din exponering

Radar
Radar

Stripes nätverk – ditt vapen i kampen mot bedrägeri.

Läs mer 
  1. Introduktion
  2. Vad är riskhantering av bedrägerier?
  3. Hur fungerar riskhantering för bedrägerier?
    1. Identifiering av bedrägeririsk
    2. Bedömning av bedrägeririsk
    3. Avhjälpande åtgärder för bedrägeririsk
    4. Löpande övervakning och granskning
  4. Hur genomför man en riskbedömning för bedrägerier?
  5. Vilka bedrägeririsker är viktigast för e-handel och finansiella plattformar?
    1. CNP-bedrägeri
    2. Kontokapningsbedrägerier
    3. Oavsiktligt bedrägeri
    4. Missbruk av policy
  6. Hur ansluter ett ramverk för riskhantering av bedrägerier till de verktyg du använder dagligen?
  7. Hur skapar man en policy för riskhantering av bedrägerier för sitt företag?
  8. Hur Stripe Radar kan hjälpa till
  9. Kom igång med Stripe 

Bedrägeri kostar företag mer än bara förlorade varor. Faktum är att varje 1,00 USD i betalningsbedrägeri inom finansiella tjänster i USA kostar i genomsnitt 5,75 USD. Kostnaderna ligger i flera lager: chargebacks urholkar marginaler och bedrägeriutredningar slukar personaltid. Omkostnaderna för hantering av bedrägeri kan allvarligt begränsa tillväxten. Ett ramverk för riskhantering av bedrägerier ger dig ett strukturerat sätt att minimera dessa kostnader. Det låter dig förstå din exponering, prioritera de risker som betyder mest och implementera kontroller som håller när attackmönster förändras.

Nedan kommer vi att diskutera vad riskhantering av bedrägerier är, hur cykeln i fyra faser fungerar i praktiken och hur du bygger ett ramverk som passar ditt företag.

Viktiga punkter

  • Riskhantering av bedrägerier följer vanligtvis en cykel av identifiering, bedömning, avhjälpande åtgärder och löpande övervakning.

  • De typer av bedrägeri som tenderar att drabba onlineföretag hårdast – CNP-bedrägeri (Card-Not-Present), kontoövertagande och vänskapligt bedrägeri – utnyttjar de luckor som lämnas av digitala distanstransaktioner.

  • En policy för riskhantering av bedrägerier fungerar bara om den inkluderar ett tydligt ägandeskap, en definierad riskaptit och en granskningsrytm inbyggd från början.

Vad är riskhantering av bedrägerier?

Riskhantering för bedrägerier är en process för att identifiera, bedöma och reagera på hur ditt företag kan utnyttjas för ekonomisk vinning. Det skiljer sig från allmän riskhantering på ett viktigt sätt: bedrägeri innebär uppsåt. Du skyddar dig mot beteendet hos personer som aktivt försöker kringgå dina kontroller.

Hur fungerar riskhantering för bedrägerier?

Cykeln för riskhantering av bedrägerier har fyra faser: identifiering, bedömning, avhjälpande åtgärder och löpande övervakning. Varje fas bygger på den föregående.

Identifiering av bedrägeririsk

Börja med din attackyta: hur ditt transaktionsflöde ser ut, var människor interagerar med det och var det är automatiserat. Företag med stora volymer av CNP-transaktioner står inför andra attackvektorer än de som tar emot betalningar personligen. Historiska bedrägeridata är en utgångspunkt, men de berättar bara om bedrägerier som du redan har sett. Mönsteranalys och kartläggning av affärsmodell hjälper till att avslöja sårbarheter innan de utnyttjas.

Bedömning av bedrägeririsk

Alla bedrägeririsker är inte likvärdiga och du kan inte behandla dem på det sättet. Poängsätt varje risk utifrån två axlar: sannolikhet och påverkan. Sannolikhet återspeglar hur ofta en typ av bedrägeri förekommer i företag som ditt. Exempelvis är CNP-bedrägeri vanligt inom e-handel, medan förstapartsmissbruk är vanligare för abonnemang och låneprodukter. Påverkan omfattar ekonomisk förlust, avgifter för chargeback, kostnader för avhjälpande åtgärder och försämrad kundupplevelse. Risker med hög sannolikhet och stor påverkan bör få omedelbar uppmärksamhet och dedikerade kontroller.

Avhjälpande åtgärder för bedrägeririsk

Avhjälpande åtgärder omsätter din bedömning i kontroller i tre lager. Förebyggande kontroller stoppar bedrägeri innan det händer. Upptäckande kontroller fångar upp pågående bedrägeri eller strax därefter. Responsprocedurer definierar vad som händer efter att ett bedrägeri har bekräftats, till exempel kontoavstängning, insamling av bevis för tvister och eskalering till brottsbekämpande myndigheter om det är motiverat. Att enbart förlita sig på förebyggande åtgärder kan göra dig oförberedd när en ny attackvektor dyker upp.

Löpande övervakning och granskning

Mönstren för bedrägeri skiftar, och kontroller som fungerade för ett halvår sedan kanske inte fungerar i dag. Bedrägliga aktörer delar tekniker, nya produktfunktioner skapar nya sårbarheter och attackvektorer utvecklas snabbare än vad årliga granskningscykler kan spåra. Kvartalsvisa granskningar är en rimlig utgångspunkt, med ad hoc-granskningar som utlöses av stora förändringar i nivåer för chargeback, lanseringar av nya produkter eller bekräftade bedrägeriincidenter.

Hur genomför man en riskbedömning för bedrägerier?

En riskbedömning för bedrägerier är en strukturerad granskning av din exponering. Följande steg ingår:

  • Definiera din omfattning: Bestäm om du ska bedöma hela ditt företag, en specifik produktlinje eller en viss typ av transaktion. Omfattningen avgör vad du inkluderar i din tillgångsinventering och vem som behöver vara involverad.

  • Bygg en transaktionskarta: Dokumentera varje punkt i ditt transaktionsflöde där ett bedrägeri kan inträffa. För ett e-handelsföretag inkluderar det att gå till kassan, kontoskapande, lagring av betalningsmetoder, återbetalningar och tvister. Varje punkt är en potentiell attackyta.

  • Identifiera scenarier för bedrägerier: Fråga dig vid varje kontaktpunkt vad en bedräglig aktör skulle kunna göra (t.ex. carding när man ska gå till kassan, kontoövertagande vid inloggning, vänskapligt bedrägeri i tviststadiet) och vad hen skulle vinna på det. Att specificera ett scenario gör det mycket lättare att bedöma och vidta avhjälpande åtgärder.

  • Poängsätt sannolikhet och påverkan: Använd historiska data, branschriktmärken och information från din betalleverantör. Sannolikhetspoäng bör återspegla din faktiska transaktionsvolym och kundprofil, inte generella branschgenomsnitt. Påverkanspoäng bör ta hänsyn till direkta ekonomiska förluster, avgifter för chargeback, kostnader för avhjälpande åtgärder och försämrad kundupplevelse.

  • Prioritera och tilldela ägandeskap: Högprioriterade risker kräver en specifik person eller ett specifikt team som ansvarar för kontrollen. Utan ägandeskap implementeras inga kontroller och granskningar genomförs inte.

  • Dokumentera och fastställ ett granskningsdatum: Resultatet av en riskbedömning för bedrägerier är ett levande dokument och det kräver en granskningsrytm kopplad till sig från första början.

Vilka bedrägeririsker är viktigast för e-handel och finansiella plattformar?

De typer av bedrägeri som vanligtvis drabbar onlineföretag hårdast utnyttjar alla avsaknaden av fysisk verifiering. De inkluderar följande:

CNP-bedrägeri

CNP-bedrägeri inträffar när stulna eller komprometterade kortuppgifter används för att göra köp i en kanal där ett kort inte är fysiskt närvarande: när man ska gå till kassan online, telefonbeställningar, återkommande fakturering och köp i appen. Kortet i sig byter aldrig ägare, vilket gör det svårt att upptäcka utan verifiering i flera lager. Nivåerna för CNP-bedrägerier brukar nå sin topp efter stora dataintrång, när nya uppsättningar av inloggningsuppgifter dyker upp på Darknet-marknadsplatser.

Kontokapningsbedrägerier

Credential stuffing (automatiserade attacker som testar stulna kombinationer av användarnamn och lösenord mot många webbplatser) är billigt att utföra, vilket har gjort bedrägeri med kontoövertagande till ett vanligt hot. Bedrägliga aktörer använder läckta kombinationer av användarnamn och lösenord för att få tillgång till kundkonton, sedan ändrar de leveransadresser, lägger till nya betalningsmetoder eller tömmer ett sparat värde. Det är särskilt skadligt eftersom det urholkar kundernas förtroende även när ett företag agerar på rätt sätt.

Oavsiktligt bedrägeri

Vänskapligt bedrägeri, även kallat chargeback-bedrägeri (och ibland grupperat under den bredare kategorin förstapartsbedrägeri), inträffar när en legitim kortinnehavare gör ett köp och sedan väljer att bestrida en betalning med sin bank. Hen hävdar att hen aldrig fick varorna eller inte autentiserade en transaktion. Tvistnivåer över ungefär 1 % av transaktionsvolymen är en vanlig varningssignal, även om tröskelvärdena varierar beroende på betalleverantör och företagskategori.

Missbruk av policy

Missbruk av policy ligger någonstans mellan bedrägeri och legitimt kundbeteende och omfattar återbetalningsbedrägeri, stapling av kampanjkoder och missbruk av värvningar. Det är inte alltid organiserade brottslingar som ligger bakom det. Ibland är det vanliga kunder som utnyttjar kryphål i dina policyer. Den ekonomiska påverkan är påtaglig i vilket fall som helst, och relevanta kontroller överlappar med bedrägeribekämpning för betalningar.

Hur ansluter ett ramverk för riskhantering av bedrägerier till de verktyg du använder dagligen?

Ett ramverk för riskhantering av bedrägerier utan utförande är bara dokumentation. Översättningen från strategi till daglig bedrägeribekämpning sker via tre kategorier av verktyg:

  • Regelmotorer: Dessa är logikbaserade kontroller som låter dig blockera en transaktion över ett visst värde från nya konton, flagga ordrar där länder för fakturering och leverans inte stämmer överens, eller kräva ytterligare verifiering för produktkategorier med hög risk. Regler är snabba och transparenta, men statiska. Avancerat bedrägeri anpassar sig snabbt till kända regler, vilket är anledningen till att regelbaserade system ensamma inte är tillräckligt.

  • Maskininlärningsmodeller: Dessa analyserar transaktioner mot mycket större uppsättningar funktioner än vad någon regelmotor skulle kunna hantera manuellt. En vältränad modell kan väga hundratals variabler samtidigt och generera en riskpoäng på några millisekunder. Nackdelen är opacitet, eftersom modeller för maskininlärning inte alltid ger en tydlig förklaring till varför en transaktion var misstänkt, vilket kan komplicera hanteringen av en tvist och kundtjänst.

  • System för övervakning och varning: Dessa sluter cirkeln. Instrumentpaneler i realtid, varningar om chargeback och automatiserad rapportering talar om för dig när något förändras. Utan övervakning kommer du inte att kunna upptäcka sårbarheter mellan granskningscyklerna.

Stripe Radar för samman alla tre lagren i Stripes betalinfrastruktur. Radars maskininlärningsmodell är tränad på transaktionsdata från hela Stripes Network, vilket innebär att det drar nytta av signaler som ditt företag ensamt inte skulle kunna generera. Du kan lägga på egna anpassade regler ovanpå och kräva 3D Secure för vissa typer av transaktioner eller lägga till friktion för ordrar som matchar kända bedrägerimönster. Intelligens på nätverksnivå och företagsspecifika regler fungerar i kombination snarare än isolerat.

Hur skapar man en policy för riskhantering av bedrägerier för sitt företag?

En policy för riskhantering av bedrägerier formaliserar ditt ramverk. Den definierar vad du skyddar, vem som är ansvarig för att skydda det och vad som händer när något går fel.

Här är en steg-för-steg-genomgång av hur man skapar den policyn:

  • Definiera policyns omfattning och mål: Var specifik. "Håll er under branschstandardens tröskelvärden för bedrägeri och tvist" är ett användbart mål. "Minska bedrägeri" är det inte.

  • Utforma en tydlig förklaring om riskaptit: Detta hjälper ditt team att fatta konsekventa beslut. "Vi accepterar en bedrägerinivå på högst 0,1 % för korttransaktioner innan vi eskalerar kontrollerna" är en tydlig förklaring. "Vi tar bedrägeri på allvar" är inte det.

  • Lista specifika kontroller som du har implementerat: Inkludera vad de är utformade för att förhindra och vem som äger dem. Det behöver inte vara uttömmande, men det bör vara tillräckligt specifikt för att en ny teammedlem ska kunna förstå er inställning till förebyggande arbete genom att läsa det.

  • Upprätta eskaleringsrutiner: Definiera vad som utlöser en eskalering, vem som meddelas när tröskelvärden för bedrägeri överskrids och vilken responstid som gäller för bekräftade incidenter. Dessa rutiner är som viktigast när saker går fort och det inte finns tid att lära sig en process från noll.

  • Bestäm din granskningsrytm: När granskas policyn och vad föranleder en granskning utanför den vanliga cykeln? Definiera detta i förväg, annars kanske det inte sker.

Hur Stripe Radar kan hjälpa till

Stripe Radar använder AI-modeller som tränats på data från Stripes globala nätverk och uppdateras kontinuerligt baserat på de senaste bedrägeritrenderna, vilket skyddar ditt företag när bedrägerierna utvecklas.

Stripe erbjuder även Radar for Fraud Teams, som gör det möjligt för användare att lägga till anpassade regler som hanterar bedrägeriscenarier för just deras företag och få tillgång till avancerade bedrägeriinsikter.

Radar kan hjälpa ditt företag att:

  • Förhindra bedrägeriförluster: Stripe hanterar över 1 biljon USD i betalningar årligen. Denna omfattning gör det möjligt för Radar att på ett korrekt sätt upptäcka och förhindra bedrägerier, vilket sparar pengar.

  • Öka intäkterna: Radars AI-modeller är tränade på verkliga tvistdata, kundinformation, webbläsardata etc. Detta gör att Radar kan identifiera riskabla transaktioner och minska falska positiva resultat, vilket ökar dina intäkter.

  • Spara tid: Radar är inbyggt i Stripe och kan konfigureras med noll kodrader. Du kan också övervaka din bedrägeriprestanda, skriva regler och annat på en enda plattform, vilket ökar effektiviteten.

Läs mer om Stripe Radar eller börja idag.

Innehållet i den här artikeln är endast avsett för allmän information och utbildningsändamål och ska inte tolkas som juridisk eller skatterelaterad rådgivning. Stripe garanterar inte att informationen i artikeln är korrekt, fullständig, adekvat eller aktuell. Du bör söka råd från en kompetent advokat eller revisor som är licensierad att praktisera i din jurisdiktion för råd om din specifika situation.

Fler artiklar

  • Ett fel har inträffat. Försök igen eller kontakta supporten.

Är du redo att sätta i gång?

Skapa ett konto och börja ta emot betalningar – inga avtal eller bankuppgifter behövs – eller kontakta oss för att ta fram ett specialanpassat paket för ditt företag.
Radar

Radar

Stripes nätverk – ditt vapen i kampen mot bedrägeri.

Dokumentation om Radar

Använd Stripe Radar för att skydda ditt företag mot bedrägerier.