BLOG

Schutz von Treueprogrammen vor Betrug: 5 wichtige Tipps

Angel Grant Miniaturbild
Angel-Grant - Ein Leben ohne Gnade
Veröffentlicht am 15. Juli 2022

Viele von uns beginnen endlich mit der Planung ihrer lang ersehnten Urlaubsreisen und Urlaube – möglicherweise die erste Gelegenheit für einen richtigen Kurzurlaub seit Beginn der Pandemie. Möglicherweise möchten Sie die seit langem ungenutzten Flugmeilen oder Hotelpunkte einlösen, die in Ihren Treueprogrammen Staub ansetzen. Stellen Sie sich Ihre Überraschung vor, wenn Sie feststellen, dass Ihre Treuepunkte von Cyberkriminellen abgezweigt wurden, die Ihre Treuekonten betrogen oder kompromittiert haben.

Treuepunkteprogramme gibt es schon seit einiger Zeit und sie sind ein großartiges Instrument zur Kundengewinnung und -bindung. Derzeit beobachten wir jedoch einen Anstieg der Zahl von Kriminellen, die diese Programme gezielt ausnutzen, um Konten zu kompromittieren. Der Grund? Es gibt eine MENGE ungenutzter Treuepunkte: Laut der Loyalty Security Association gelten allein in den USA 45 % der Konten als inaktiv. Das bedeutet, dass auf den Konten der Mitglieder ungenutzte Punkte im Wert von etwa 48 Billionen US-Dollar liegen, die größtenteils unbeaufsichtigt und möglicherweise vergessen sind. Für Cyberkriminelle ist das ein gefundenes Fressen, denn diese vernachlässigten Punkte lassen sich leicht kompromittieren und zu Geld machen, um sich persönlich zu bereichern.

Warum Kriminelle Treueprogramme ins Visier nehmen

Für Cyberkriminelle ist der Missbrauch von Treuepunktekonten ein Kinderspiel. Obwohl auf diesen Konten Werte von mehreren Tausend Dollar gespeichert sein können, überwachen die meisten Verbraucher sie nicht so sorgfältig wie die Bankkonten oder Finanzinstitute. Viele Konten sind durch ein einfaches Benutzernamen-/Passwort-Paar geschützt. Da viele Verbraucher Passwörter wiederverwenden, ist es für Kriminelle, die gestohlene Zugangsdaten verwenden, relativ einfach, mithilfe automatisierter Bot-Angriffe Credential Stuffing auf Treuekonten durchzuführen. Sobald die Kontrolle über die Punkte bei den Kriminellen liegt, können diese diese auszahlen, gegen nicht nachverfolgbare Gegenstände wie Geschenkkarten eintauschen oder die Punkte im Darknet gegen Geldwert verkaufen – und das alles mit geringem Risiko für Betrüger. Darüber hinaus wissen Kriminelle, dass die Kompromittierung von Treuekonten nicht nur kurzfristige finanzielle Gewinne bringen kann, sondern auch den Zugriff auf Daten und Informationen für weitere betrügerische Aktivitäten ermöglicht, darunter Identitätsdiebstahl unter Verwendung personenbezogener Daten, Reise- und Aufenthaltsdaten, Einkaufsmuster und mehr.

Tatsächlich sind es nicht nur Cyberkriminelle, vor denen Sie sich in Acht nehmen müssen. Hier sind drei Arten von Treueprogrammbetrug, vor denen Sie auf der Hut sein sollten:

  • Der Double Dip: Dies kommt vor, wenn legitime Mitglieder das Programm durch „Double Dipping“ betrügen, d. h. indem sie Punkte gleichzeitig telefonisch und online einlösen. Oder Mitglieder können ihre Treuekontonummer mit einem Einkauf verknüpfen, den sie nicht tätigen, und so auf betrügerische Weise Punkte sammeln. Mitglieder können auch Einkäufe tätigen, um große Mengen an Bonuspunkten zu sammeln und die Transaktion dann abbrechen – jedoch nicht, bevor sie die Punkte gegen Bargeldprämien eingelöst haben. Darüber hinaus können berechtigte Verbraucher und Mitglieder eines Treueprogramms Richtlinien oder Geschäftslogik missbrauchen, indem sie Schlupflöcher in Programmen ausnutzen. Beispiele hierfür sind etwa das Teilen von Coupons oder Aktionscodes, das Verletzen von Händlerrichtlinien oder die Anmeldung für mehrere Kreditkarten, die mit demselben Prämienprogramm verknüpft sind, um unrechtmäßig Prämien zu erhalten.
  • Der Insider-Job: Dies liegt dann vor, wenn Insider oder Mitarbeiter Ihrer Organisation am Betrug beteiligt sind. Sie können das Treueprogramm manipulieren, indem sie beispielsweise ungenutzte oder nicht eingelöste Punkte einem anderen Mitgliedskonto zuweisen oder Punkte betrügerisch zwischen Konten übertragen.
  • Der Cyberkriminelle: Die mit Abstand größte Quelle für Betrug im Zusammenhang mit Treueprogrammen ist die Internetkriminalität. Die am weitesten verbreitete Angriffsmethode ist die Übernahme eines Kontos (Account Takeover, ATO) über automatisierte Tools wie Credential Stuffing, Formjacking oder einfaches Phishing, um Zugriff auf die gesammelten Punkte und gespeicherten Kreditkarteninformationen zu erhalten. Beim Credential Stuffing testet ein böswilliger Akteur eine große Anzahl kompromittierter Anmeldeinformationen (z. B. Benutzernamen und Passwörter, die auf einer anderen Site erbeutet wurden) mit den Anmeldedaten einer anderen Site. Und weil die Leute ihre Passwörter für mehrere Konten wiederverwenden, können diese Taktiken beim Entschlüsseln von Treuekonten erstaunlich erfolgreich sein, sodass Angreifer durch Ändern von Benutzernamen und Passwörtern die Kontrolle über das Konto übernehmen können. Beim Formjacking gibt es für Hacker neue Möglichkeiten, Konten zu übernehmen. Dabei werden Webformulare von Treueprogrammen gekapert, um Daten zu sammeln und zu übermitteln, während Verbraucher persönliche Informationen eingeben. Dadurch erhält der Angreifer die Schlüssel zum Konto und kann die Punkte nach Belieben plündern oder das Konto für andere schändliche Zwecke verwenden.

Treuepunkteprogramme verteidigen und schützen

Der Schutz Ihrer Kunden und Ihres Treueprogramms vor betrügerischen Aktivitäten ist von entscheidender Bedeutung. Wenn diese nicht entsprechend gehandhabt werden, kann dies das Vertrauen der Verbraucher und den Ruf der Marke erheblich schädigen.

Allerdings sind herkömmliche Cyberabwehrmaßnahmen nicht mehr wirksam genug, um ausgeklügelte Angriffe auf Treueprogramme abzuwehren. Veraltete Schutzmaßnahmen und unnötig restriktive Richtlinien, die an kurze Sitzungstimeouts, Geoblocking, Multi-Faktor-Authentifizierung und die Verpflichtung der Mitglieder, CAPTCHAs zu lösen, geknüpft sind, können Benutzer frustrieren und lassen sich leicht umgehen.

Mit einem Aufwand von nur wenigen Dollar können Angreifer kostengünstige CAPTCHA-Lösungsdienste integrieren, um grundlegende Bot-Abwehrmechanismen zu umgehen, und genauere Listen mit Anmeldeinformationen für bestimmte geografische Ziele erwerben. Kriminelle Organisationen können ihre Taktiken und Methoden schnell ändern, wenn Verteidiger versuchen, ihre Aktivitäten zu verhindern. Und den Angreifern immer einen Schritt voraus zu sein, wird ohne Spezialtools und engagierte Sicherheitsteams zu einem fast unüberwindbaren Problem.​

5 Best Practices zum Schutz Ihres Treueprogramms vor Betrug

Treueprogramme belohnen die wertvollsten Kunden Ihres Unternehmens und helfen Ihnen, stärkere Beziehungen zu Ihren Kunden aufzubauen. Angesichts zunehmender Angriffe ist der Schutz dieser Programme und der damit verbundenen Kundenvorteile wichtiger denn je. Die folgenden fünf Best Practices können Ihnen dabei helfen, sich auf die häufigsten Angriffsszenarien zu konzentrieren, ohne legitime Mitglieder übermäßig mit der Überwachung oder dem Einlösen von Punkten zu belasten.

  1. Verhindern Sie Betrug mit neuen Konten. Beim Neukontenbetrug erstellt ein Betrüger – oft in großem Umfang – Treuekonten unter Verwendung gestohlener, synthetischer oder anderweitig falscher Identitäten. Kriminelle können diese betrügerischen Konten nutzen, um Punkte zu sammeln und weiterzuverkaufen sowie Einlöseprogramme zu missbrauchen. Stellen Sie sicher, dass Ihre Cyber-Verteidigungslösung erkennen kann, wenn Angreifer versuchen, mithilfe automatisierter Tools oder ausgefeilter manueller Techniken mehrere gefälschte Konten zu erstellen.
  2. Mildern Sie Versuche zur Kontoübernahme. Sorgen Sie dafür, dass Ihre Abwehrmaßnahmen die Übernahme von Konten durch Kriminelle erkennen können, die Punkte stehlen oder gespeicherte persönliche Kundendaten ausnutzen möchten. Ihre Abwehrmaßnahmen müssen sich an veränderte Angriffsmuster anpassen und in Echtzeit umrüsten können. Überwachen Sie den Datenverkehr von Treueprogrammen, um Eingabemuster zu verstehen und mithilfe von Telemetriesignalen anormales Verhalten zu erkennen. So können Sie bestimmen, ob der Datenverkehr von bösartigen Bots oder Menschen stammt.
  3. Schützen Sie Auszahlungstransaktionen für Prämien. Stellen Sie sicher, dass die Einlösung von Treueprämien und Zahlungen von mit dem Konto verknüpften Kreditkarten legitim sind, indem Sie die Vertrauenswürdigkeit jeder Transaktion und der damit verbundenen Kundenidentität genau bestimmen. Schützen Sie Ihr Programm mit Tools, die künstliche Intelligenz und maschinelles Lernen zum Überwachen des Transaktionsverhaltens nutzen, und verwenden Sie adaptive Authentifizierung, die je nach dem vom Anmeldeversuch ausgehenden Risiko den geeigneten Authentifizierungsprozess auswählt. Beispielsweise können für risikoreiche Aktivitäten wie das Ändern von Passwörtern oder das Auszahlen großer Punktebeträge erhöhte Sicherheitsanforderungen erforderlich sein.  ​
  4. Überwachen Sie auf Richtlinienmissbrauch. Sorgen Sie dafür, dass Sie Vorkehrungen getroffen haben, um finanzielle Verluste durch Missbrauch oder Manipulation von Coupons und Sonderangeboten, Rabatten oder Empfehlungsprämien zu begrenzen, indem Sie das Vertrauen an jedem Interaktionspunkt bewerten.
  5. Verstehen Sie interne Bedrohungen . Treueprogramme sind auch anfällig für Bedrohungen durch Insider. Verfolgen und messen Sie unbedingt die Aktivitäten Ihres Standortpersonals, um Anomalien zu erkennen, und beschränken Sie den Zugriff der Mitarbeiter auf die Daten des Treueprogramms.

Helfen Sie Ihren Kunden, Treuepunktebetrug zu vermeiden

Schützen Sie nicht nur Ihr Treueprogramm und dessen Vermögenswerte, sondern helfen Sie den Mitgliedern Ihres Programms auch dabei, ihre Punkte und Prämien vor Betrug zu schützen, indem Sie ihnen die folgenden Tipps geben:

  • Mitglieder sollten ihre Treueprogramme genauso überwachen wie andere Finanzkonten. Treueprogramme können einen Wert von mehreren Tausend Dollar haben, Ihre Kunden sollten daher ihre Konten regelmäßig überprüfen, um sicherzustellen, dass sie nicht manipuliert wurden.
  • Profitieren Sie von erweiterten Sicherheitsoptionen. Ermutigen Sie die Mitglieder, zusätzliche Sicherheitsfunktionen wie die Multi-Faktor-Authentifizierung zu verwenden, sofern diese verfügbar sind. Jede zusätzliche Sicherheitsebene erschwert es Betrügern, ein Konto zu kompromittieren.
  • Seien Sie vorsichtig bei E-Mails und Social-Media-Posts zur Reisewerbung . Informieren Sie Ihre Kunden darüber, wie und wo Sie Werbeaktionen kommunizieren. Machen Sie ihnen klar, dass Reiseangebote, die zu gut klingen, um wahr zu sein, es wahrscheinlich auch sind. Bei unerwünschten E-Mail-Angeboten und Deals, die in ihrem Feed auftauchen, handelt es sich wahrscheinlich um Phishing-Versuche, deren Ziel der Diebstahl persönlicher Daten wie Anmeldeinformationen und Kreditkartennummern ist. Bevor Mitglieder antworten und irgendwelche Informationen bereitstellen, sollten sie die Echtheit der E-Mail-Adresse des Absenders bestätigen oder sich direkt an das Treueprogramm wenden (nicht über die erhaltene E-Mail oder den Social-Media-Beitrag), um sicherzustellen, dass das Angebot oder die Anfrage authentisch ist.  

F5 ist stolz darauf, Unternehmen beim Schutz vor Betrug mit Treueprogrammen zu unterstützen

Erfahren Sie, wie F5 weiterhin viele Organisationen vor automatisierten Angriffen und betrügerischen Aktivitäten schützt, die Marken schaden können, indem es auf Mitgliedskonten abzielt, um wertvolle Bonuspunkte und Meilen zu sammeln. Lesen Sie diese Kundengeschichte, um zu erfahren, wie Distributed Cloud Bot Defense einer großen globalen Fluggesellschaft geholfen hat, automatisierte Website-Angriffe abzuwehren, die ihre Vielfliegerkonten kompromittiert hatten.

Informieren Sie sich unter: https://www.f5.com/solutions/ecommerce, wie wir Ihnen dabei helfen können, sicherzustellen, dass Treuepunkte, Geschenkkartenwerte und andere gespeicherte Werte in den Händen Ihrer Kunden bleiben – und nicht in denen von Kriminellen.