BETRUGSPRÄVENTION IM M-COMMERCE: SIND SIE FÜR DIE ZUKUNFT GERÜSTET? Ein White Paper von Chase Paymentech
Auf Europas zweitgrößtem E-Commerce- Markt wenden sich die Kunden weiterhin mit erstaunlicher Geschwindigkeit dem M-Commerce zu. 2013 erreichte der Warenumsatz über mobile Tablets oder Smartphones in Deutschland 5 Milliarden Euro, das sind fast 13 Prozent der gesamten E-Commerce-Umsätze 1. Dies könnte eine ausgezeichnete Nachricht für Internethändler sein, aber das Wachstum beim M-Commerce bietet auch attraktive neue Chancen für ambitionierte Betrüger. 2
chasepaymentech.de Betrugsprävention im M-Commerce: Sind Sie für die Zukunft gerüstet? Das mobile Geschäft mag als Vertriebsweg im Einzelhandel noch in den Anfängen stecken, aber kluge Internethändler integrieren das M-Commerce schon heute in ihre bestehende Strategie zur Betrugsprävention. Gefahr erkannt, Gefahr gebannt! Es ist niemals zu früh, um Betrüger zu stoppen, die darauf aus sind, sich neue Kanäle zu erschließen. Dieses White Paper beleuchtet acht Aspekte der Betrugsprävention und bietet eine nützliche Checkliste für Internethändler, wenn sie Strategien, Methoden und Instrumente entwickeln, um sich effektiv gegen betrügerische mobile Transaktionen zu wehren. 3
GEHEN SIE STRATEGISCH GEGEN MOBILEN BETRUG VOR Betrüger wenden im E-Commerce und M-Commerce im Wesentlichen ähnliche Taktiken an. Die Höhe des Risikos und die Betrugsquoten können sich jedoch zwischen den Standorten unterscheiden, da Betrüger im Allgemeinen den Kanal oder die Kombination von Kanälen ins Visier nehmen, die ihnen am schwächsten erscheint. 1: SOLLTEN SIE BETRUG BEI MOBILEN ZAHLUNGEN STÄRKER BERÜCKSICHTIGEN? Berichte legen die Vermutung nahe, dass die Betrugsquoten beim M-Commerce insgesamt tendenziell höher sind als bei anderen Distanzzahlungen und diese Quoten sind im Steigen begriffen 2. Dies spiegelt sich in einer wachsenden Anzahl von Einzelhändlern und insbesondere großen Einzelhändlern wider, die den mobilen Kanal für risikoreicher als das Standard-E-Commerce halten 3. Jede Form der Distanzzahlung hat ihre eigenen Merkmale und Risiken. Beispielsweise können bei mobilen Geräten die Sicherheitsvorkehrungen fehlen, die bei Desktopcomputern und Laptops als selbstverständlich angesehen werden, wie etwa Antiviren- und Anti-Malware-Software. Angesichts eines Anstiegs von mobiler Malware um 400 Prozent im Jahr 2012 4 können Internethändler davon ausgehen, dass der mobile Betrug weiter zunehmen wird, forciert durch neue Betrugsversuche im Bereich Identitätsdiebstahl und Kontoübernahmen. 2: WELCHE AUSSAGEN LASSEN SICH ÜBER EINE MOBILE TRANSAKTION TREFFEN? Mehr als die Hälfte der Einzelhändler halten es für sehr wichtig, mobile Transaktionen zu erkennen, allerdings sind nur 16 Prozent in der Lage, die Art des verwendeten mobilen Geräts festzustellen 5. Internethändler, die zusätzliche Daten über die Quelle der Transaktion erfassen können, sind möglicherweise deutlich im Vorteil. Zum Beispiel könnte eine Analyse des mobilen Betriebssystems dazu beitragen, ein höheres Risiko zu identifizieren beim Vergleich des Betriebssystems von Android mit der Apple ios Plattform dürften sich unterschiedliche Risikoprofile ergeben. Internethändler sollten auch auf Betrüger achten, die versuchen, einer Transaktion den Anschein zu geben, als käme sie von einem mobilen Gerät, obwohl sie von einem Desktopcomputer aus vorgenommen wurde (Emulation). Dies ist ein Versuch der Betrüger, die Unterschiede in der Konfiguration separater Betrugsbekämpfungssysteme für das M-Commerce und das E-Commerce zu nutzen. Die Annahme dabei ist, dass die Kontrollen zur Verifizierung mobiler Transaktionen eventuell weniger ausgereift sind. 3: HABEN SIE DEN MOBILEN BETRUG IN IHRER MULTI-CHANNEL-STRATEGIE BERÜCKSICHTIGT? Kunden nutzen häufig mehrere Geräte, wenn sie online einkaufen und Einzelhändler können sicher sein, dass Betrüger das Gleiche tun, wenn sie versuchen zu betrügen. Manche Betrüger verwenden mobile Malware oder gestohlene Zugangsdaten, um auf das Konto eines Kunden zuzugreifen und tätigen dann wiederholte betrügerische Einkäufe über unterschiedliche Kanäle. Alternativ können sie mehrere Kanäle zusammen für einen einzelnen Betrugsangriff nutzen, beispielsweise indem sie eine betrügerische E-Commerce-Bestellung aufgeben und anschließend das Callcenter kontaktieren, um die Lieferadresse zu ändern. Laut einer von Chase Paymentech durchgeführten Umfrage analysieren zwei Drittel der befragten Internethändler die Betrugsquoten von mobilen Apps und etwa die Hälfte verfolgt Betrugsfälle von Websites, die für eine mobile Nutzung optimiert sind. Allerdings können gerade einmal 21 Prozent der befragten Einzelhändler Betrugsfälle bei allen Formen der Distanzzahlung, die sie nutzen, überwachen 6. Durch die Verknüpfung von Transaktionsdaten aus mehreren Kanälen sind Internethändler möglicherweise in der Lage, ein umfassenderes Kundenprofil zu erstellen. Dies kann dazu beitragen, durch ein besseres Verständnis echter Multi-Channel-Verhaltensweisen Betrugsfälle unter Nutzung mehrerer Kanäle zu identifizieren und die Genauigkeit von Regeln zur Erkennung von Betrug zu verbessern. 4
chasepaymentech.de Betrugsprävention im M-Commerce: Sind Sie für die Zukunft gerüstet? PASSEN SIE IHRE BESTEHENDE BETRUGSPRÄVENTION AN Es wird empfohlen, dass Internethändler ein einziges, integriertes Betrugspräventionssystem nutzen, um alle Transaktionen anhand einheitlicher Richtlinien zu bearbeiten. Allerdings sollten diese für die speziellen Eigenschaften der einzelnen Formen der Distanzzahlung angepasst werden. 4: KÖNNEN SIE IHRE ECHTEN MOBILEN KUNDEN GENAU IDENTIFIZIEREN? Um ungewöhnliche oder verdächtige Aktivitäten feststellen zu können, müssen Internethändler zuerst nachvollziehen, wie die Verhaltensmuster echter Kunden in der Regel aussehen. Die Art und Weise, wie Kunden mithilfe ihres Tablets oder Smartphones einkaufen, kann sich von ihrem Vorgehen am Laptop oder Desktopcomputer unterscheiden. Zum Beispiel könnten Einzelhändler davon ausgehen, dass mobile Kunden: häufiger abends einkaufen ihr Gerät gemeinsam mit anderen Familienmitgliedern nutzen, was zu mehreren Einkaufsprofilen führt mehrere Geräte, zum Beispiel ein Smartphone, Tablet und einen Computer mit derselben Karte nutzen Eine Verhaltensweise, die auf einem Gerät eine Warnmeldung auslösen könnte, ist gegebenenfalls in einer anderen Situation unverdächtig. Internethändler könnten es hilfreich finden, einen Einblick in mobile Einkaufsmuster zu erhalten, um ihre bestehenden Regeln zur Erkennung von Betrug zu verfeinern. Dies würde die Genauigkeit ihrer Betrugserkennungssysteme verbessern und dadurch gleichzeitig verhindern, dass gute Bestellungen unnötigerweise verzögert oder überprüft werden. 5: NUTZEN SIE SPEZIELLE PROZESSE, UM DAS RISIKO FÜR MOBILEN BETRUG EINZUDÄMMEN? Etwa 31 Prozent der von Chase Paymentech befragten deutschen Einzelhändler glauben, dass ihre bestehenden Instrumente zur Betrugsprävention bei Distanzzahlungen ausreichend flexibel sind, um ihren Anforderungen auf allen Distanzzahlungskanälen gerecht zu werden, weitere 41 Prozent gehen jedoch davon aus, dass sie nur für einige Kanäle ausreichend flexibel sind 7. Gleichzeitig wächst die Erkenntnis, dass das M-Commerce spezielle oder zusätzliche Tools erfordert 8. Der Schlüssel zu einer effektiven Betrugsprävention über mehrere Kanäle hinweg heißt Flexibilität. Es müssen einige Risikoentscheidungen getroffen werden, die für alle Transaktionen gelten. Diese müssen jedoch so flexibel sein, dass die Entscheidung, eine Transaktion zu genehmigen, abzulehnen oder zu überprüfen, auf der Grundlage der Art des Kanals, unterschiedlicher Einkaufsverhaltensweisen und sich entwickelnder Betrugstaktiken und Risiken gefällt werden kann. 6: WIE KÖNNEN SIE IHRE KUNDEN IN BEZUG AUF DIE SICHERHEIT BERUHIGEN? Datenschutzverletzungen scheinen zuzunehmen und werden immer häufiger in den Medien thematisiert. Gerade deshalb ist es außerordentlich wichtig, den Kunden ein Gefühl der Sicherheit zu vermitteln 9. Ein Weg, wie Internethändler Kunden in Bezug auf Sicherheit beruhigen können, besteht darin, die Zahlungsseiten zu optimieren, damit sie auf mobilen Geräten korrekt angezeigt werden. Chase Paymentech bietet eine mobile Version der Hosted Payment Page, die sich dynamisch an das Gerät anpasst, auf dem sie genutzt wird. Eine eigene mobile App als Möglichkeit der Betrugsprävention. Ein Bericht kommt zu dem Schluss, dass das Betrugsrisiko auf mobilen Websites höher ist als bei nativen Apps 10, da Apps weniger Schwachstellen als mobile Webbrowser haben. Einige Zahlungsanbieter verschlüsseln alle Zahlungsdaten noch innerhalb der nativen App, bevor sie zur Verarbeitung weitergeleitet werden. Dadurch kann den Kunden zusätzlicher Schutz geboten werden, ohne dass iframes oder separate Fenster erforderlich sind. 5
VERBESSERTE FRAUD TOOLS UND ANALYSEN FÜR RISIKEN IM M-COMMERCE Internethändler sollten sicherstellen, dass alle ihre Tools zur Betrugserkennung auf dem aktuellen Stand sind, um den speziellen Herausforderungen bei der Erkennung von mobilem Betrug gerecht zu werden. 7: VERLASSEN SIE SICH AUF IP-GEOLOKATION, UM MOBILEN BETRUG AUFZUDECKEN? IP Geolokation ist die gängigste Methode, um den physischen Standort eines E-Commerce-Kunden zu ermitteln und wenn M-Commerce-Zahlungen von zu Hause aus oder von einer anderen W-LAN-Verbindung aus vorgenommen werden, kann die IP-Adresse immer noch als wichtiger Risikoparameter genutzt werden. Sobald allerdings ein mobiles Gerät nicht mehr an einen festen Standort angeschlossen ist, wird es unmöglich, die IP-Adresse zu verfolgen, weil Mobilfunkbetreiber eine Reihe unterschiedlicher Internetadressen für ein und dasselbe Gerät benutzen. Internethändler müssen in diesem Fall unterschiedliche Tools einsetzen, um Betrug im M-Commerce aufzudecken und zu verhindern. Die ID-Authentifizierung (auch bekannt als Device Fingerprinting oder Geräteidentifikation) ist ein solches Instrument. Es weist jedem neuen Gerät eine eigene Kennung zu, die auf der Gesamtheit der Einstellungen und Parameter eines Endgerätes beruht, zum Beispiel, ob Flash aktiviert ist. Wenn das Gerät einmal identifiziert wurde, können alle Versuche, dasselbe Gerät für mehrere betrügerische Transaktionen zu nutzen, erkannt und blockiert werden. Da jedoch die ID-Authentifizierung darauf beruht, einen Transaktionsverlauf für ein bestimmtes Gerät zu erstellen, ist es nicht möglich, betrügerische Transaktionen von Geräten zu erkennen, die erstmalig identifiziert werden. Dies zeigt, wie wichtig es ist, eine Kombination von Fraud Tools (Instrumenten zur Betrugserkennung) einzusetzen und sich nicht auf eine einzelne Technik oder Herangehensweise zu verlassen. 8: WIE HÄUFIG ANALYSIEREN SIE IHRE RÜCKBELASTUNGEN NACH KANÄLEN? Betrug kann eine der Hauptursachen für Rückbelastungen sein. Laut unserer Umfrage stammen die meisten Rückbelastungen immer noch von traditionellen Webseiten (42 Prozent), gefolgt von Websites, die für eine mobile Nutzung optimiert sind (24 Prozent) und mobilen Apps (26 Prozent) 11. Eine Analyse der Rückbelastungen kann wertvolle Information über mobilen Betrug liefern, deshalb stellt Chase Paymentech allen Kunden spezielle Echtzeit-Betrugsberichte zur Verfügung, die sich nach Kanälen aufschlüsseln lassen. Dies kann Internethändlern helfen, potenzielle Schwächen zu erkennen und die Parameter der Betrugserkennung zu verfeinern. Dessen ungeachtet nutzen gegenwärtig nur 38 Prozent der Händler ihre Daten zum Zahlungsverhalten, um Betrug nach Vertriebskanälen zu identifizieren 12. 6
chasepaymentech.de Betrugsprävention im M-Commerce: Sind Sie für die Zukunft gerüstet? SORGEN SIE FÜR DIE RICHTIGE BALANCE ZWISCHEN SICHERHEIT UND KUNDENERFAHRUNG Keine Diskussion über Fraud Tools wäre vollständig ohne Berücksichtigung der Auswirkungen, die die Maßnahmen zur Betrugsprävention auf die Kundenzufriedenheit haben, insbesondere da mobile Kunden hohe Erwartungen an eine schnelle, einfache und bequeme Zahlungsabwicklung haben. Auch wenn Chase Paymentech zum Beispiel die Integration von 3-D Secure in den mobilen Zahlungsprozess ermöglicht, legt noch immer die Bank des Karteninhabers fest, wie die Anzeige erfolgt. Da 3-D Secure nicht in der Lage ist, die Art des Geräts zu erkennen, das für die Zahlung verwendet wird, ist die Anzeige oft nicht für mobile Bildschirme optimiert, was für mobile Kunden frustrierend sein kann. Da 85 Prozent der M-Commerce-Umsätze über ein Tablet getätigt werden 13, sollte es jedoch möglich sein, 3-D Secure in den meisten Fällen ohne Auswirkungen auf die Konversion anzuzeigen. Allerdings sollten Internethändler die Konversionsraten im Auge behalten und die Parameter der Betrugsprävention anpassen, wenn sich bestimmte Maßnahmen negativ auswirken. CHASE PAYMENTECHS HERANGEHENSWEISE AN BETRUGSPRÄVENTION Jedes Unternehmen hat seine eigene Methode zur Betrugsprävention, die von der jeweiligen Branche, den Produkten, den Kundenerwartungen und der Risikobereitschaft abhängig ist. Deshalb favorisieren wir, wenn wir unsere Kunden zum Thema Betrugsprävention und Datensicherheit beraten, einen individuellen, flexiblen und skalierbaren Ansatz, der Händlern eine Lösung bietet, die mit den Geschäftsbedürfnissen wachsen kann. Unsere Dynamic Hosted Payment Seite und die Zahlungsabwicklung innerhalb der App bieten eine sichere und verschlüsselte Verbindung zwischen unserem Payment-Gateway und Websites, die für eine mobile Nutzung optimiert wurden, beziehungsweise nativen Apps. Zusätzlich bieten wir Ihnen mit unseren Safetech SM Fraud Tools einen Echtzeit-Schutz vor aktuellen und zukünftigen Betrugsmethoden. Unser Online-Zahlungsportal bietet Ihnen detaillierte Berichte zu Betrugsfällen und Rückbelastungen, die sich nach mobilen Kanälen aufschlüsseln lassen. WENN SIE MEHR ÜBER BETRUGSPRÄVENTION IM E-COMMERCE ERFAHREN MÖCHTEN, KONTAKTIEREN SIE UNS BITTE UNTER DER RUFNUMMER: 0800 724 0557 oder besuchen Sie www.chasepaymentech.de 7
Chase Paymentech, der weltweite Zahlungsdienstleister und Acquirer von JPMorgan Chase & Co. (NYSE: JPM), ist ein führender Anbieter von Zahlungs-, Betrugs- und Datenschutzlösungen und wickelt Ihre Transaktionen in mehr als 130 Währungen ab. Unsere proprietären Plattformen ermöglichen integrierte Lösungen für Zahlungen mit allen renommierten Kredit- und Debitkarten sowie mobile Zahlungsoptionen. Chase Paymentech kombiniert in einzigartiger Weise bewährte Zahlungstechnologien und besten Kundenservice, um einen messbaren Mehrwert für die E-Commerce-Branche zu schaffen. 2013 verarbeitete Chase Paymentech 35,6 Milliarden Transaktionen mit einem Wert von 750,1 Milliarden Dollar. Weitere Informationen stehen Ihnen unter www.chasepaymentech.de zur Verfügung Quellenangaben Chase Paymentech Europe Limited mit dem Firmennamen Chase Paymentech ist eine Tochtergesellschaft von JPMorgan Chase Bank, N.A. und wird von der Irischen Zentralbank reguliert. Eingetragener Firmensitz: EastPoint Plaza, Second Floor, EastPoint Business Park, Dublin 3, Irland. Registriert in Irland bei der CRO unter Nr. 474128. Vorstand: Shane Fitzpatrick, Kevin Moran, Daniel Charron (USA). Die hierin enthaltenen Informationen oder jegliche beigefügten Dokumente berücksichtigen nicht die individuellen Umstände, Ziele oder Bedürfnisse von Kunden und sind nicht als Empfehlung eines bestimmten Produkts oder einer bestimmten Strategie an bestimmte Kunden gedacht, und die Empfänger des herunterladbaren Dokuments sollten ihre eigenen unabhängigen Entscheidungen treffen. Die Informationen des vorliegenden Dokuments stammen aus Quellen, die als zuverlässig gelten, aber weder Chase Paymentech Europe Limited noch seine verbundenen Unternehmen garantieren für die Vollständigkeit oder Genauigkeit der darin enthaltenen Angaben. Dieses herunterladbare Dokument und die darin enthaltenen Informationen dürfen - ganz oder teilweise - nur für den von Chase Paymentech Europe Limited genehmigten Zweck vervielfältigt, veröffentlicht oder benutzt werden. 2014, Chase Paymentech Europe Limited. Alle Rechte vorbehalten. 1 IMRG/Capgemini: Quarterly Benchmarking (Q4 2013/4) 2 Cybersource: Mobile Payments Management Trends 2012-2013 3 Kount: Mobile Payments & Fraud Survey (2014) - Seite 43 4 Trustwave: Global Security Report 2013 5 Kount: Mobile Payments & Fraud Survey (2014) Seite 51 6 Dynamic Markets/Chase Paymentech: Online Retail Challenges: 2014 (März 2014) Seite 69 3.1.14 Channels through which CNP fraud rates can be reviewed 7 Dynamic Markets/Chase Paymentech: Online Retail Challenges: 2014 (März 2014) Seite 74 3.1.16 Ability of fraud tools to accommodate evolution of channels 8 Kount: Mobile Payments & Fraud Survey (2014) Seite 45 9 Dynamic Markets/Chase Paymentech: Putting Customers First? (März 2013) Seite 77 3.2.5 Devices consumers have security concerns about when paying online 10 Iovation: 2014 Mobile Fraud Trends & Impact Seite 10 11 Dynamic Markets/Chase Paymentech: Online Retail Challenges: 2014 (März 2014) Seite 73 3.1.15 Chargebacks 12 Dynamic Markets/Chase Paymentech: Putting Customers First? (März 2013) Seite 53 3.1.9 Use of payment history data 13 IMRG/CapGemini: e-retail Sales Index (September 2013)