BLOG
Fünf Tipps zur Betrugsbekämpfung im Jahr 2023
In einer zunehmend digitalisierten Welt verändern und entwickeln sich Betrugstrends ständig. Die Bedrohungen für Verbraucher, E-Commerce-Anbieter und Finanzdienstleister nehmen nicht nur an Zahl, sondern auch an Raffinesse zu. Die Gesamtkosten des E-Commerce-Betrugs werden voraussichtlich im Jahr 2023 weltweit 48 Milliarden US-Dollar übersteigen , gegenüber etwas über 41 Milliarden US-Dollar im Jahr 2022. Die Gründe für diesen Anstieg der durch Betrug verursachten Kosten sind vielfältig. Sie reichen vom Anstieg der Online-Zahlungen und -Einkäufe aufgrund der Pandemie über die Allgegenwart von Malware und Bots, die Benutzerinformationen aus dem Internet extrahieren, bis hin zu Social-Engineering-Betrug, der die Schwachstellen des Menschen ausnutzt.
In der vordigitalen Welt erforderte Betrug sorgfältige Planung und Heimlichkeit, während heute die notwendigen Werkzeuge, um Menschen und Unternehmen zu betrügen, leicht online verfügbar sind, was die Eintrittsbarriere senkt. Virtuelle Marktplätze, digitale Geldbörsen und die fortschreitende Automatisierung aller Bereiche erschweren Kriminellen nicht nur die Angriffsfläche, sondern sie verfügen auch über hochentwickelte Tools und Technologien, mit denen sie in Unternehmen eindringen und die Konten von Privatpersonen angreifen können.
Lesen Sie unsere fünf Tipps zur Betrugsbekämpfung im Jahr 2023 und bleiben Sie den neuesten Bedrohungen und Angriffen voraus, mit denen Cyberkriminelle dieses Jahr E-Commerce- und Finanzdienstleistungsunternehmen ins Visier nehmen.
- Koordinieren und konvergieren Sie mehrere Sicherheitsstrategien, um Betrug wirksamer zu bekämpfen, ohne das Kundenerlebnis zu beeinträchtigen.
Händler und Finanzdienstleister müssen eine bessere Zusammenarbeit zwischen ihren Teams für Sicherheit, Kundenidentitäts- und Zugriffsverwaltung (CIAM), Betrugserkennung und Authentifizierung im gesamten Unternehmen erreichen. Kriminelle können die Schwachstellen, die durch isoliert arbeitende Teams und Sicherheitsstrategien entstanden sind, die sich zu stark auf CAPTCHA- und Multi-Faktor-Authentifizierungstechniken (MFA) stützten, leicht ausnutzen. Diese Mechanismen unterbrechen das Benutzererlebnis kontinuierlich und berücksichtigen dabei häufig nicht das Risiko, das der Anmeldeversuch darstellt.
Ein transparenter und kontinuierlicher risikobasierter Authentifizierungsansatz ermöglicht Händlern und Finanzdienstleistungsunternehmen eine bessere teamübergreifende Zusammenarbeit innerhalb ihrer Organisation und die Implementierung einer agilen, zuverlässigen und störungsarmen Betrugserkennungsstrategie, ohne das Benutzererlebnis negativ zu beeinflussen.
- Erweitern Sie herkömmliche Omni-Touchpoint-Strategien zur Betrugsprävention um umfassende Transparenz und Einblicke in die gesamte Customer Journey.
Diese Strategie sollte sich auf drei oft übersehene Schlüsselbereiche konzentrieren:
- Beginnen Sie mit der ersten Kanalinteraktion: Konzentrieren Sie sich auf die Aktivitäten der Kunden, sobald diese einen Kanal betreten oder ein Konto erstellen. Dadurch soll die Transparenz bei clientseitigen Angriffen wie digitalem Skimming oder Formjacking verbessert werden , die häufig zum Erfassen von Anmeldeinformationen und Karteninformationen bei der Eröffnung neuer Konten verwendet werden, was letzten Endes zur Übernahme des Kontos und zu Betrug führt.
- Untersuchen Sie API-Integrationen von Drittanbietern: Zusätzlich zu Web- und mobilen Apps müssen Händler und Finanzdienstleister auch sicherstellen, dass ihre Sicherheitsstrategien den API-Schutz berücksichtigen. APIs sind denselben Angriffen ausgesetzt wie Webanwendungen, nämlich Exploits und Missbrauch, die zu Datenlecks und Betrug führen und unbeabsichtigte Risiken durch Integrationen und Ökosysteme von Drittanbietern mit sich bringen.
- Überprüfen Sie das Betrugspotenzial bei Card not Present (CNP)-Transaktionen: Händler, die neue Dienste wie ortsbasiertes Bezahlen, Online-Kauf und Abholung im Geschäft (BOPIS) oder Jetzt kaufen, später bezahlen (BNPL) anbieten, müssen die mit diesen Transaktionen verbundenen Risiken verstehen und diese in ihren Strategien zur Betrugsprävention berücksichtigen. Hierzu gehört es, Erkenntnisse über betrügerische Verhaltensmuster zu gewinnen und diese über alle Kanäle hinweg zu teilen.
- Beginnen Sie mit der ersten Kanalinteraktion: Konzentrieren Sie sich auf die Aktivitäten der Kunden, sobald diese einen Kanal betreten oder ein Konto erstellen. Dadurch soll die Transparenz bei clientseitigen Angriffen wie digitalem Skimming oder Formjacking verbessert werden , die häufig zum Erfassen von Anmeldeinformationen und Karteninformationen bei der Eröffnung neuer Konten verwendet werden, was letzten Endes zur Übernahme des Kontos und zu Betrug führt.
- Seien Sie in einem rezessiven Umfeld wachsam gegenüber neuen Herausforderungen durch Friendly Fraud.
Eine neue, schwerwiegende Form des „Friendly Fraud“, mit der Händler während einer Rezession rechnen müssen, ist der so genannte „Fake Friendly Fraud“. Dabei erstellen Kriminelle synthetische Identitäten, um als echte Kunden auszusehen, und führen dann Transaktionen durch, ohne die Absicht zu haben, für die gekauften Waren zu bezahlen. Betrüger, die mit falschen Absichten agieren, können Präventionsmaßnahmen erfolgreich austricksen und umgehen, da sie gestohlene Identitätsinformationen problemlos wiederverwenden und neue synthetische Identitäten erstellen können, um neue Konten zu eröffnen und einer Sperrliste zu entgehen. Zu diesen „Friendly Fraud“-Aktivitäten können der Missbrauch des BNPL-Programms, Treuepunkte- und Rückerstattungsbetrug sowie Bust-Out-Betrug gehören.
Schützen Sie sich vor der Anmeldung neuer Konten mit synthetischen Identitäten, indem Sie Erkenntnisse aus biometrischen Verhaltensmustern, ergänzt durch maschinelles Lernen, nutzen, um sowohl Sicherheits- als auch Betrugsbekämpfungsteams Einblick in kompromittierte Konten zu geben.
- Seien Sie auf die dritte Zahlungsdiensterichtlinie (PSD3) der EU mit neuen Vorschriften für digitale Zahlungen vorbereitet.
Die Bedrohungs-, Zahlungs- und Regulierungslandschaft für Händler und Banken hat sich seit der ersten Einführung der Zahlungsdiensterichtlinie im Jahr 2018 dramatisch verändert. Zur Vorbereitung auf die verschärften Vorschriften der PSD3 sollten Händler und Banken eine Bestandsaufnahme der neuen Dienste, Kanäle und Zahlungsoptionen machen, die sie kürzlich eingeführt haben. Unterstützen Sie jetzt beispielsweise digitale Geldbörsen und Kryptozahlungen? Wie viele neue APIs mit unterschiedlichen Formaten von Drittanbietern haben Sie in Ihre Systeme und Webeigenschaften integriert?
Händler und Finanzdienstleister müssen sich von der bloßen Konzentration auf die Compliance-Risiko-Denkweise bei ihrer bestehenden API- und Authentifizierungsstrategie lösen. Sie sollten das gesamte Ausmaß der Sicherheits- und Betrugsrisiken, die die moderne API-Umgebung mit sich bringt, proaktiv antizipieren und bewältigen .
- Machen Sie sich bereit für Shadow API- und JavaScript-Lieferkettenangriffe und den kommenden Payment Card Industry Datensicherheit Standard (PCI DSS) 4.0
Wenn Unternehmen ihr Drittanbieter-Ökosystem erweitern und die Anzahl der Skripte auf ihrer Site steigt, entstehen neue potenzielle Schwachstellen, die zu clientseitigen Angriffen wie Digital Skimming, Formjacking und Magecart-Angriffen führen können. Ein digitaler Skimming-Angriff erfolgt, wenn ein Krimineller entweder ein oder mehrere bösartige Skripte einschleust oder ein vorhandenes Skript auf einer legitimen Seite oder Application manipuliert, um einen Man-in-the-Browser-Angriff auf die Software-Lieferkette durchzuführen. Diese Angriffe sind schwer zu erkennen, da diese Skripte häufig von Dritten aktualisiert werden und Ihr Unternehmen häufig nicht über ein Verfahren zur Durchführung von Sicherheitsüberprüfungen verfügt.
Darüber hinaus konzentrieren sich die neuen PCI DSS 4.0-Anforderungen auf die Notwendigkeit, browserbasierte JavaScript-Bibliotheken von Drittanbietern zu überwachen und zu verwalten, die in E-Commerce-Websites integriert sind, um Funktionen wie iFrames zur Zahlungsabwicklung, Chatbots, Werbung, Schaltflächen zum Teilen in sozialen Netzwerken und Tracking-Skripte zu ermöglichen. Obwohl die Einhaltung der neuen PCI DSS 4.0-Anforderungen erst ab 2025 vorgeschrieben ist, kommt es bereits jetzt immer häufiger zu clientseitigen Angriffen. Setzen Sie die verbesserten Schutzmaßnahmen daher so schnell wie möglich um.
Unternehmen benötigen nicht nur Einblick in die JavaScript-Bibliotheken, die in ihren Applications ausgeführt werden, sondern auch, um zu verhindern, dass Datenschutzbestimmungen wie die DSGVO und CCPA verletzt werden, und um die Einhaltung der neuen PCI DSS 4.0-Anforderungen 6.4.3 und 11.6.1 sicherzustellen.
Die meisten Organisationen verfügen nicht über eine zentrale Kontrolle und Steuerung der Skriptverwaltung. Wenn ein Drittanbieterskript auf Ihrer Site eine Sicherheitslücke aufweist und Sie sich dessen nicht bewusst sind, können Sie diese nicht patchen. Kriminelle wissen, dass viele Organisationen Schwierigkeiten haben, die Menge, den Umfang und das Ausmaß der heute in Websites eingebetteten Skripte zu verwalten, zu verfolgen und zu sichern, und sie wissen, wie sie diese Skripte zu ihrem eigenen Vorteil ausnutzen können.
Entdecken Sie weitere neue Strategien zur Betrugsbekämpfung, indem Sie den Aite-Bericht „So verhindern Sie Online-Betrug angesichts der organisierten Cyberkriminalität“ lesen und unsere Website besuchen, um mehr über die Lösungen von F5 zur Online-Betrugsprävention zu erfahren.