Es gibt verschiedene Definitionen für Zahlungsbetrug, doch kompakt ausgedrückt werden damit illegale Transaktionen erfasst, bei der Gelder zweckentfremdet oder falsche/unautorisierte Zahlungen von einem Opfer getätigt werden. Dies geschieht häufig, indem persönliche Zahlungsinformationen gestohlen oder Personen zur Preisgabe dieser Informationen verleitet werden.
In der Payments Fraud and Control Survey 2022 von AFP® gaben 71 % der befragten Unternehmen an, im Jahr 2021 Opfer von Betrugsversuchen im Zahlungsverkehr geworden zu sein – mit weltweiten Konsequenzen in Milliardenhöhe.
Kunden müssen darauf vertrauen können, dass ihr Geld in sicheren Händen ist. Einer der schwierigsten Aspekte bei der Erkennung und Bekämpfung von Betrug im Zahlungsverkehr ist allerdings die Komplexität der miteinander verknüpften Netzwerke, die dem Betrug zugrunde liegen.
Wie erkennt man Zahlungsbetrug?
Da die Angriffe aus allen Richtungen kommen können, ist ein proaktiver, koordinierter Ansatz bei der Bekämpfung von Zahlungs- und Transaktionsbetrug von entscheidender Bedeutung, insbesondere angesichts von erhöhten Risiken durch Cyberkriminalität. In unserer jährlichen Umfrage zum Stand der Finanzkriminalität wurde die Cybersicherheit in den letzten zwei Jahren als größtes Problem von Compliance-Teams genannt.
Wie aber erkennen Sie, wann ein Betrug vorliegt? Wie erkennen Sie ungewöhnliches Verhalten, das auf Betrug hindeuten könnte, und wie sicher sind Sie, dass Sie die Identität Ihrer Kunden kennen?
Arten von Zahlungsbetrug
Es gibt viele Arten von Zahlungs- bzw. Transaktionsbetrug, so etwa:
- Phishing – E-Mails oder Websites, die Personen dazu verleiten, persönliche Daten wie Kennwörter und Kreditkartennummern preiszugeben
- Identitätsdiebstahl
- Malware – diese gibt es in vielen Formen, aber speziell Ransomware nimmt immer mehr zu
- Kartenbetrug – mit digitalen Kartendaten (in der Regel bei Online-Käufen) und mit physischen Karten
- Betrug im Zusammenhang mit Geldkurieren – oft unwissende Opfer, die zum Waschen von Erlösen aus Online-Betrügereien benutzt werden (in der Regel in Betrugsfällen mit autorisierten Push-Zahlungen – siehe unten)
Im Vereinigten Königreich ist der Betrug mit autorisierten Push-Zahlungen (APP) in der ersten Jahreshälfte 2021 um 71 % gestiegen, wobei der erbeutete Betrag zum ersten Mal die Verluste durch Kartenbetrug überstieg. Bei APP-Betrug wird ein Kunde dazu verleitet, eine Zahlung auf ein von einem Kriminellen kontrolliertes Konto zu autorisieren oder persönliche Daten und Kennwörter preiszugeben, z. B. durch betrügerische Anrufe, Textnachrichten und E-Mails, gefälschte Websites und Beiträge in sozialen Netzwerken.
Risiken des Online-Zahlungsbetrugs
Eine der lukrativsten Arten des Zahlungsbetrugs ist Advanced Persistent Threat (APT), bei dem ausgeklügelte Hacking-Techniken eingesetzt werden, um unbefugten Zugang zu Computernetzwerken zu erhalten und Daten zu stehlen.
APTs werden häufig von staatlicher Seite gefördert und sind laut dem European Payments Council (EPC) „als potenziell hohes Risiko nicht nur für Zahlungsinfrastrukturen, sondern auch für sämtliche netzwerkbezogenen Zahlungsökosysteme zu betrachten“.
(Distributed) Denial of Service (D)DoS) ist eine Form des Online-Zahlungsbetrugs, bei der Kriminelle darauf abzielen, Rechner oder Netzwerke für die Nutzer unerreichbar zu machen, um Dienste zu stören, häufig durch Botnets (gekaperte Computernetzwerke, die von einem Hacker kontrolliert werden). Die Zahl der (D)DoS-Angriffe ist nach wie vor hoch, und das EPC warnt vor einem systematischen Angriff auf den Finanzsektor.
Warnsignale für Zahlungsbetrug
Eine große Herausforderung bei der Betrugsbekämpfung im Zahlungsverkehr besteht darin, die Unterschiede zwischen guten und schlechten Transaktionen zu verstehen und zu entscheiden, wie automatische Betrugserkennungslösungen kalibriert werden müssen, um relevante Informationen zu erfassen.
Während manche Abweichungen von einem typischen Kundenprofil einfach zu erkennen sein sollten – Lieferadressen, die zu weit von einer IP-Adresse entfernt sind, widersprüchliche Informationen etc. – werden Betrüger immer raffinierter und agieren immer umsichtiger, wenn es darum geht, Lücken zu schließen. Das bedeutet, dass Unternehmen wachsam sein und mit der gebotenen Sorgfalt auf Diskrepanzen achten müssen.
Zu den Risiken des Zahlungsbetrugs, die es zu beachten gilt, gehören:
- Phishing – dringende oder bedrohliche Ausdrucksweise, Anfragen für vertrauliche Informationen, widersprüchliche Informationen, verdächtige Anhänge, unprofessionelles Design, URLs/E-Mail-Adressen, die nicht übereinstimmen, der Empfänger wird nicht mit Namen angesprochen
- Identitätsdiebstahl – unerklärliche Abbuchungen oder Abhebungen, zur Identitätsfeststellung vorgelegte Dokumente scheinen verändert oder gefälscht zu sein, verdächtige oder widersprüchliche Angaben, Überschreitung des Kreditlimits
- Malware – Software verlangt plötzlich, dass Informationen aktualisiert werden; eine Warnmeldung weist darauf hin, dass ein Gerät mit Viren verseucht ist; es erscheinen plötzlich Angebote zum Scannen des Systems auf dem Bildschirm
- Betrug im Zusammenhang mit Kartenzahlungen – umfangreiche Bestellungen oder Bestellung mehrerer Artikel desselben Typs, ungewöhnliche grenzüberschreitende Transaktionen, hohe Bargeldvorschüsse oder Kauf von Luxusgütern, sporadische Aktivitätsspitzen
- APT – gezielte Spear-Phishing-E-Mails, seltsame Logins, verschobene Informationen, weit verbreitete Backdoor-Trojaner, Datensammlung für den Export
- (D)Dos-Angriffe – träger Dateizugriff, eine übermäßige Menge an Spam-E-Mails, Probleme beim Zugriff auf Websites, Unterbrechung der Internetverbindung
Wie lassen sich Betrugsrisiken im Online-Zahlungsverkehr eindämmen?
Der Schlüssel zu einem robusten Programm zur Risikominderung bei Zahlungsbetrug ist ein risikobasierter Ansatz, der auf Kundenprofilen, Sicherheit und Zahlungsströmen aufbaut – zusammen mit der Sensibilisierung von Mitarbeitern und Kunden für Warnsignale.
Proaktive KYC– und Due-Diligence-Prüfungen können Unternehmen dabei helfen, ihre Kunden besser zu verstehen, aber der Umgang mit Betrugsrisiken im Zahlungsverkehr muss in jeder Phase der Customer Journey und in allen Bereichen des Unternehmens stattfinden, vom Backend bis zum Kundenkontakt.
Insbesondere im Online-Zahlungsverkehr entwickeln sich Betrugsfälle dynamisch und fortlaufend weiter, da Kriminelle auf neue Technologien und Techniken zurückgreifen, um Kontrollen zu umgehen – und Unternehmen müssen in der Lage sein, diese veränderten Taktiken präzise zu erkennen.
Neben der Verschlüsselung von Transaktionen, dem regelmäßigen Ändern von Anmeldedaten und dem Einsatz aktueller Software gibt es noch weitere Maßnahmen, die Unternehmen in Betracht ziehen sollten:
- Nutzen Sie beim Onboarding biometrische Verfahren und fortschrittliche Lösungen zur Identitätsüberprüfung (IDV). Gesicht, Stimme, Fingerabdrücke oder sogar die Venen in Händen oder Augen können eine starke Authentifizierung ermöglichen. Prüfen Sie jedoch, ob die Technologie benutzerfreundlich und kosteneffizient ist und in den allgemeinen KYC-Prozess integriert werden kann.
- Dynamische Lösungen zum Transaktions-Monitoring erlauben die Überwachung von Risiken in Echtzeit und bieten ein praktisches Fallmanagement, das Analysten hilft, die risikoreichsten Warnungen zu priorisieren.
- Obwohl viele Unternehmen die Automatisierung ihrer Prozesse durch maschinelles Lernen vorantreiben, nutzen sie es nicht optimal, um Betrug im Zahlungsverkehr aufzudecken und zu bekämpfen. Zu den Vorteilen der Technik gehören die Reduzierung von Betriebskosten und False Positives sowie die schnelle Verarbeitung großer Datensätze, sodass Betrugsfälle früher erkannt werden können.
- Teilen Sie Betrugsinformationen und Informationen zu Vorfällen mit anderen Unternehmen sowie mit Aufsichtsbehörden.
- Führen Sie regelmäßige Schulungen durch. Europol bietet beispielsweise Kurse zur Forensik von Zahlungskartenbetrug. Behandelt werden unter anderem die Untersuchung von Skimming-Geräten, logische Angriffe auf Geldautomaten und Malware-Angriffe.
Success Story zum Thema Zahlungsbetrug: RealPage
RealPage verwaltet eine mehr als 19 Millionen Immobilien und verarbeitet jährlich bis zu 100 Millionen Transaktionen. Als Zahlungsanbieter ist das Unternehmen gesetzlich verpflichtet, Transaktionen über sein Zahlungssystem zu überwachen, um sicherzustellen, dass Hausverwaltungen und Bewohner wirksam vor illegalen Aktivitäten wie Zahlungsbetrug geschützt sind.
Hierzu benötigte man eine Lösung zum Transaktions-Monitoring, die in der Lage ist, neue Betrugstypologien nahezu in Echtzeit zu erkennen. Entscheidend war die Möglichkeit, eigene, spezifische Szenarien zu entwickeln, die von traditionellen Finanzinstituten nicht genutzt werden. Ein effektives Fallmanagement war ebenfalls von entscheidender Bedeutung, um den Analysten eine effiziente Verwaltung und Einteilung der Warnmeldungen zu ermöglichen.
Lesen Sie die vollständige Success Story von RealPage.
Jetzt Demo anfordern
Mit der weltweit einzigen Echtzeit-Risikodatenbank für Personen und Unternehmen sichern sich mehr als 1.000 führende Unternehmen umfassend ab.
Ursprünglich veröffentlicht 08 Dezember 2022, aktualisiert am 08 Dezember 2022
Disclaimer: This is for general information only. The information presented does not constitute legal advice. ComplyAdvantage accepts no responsibility for any information contained herein and disclaims and excludes any liability in respect of the contents or for action taken based on this information.
Copyright © 2023 IVXS UK Limited (trading as ComplyAdvantage).