德国商家持续遭受网络攻击的威胁。德国主要数字协会 Bitkom 估计，2025 年网络犯罪给德国经济造成超过 2020 亿欧元损失，同比增加了 20%。保护您商家的最佳方法是采用全面的欺诈防范策略。

在本文中，我们将解释不同类型的在线欺诈、对商家的保护以及可提供帮助的由人工智能 (AI) 驱动的系统。我们还阐释了商家如何防范欺诈和保护数据，并且概述了他们必须遵守的监管要求。

关键要点

• 在线欺诈对德国商家构成多方面威胁，从网络钓鱼等传统方法到由人工智能 (AI) 驱动的攻击不等。
  
• 最大的风险是财务损失、数据泄露、声誉受损和法律后果。
  
• 保护您商家的最有效方法是结合训练有素的员工、清晰的流程、安全的身份验证与适当的技术。
  
• 现代技术可帮助及早识别企图欺诈活动并自动评估风险。
  

在线欺诈有哪些不同类型？

在线欺诈使用多种方法实施，由于数字化和新技术的进步，新战术不断涌现。下面的概览提供了几种最广泛的在线欺诈形式。

经典在线欺诈

• 网络钓鱼
  在网络钓鱼攻击中，欺诈者试图窃取密码或银行账户详情等敏感数据。他们经常发送冒充知名公司或银行的欺诈性电子邮件或消息。收件人会被定向到被操纵的网站或被提示披露机密信息。
  
• 身份盗窃
  身份盗窃是指欺诈者使用个人信息实施欺诈。这些信息通常是通过数据泄露、网络钓鱼攻击或不安全的在线服务获取的。例如，窃取的信息可用于开立银行账户或签署合同。
  
• 账户接管
  账户接管是指欺诈者通过被盗数据、网络钓鱼攻击或数据泄露获取对现有客户账户的访问权限。然后，他们会修改个人资料数据、触发订单或访问敏感信息。对商家而言，这是一种风险极高的欺诈形式，因为欺诈活动通常看起来是合法的。
  
• 欺诈性交易
  这些是欺诈者通过数字支付组织进行的未经授权的支付或订单。它们通常是使用被盗的银行卡详细信息或受损的客户账户进行的。
  
• 账单欺诈
  账单欺诈涉及欺诈者向商家或个人发送假账单。这些账单通常看起来很逼真，并指向所谓的服务或供应品。
  
• 假冒商店
  假冒在线商店往往以极具吸引力的价格提供产品。在购物者下订单后，他们要么收到低质量的产品，要么根本收不到任何产品。这些网站通常看起来很专业，并使用了从真实商店运营商处复制的内容。
  
• 首席执行官 (CEO) 欺诈
  CEO 欺诈涉及欺诈者假冒公司的董事或业务合作伙伴。通常，其目的是让目标进行大额电汇或泄露机密信息。欺诈者经常使用虚假的电子邮件地址和有关组织结构的具体信息。
  

在线人工智能欺诈

• 人工智能驱动的网络钓鱼
  欺诈者可以使用现代人工智能系统生成极其逼真的虚假消息。文本消息包含较少的语言错误，并且可以针对个人收件人进行定制。这增加了员工点击恶意链接或打开附件的风险。
  
• 深度伪造和语音克隆
  深度伪造和语音克隆技术使用人工智能来创建极其逼真的人脸和声音模仿。欺诈者利用这些技术传播虚假新闻，或进行虚假的视频和语音通话，冒充经理、业务合作伙伴或家庭成员。对商家而言，这项技术增加了被操纵的资金转账和其他欺诈行为的风险。
  
• 聊天机器人欺诈
  欺诈者使用自动化的聊天机器人来建立信任或套取信息。这些系统可部署在聊天、社交网络或虚假的客服中。
  
• 人工智能生成的虚假评论
  人工智能可用于为产品或服务生成大量逼真的评论。这些评论随后可用于操纵特定的商家或平台，因为它们可能会促使客户做出错误的购买或业务决策。
  

德国数字商家的在线欺诈风险

我们在上文描述的在线欺诈类型对德国的数字商家构成了重大风险。由于业务流程数字化、商家之间广泛的互联互通以及人工智能的使用不断发展，欺诈者的机会不断增加，并造成广泛的后果。

财务损失

在线欺诈可能会因未经授权的支付、由 CEO 欺诈引发的电汇或假账单而直接导致财务损失。恢复受损的系统、调查事件以及向任何受影响的客户支付赔偿金也需要花费金钱。

敏感数据丢失

网络钓鱼攻击、身份盗窃和被盗用的客户账户可能会导致公司和客户机密信息的丢失。个人数据、支付信息和商业机密尤为敏感。如果欺诈者获取了这些信息，可能会导致数据泄露和财务损失。

声誉受损和信任流失

当商家遭遇在线欺诈时，可能会严重影响客户、业务合作伙伴和公众的信任。数据泄露、假冒商店或被操纵的沟通渠道可能会永久损害公司的形象。数字公司尤其依赖于信任和信誉。

业务中断和生产力下降

欺诈和网络攻击可能会对工作流程造成严重破坏。员工必须解决安全事件、审计系统或阻止访问。这通常会导致日常运营延迟和生产力下降。对于业务模式严重依赖数字流程的公司来说，这个问题尤为严重。

法律和监管复杂性

德国的商家受到严格的数据保护和安全要求的约束，特别是 GDPR (欧盟通用数据保护条例 )。数据泄露或安全措施不充分可能会引发罚款、法律后果以及通知当局和受影响个人的要求。

威胁环境日益复杂

数字技术的进步使得识别欺诈变得更加困难。特别是，欺诈者可以使用人工智能驱动的在线欺诈来进行高度自动化和个性化的攻击。在许多情况下，传统的安全措施是不够的。相反，商家必须将它们与持续培训、技术保障和现代安全策略结合使用。

在德国，商家应如何防范在线欺诈？

随着数字化形式的欺诈日益普遍，商家更加注重防范。由于实施在线欺诈的手段不断演变，单一的安全措施是不够的。相反，商家需要一套将组织、人员配备和技术手段结合起来的综合性安全策略。

员工意识与培训

员工是打击在线欺诈的最重要因素之一。与此同时，他们往往也是网络钓鱼攻击、CEO 欺诈或社交工程手段的首选目标。定期培训可以帮助员工识别可疑的电子邮件、虚假网站或被篡改的消息。

让员工熟悉常见的欺诈警告迹象，比如不同寻常的付款请求、要求尽快行动的压力或未知发件人，也不失为一个好主意。商家应规定明确的内部流程，使员工能够快速标记和审查可疑活动。

明确的安全政策与内部流程

安全政策有助于降低人为错误的风险并确立明确的责任。政策应涵盖诸如密码安全性、访问权限、付款授权流程以及敏感数据的安全处理等因素。

对于金融交易，商家可采用双人规则（也称为“四眼原则”），以便更快识别欺诈性付款指令。商家还应明确定义内部沟通渠道，以标记虚假身份。

安全密码与多因素身份验证 (MFA)

强度较弱的密码或重复使用的密码使欺诈分子更容易访问公司系统。因此，商家应确保密码强健、独立并定期更改。

MFA 是显著提高安全性的另一种方法，因为除了密码，它还要求二次确认。这种方法可以阻止针对客户账户的许多攻击，即使登录详情已在之前的网络钓鱼攻击或数据泄露中被盗也是如此。

定期安全更新与系统维护

过时的软件和未修补的安全漏洞是欺诈分子获取访问权限的最常见途径。因此，商家应确保定期更新操作系统、应用程序和安全软件。定期安全审计和备份同样重要，因为这使商家能够更快地反应，并将数据丢失降到最低。

审查网站、账单和合作伙伴联系人

欺诈往往源于看似极为真实的虚假材料。因此，商家应仔细评估网站、账单以及其他付款请求的真实性，尤其是来自未知供应商或包含异常付款信息的。即便来自所谓商业合作伙伴的电子邮件或电话，也应谨慎对待。如果有疑问，最好通过受信任的通信渠道进行额外验证。

与客户进行透明沟通

商家应主动让客户了解潜在的欺诈风险。提供有关安全支付方式、官方沟通渠道或常见骗局的信息可以增强客户信任并有助于防止损害。

商家还应方便客户联系。这样，客户就可以快速报告可疑活动。应尽早标记可疑的在线欺诈事件，以减少进一步的损失。

对可疑活动迅速采取行动

即使有全面的预防策略，安全事件仍会发生。重要的是根据结构化工作流程对可疑活动做出快速响应。商家应制定明确的应急计划，以封锁遭到入侵的账户、保护系统并通知受影响的个人。在严重的情况下，报告在线欺诈并让执法部门介入。

运用技术与自动化防范在线欺诈

由于现代形式的欺诈通常是自动化且高度个性化的，人工安全检查越来越无效。商家需要能够及早发现可疑活动并实时评估风险的智能系统。

自动分析和人工智能是防范在线欺诈的关键。这些工具可以高速评估大量的支付、用量和行为数据。这意味着它们比传统的审查流程能更快地识别可疑模式、异常交易或潜在的欺诈。

现代技术还有助于提高安全流程的效率。自动化系统能够减轻员工在例行检查方面的工作量，减少失误，帮助商家对新的欺诈策略做出更快反应。如今，智能安全解决方案已成为综合风险管理系统的重要组成部分，特别是在涉及数字支付流程时。

Stripe Radar 带来的人工智能驱动的欺诈识别

Stripe Radar 使用人工智能模型及早识别欺诈活动并自动审查可疑的付款。这些模型针对全球 Stripe 卡组织的数据进行训练，并根据最新的欺诈模式不断进行更新。这使得商家能够更好地识别和防御不断快速变化的新形式欺诈。

Radar 还有助于商家更有信心地批准合法付款。人工智能模型分析各类因素，例如客户信息、浏览行为和争议交易数据，尽可能准确地识别有风险的交易。由于该解决方案直接集成到 Stripe 中，并且在设置时无需大量编程，商家还可享受管理工作量减轻的便利。

在防范在线欺诈与数据保护之间取得平衡

防范在线欺诈往往需要处理个人身份信息。商家通过分析支付信息、登录详情或客户行为及早识别可疑活动。

同时，他们必须遵守适用的数据保护法规。这在实施有效的欺诈防范措施与保护个人信息之间造成了冲突。在德国，商家必须在不侵犯数据主体权利的前提下实施安全举措。

GDPR 要求

在德国，GDPR (欧盟通用数据保护条例) 是管辖个人身份信息处理的核心法律框架。根据《GDPR》第 5 条，数据处理受数据最小化、处理目的性和透明度等原则约束。因此，商家只能处理出于安全或防范欺诈目的而切实需要的数据。

这种处理往往基于《GDPR》第 6 (1) 条 f 款规定的“合法利益”进行。同时，《GDPR》第 32 条要求商家采取适当的技术和组织措施保护个人身份信息。如果个人权利和自由面临风险，必须在 72 小时内向相关监管机构报告数据泄露事件。商家还可能被要求通知个人。

信任与透明度

在德国，商家应公开宣传出于安全目的处理哪些数据以及为什么必须进行这种处理。透明的隐私政策有助于加强监管合规并提升客户信任。商家必须确保自动化分析保持透明并符合比例原则，尤其是在利用人工智能识别在线欺诈时。

德国数字安全的监管规定

在德国提供数字服务或处理个人身份信息的企业需要遵守多项法定和监管要求。这些要求旨在保护客户并确保数字基础设施的稳定。

虽然 GDPR 是这些法律框架中最重要的部分，但以下法定规定对于防范在线欺诈也非常重要：

• 《联邦信息安全局法》（BSI Act）
  高风险设施和重要机构的运营商需要遵守 BSI Act 规定的具有约束力的风险管理和报告流程要求。BSI Act 并不自动适用于每家公司，因此企业应单独评估适用性。
  
• 《网络与信息安全 2（NIS2）指令》
  NIS2 指令是欧盟关于网络安全的法律框架。它扩大了适用范围，并要求许多行业遵守更高的安全标准。这项新指令下的要求包括全面的风险管理举措，以及加密和 MFA 的使用。其条款现已纳入德国法律。
  
• 《德国刑法典》（StGB）
  在德国，在线欺诈是一项刑事犯罪，受 StGB 管辖。其中一项关键条款是 StGB 第 263 条，该条款规定以获取经济利益为目的的蓄意欺骗属于刑事犯罪。上述许多类型的欺诈（包括网络钓鱼、CEO 欺诈和虚假商店）都符合这项犯罪的条件。根据 StGB 可惩罚的其他行为包括数据间谍活动、处理被盗数据和计算机破坏。
  

常见问题

下文中，我们就德国在线欺诈最重要的问题给出了答案。