Toni
Antonia

10. Dez 2020 · 13 min Lesezeit

Thema: Sicherheit

Scamming: Onlinebetrug erkennen und vorbeugen

Wie du dich als Händler vor Cyberangriffen und Scamming schützen kannst

Betrugsmaschen gibt es im Onlinehandel mittlerweile wie Sand am Meer – Tendenz steigend. Dabei als Händler die Übersicht zu behalten und die unterschiedlichen Taktiken zu durchschauen, ist nicht einfach. Dass man sich als Endverbraucher vor Daten- und Identitätsdiebstahl mit sicheren Passwörtern schützen und die Vertrauenswürdigkeit von Onlineshops genau prüfen sollte, ist online affinen Nutzern bewusst. Aber wie kannst du dich als Händler vor Betrug schützen und die persönlichen Daten deiner Kunden vor Cyberangriffen und Scamming schützen? In diesem Artikel zeigen wir dir, welche Methoden beim Onlinebetrug genutzt werden und wie du dagegen halten kannst.

Inhalt

  1. Scamming und Phishing
  2. Steigender Betrug im Internet
  3. Beliebte Betrugsmaschen online
    1. E-Mail-Phishing
    2. Identitätsdiebstahl
    3. Pagejacking
    4. Chargeback-Betrug
    5. Affiliate-Betrug
  4. Betrugsprävention im Onlineshop
  5. Richtiges Handeln bei Betrugsverdacht
  6. Fazit

Scamming und Phishing

Die bekanntesten Begriffe im Zusammenhang mit Onlinebetrug sind Scamming und Phishing. Beide Betrugsmethoden sind vor allem bei Privatpersonen verbreitet. 

Unter Scamming werden verschiedene Betrugstaktiken zusammengefasst, bei welchem gutgläubige Menschen mit gefälschten Identitäten um hohe Bargeldsummen gebracht werden. Viele dieser Betrugsarten werden vor allem auf sozialen Netzwerken genutzt. Jedoch zählen auch Mails darunter, welche dubiose Zahlungsaufforderungen enthalten und der Absender sich beispielsweise als eine Behörde ausgibt. 

Beim Phishing geht es darum an Passwörter für Kunden- oder Bankkonten zu gelangen. Die meisten Versuche werden im Bestellprozess in Onlineshops gestartet. Dabei kann die Seite der Bestellabwicklung durch eine Kopie des Betrügers ersetzt und die Zugangsdaten abgefangen werden – auch wenn der Onlineshop der richtige ist! (s. Pagejacking)

Phishing Angriffe Q2 2020
Verteilung der Phishing Angriffe nach Kategorien
Quelle: Kaspersky Lab 2020

Sowohl Scamming als auch Phishing bezeichnen Arten des Betrugs, bei welchen sensible und personenbezogene Daten über das Internet gestohlen werden. 

Steigender Betrug im Internet 

E-Commerce-Betrug gibt es bereits so lange wie den Onlinehandel selbst. Erschreckend ist die Zahl der jährlich polizeilich erfassten Fälle von Cyberkriminalität in Deutschland. Im Jahr 2019 gab es über 100.000 Fälle von Betrug im Internet – die Dunkelziffer dürft dabei noch um einiges höher liegen. 

Erfasste Fälle von Scamming in Deutschland
Polizeilcih erfasste Fälle von Cyberkriminalität in Deutschland
Quelle: Bundeskriminalamt

Der dadurch resultierende  jährliche finanzielle Schaden in Deutschland ist immens. Im vergangenem Jahr (2019) belief er sich auf über 87 Millionen Euro (Bundeskriminalamt). 

Beliebte Betrugsmaschen online

Betrügerische Absichten und  gibt es Online unzählige und die Betrüger werden dabei immer raffinierter und kreativer. Zu den beliebtesten Betrugsmaschen online zählen: 

E-Mail-Phishing

Es gibt wohl kaum jemanden, der regelmäßig im Netz unterwegs ist, der noch keine Phishing Mails erhalten hat. Diese Mails kennzeichnen sich durch einen unseriösen Inhalt oder durch eine unbekannte Herkunft (Absender). Jedoch hat sich auch diese Masche weiterentwickelt: Sie enthalten gefälschte Rechnungsstellungen oder Bestellbestätigungen von bekannten E-Commerce-Händlern, wie Amazon, und versuchen damit entweder eine Transaktion zu erwirken oder auf eine verhängnisvolle Website weiterzuleiten. Dort lauern dann Viren und Malware, um an Passwörter oder andere Zugangsdaten zu gelangen, wie bspw. für das Bankkonto.

Identitätsdiebstahl

Identitätsdiebstahl betrifft vor allem Onlinehändler. Sie ist die derzeitig am stärksten wachsende Online Bedrohung. Gelangen Kriminelle an persönliche Informationen, können Sie damit beispielsweise Kreditkarten beantragen und ohne das Wissen des Geschädigten einsetzen oder die gestohlenen Informationen auf dem Schwarzmarkt verkaufen. 

Pagejacking

Beim Pagejacking imitieren Betrüger bestehende und vertrauenswürdige Shopseiten und gelangen somit an die Daten der Kunden der originalen Website. Im schlimmsten Fall werden bekannte Shops kopiert und damit viel Suchmaschinentraffic abgefangen. Besonders verbreitet ist das Nachahmen von Anmeldeseiten, auf welchen Nutzerdaten und Passwörter preisgegeben werden müssen. 

Chargeback-Betrug

Sehr ärgerlich für Händler im E-Commerce ist der Chargeback-Betrug. Dabei werden Bestellungen mit hohem Wert im Onlineshop bestellt und bei Versandbestätigung die Zahlung storniert oder bei der entsprechenden Kreditkartenfirma wird behauptet, dass ein Identitätsdiebstahl vorliegen würde. Der Betrüger behält die Ware und zahlt nichts dafür. 

Eine andere beliebte Masche ist das Anzeigen von angeblichem Warenverlust. Hierbei wird angegeben, dass ein Paket mit der entsprechenden Ware nicht beim Kunden angekommen sei, um ein kostenloses Duplikat vom Händler zu erhalten. Somit hat der Betrüger zwei Produkte, storniert das unrechtmäßig erhaltene Duplikat, um das Geld zurückerstattet zu bekommen und behält sein angeblich nicht geliefertes Produkt zum Nulltarif. 

Affiliate-Betrug

Affiliate-Betrug betrifft ausschließlich Onlinehändler mit einem entsprechenden Affiliate-Programm bzw. Affiliate-Marketing. Dabei erhält der Affiliate Links, mit denen er Produkte promotet und neue Kunden wirbt. Dafür erhält er vom Verkäufer/Händler eine Provision. Betrüger manipulieren diese Links, um sich damit eine größere Gruppe an angeworbenen Besuchern vorzutäuschen und somit einen größeren Gewinn einzuheimsen. 

Wenn wir bedenken, dass circa 81% der Marken ein Partnerprogramm haben, kann diese Betrugsart viele Shops betreffen. Jedoch sind für diese Art des Betrugs in den meisten Fällen Hacking-Kenntnisse erforderlich, um unentdeckt zu bleiben.

Betrug stoppen, bevor er beginnt: Betrugsprävention im Onlineshop

Eine gute Nachricht direkt zu Beginn: Wer Auffälligkeiten im Onlineshop rechtzeitig erkennt und Gefahren vorbeugt, kann die meisten Betrugsfälle verhindern. Besonders sensible und anfällige Bereiche des Onlineshops sind der Bestell-, Anmelde- und Bezahlungsprozess. Bei allen ist eine hohe Sensibilität bei der Bearbeitung und Überwachung erforderlich. Zudem sind Sicherheitsmaßnahmen, wie eine 2-Faktor-Authentifizierung, Pflicht, ebenso wie Googles CAPTCHA (aktuelle Version: reCAPTCHA v3), um sicherzugehen, dass es sich um einen Menschen und keinen Computer handelt.

Captcha
reCAPTCHA
Quelle: GitHub

Ein weiteres Muss ist die HTTPS Verschlüsselung deines Shops sowie die Zusammenarbeit mit Zahlungsgateways wie PayPal, welche die PCI-Konformität für dich übernehmen.  Diese Maßnahmen dienen nicht nur Marketingzwecken und schaffen Vertrauen beim Kunden, sie dienen auch dem Schutz des Onlinehändlers selbst.

PCI = Payment Card Industry. Offizielle Richtlinien zur Betrugsprävention im E-Commerce.

Bei den meisten Betrugstaktiken geht es darum, an vertrauliche Informationen und Passwörter zu gelangen, um damit unberechtigte Zahlungen tätigen zu können. Betrugsprävention im Onlineshop ist vor allem geprägt durch Wachsamkeit. Leider kann nicht jeder Betrug oder Betrugsversuch enttarnt oder bemerkt werden, jedoch kann man Betrügern mit den beschriebenen Maßnahmen einen kleinen Schritt voraus sein. Oberste Priorität hat stets der Schutz von persönlichen Daten der Nutzer, demnach lohnen sich hier Investitionen!

Bei folgenden Auffälligkeiten solltest du hellhörig werden:

⚡️ Mehrere Bestellungen werden an die gleiche Adresse gesendet, jedoch mit unterschiedlichen Karten (möglicher Identitätsdiebstahl)

⚡️ Verdächtig hohe Bestellungen (des gleichen Artikels)
⚡️ Wiederholt abgebrochene oder abgelehnte Transaktionen können ein Indiz für Chargeback-Betrug sein
⚡️ Unterschiedliche Rechnungs- und Lieferadressen können für Identitätsdiebstahl sprechen

Außerdem gibt es im E-Commerce mittlerweile zahlreiche Tools, welche dich bei der Betrugsprävention unterstützen. Hier drei von ihnen: 

Signifyd
Eine der ersten Betrugspräventionssoftwares. Sie läuft über das Backend und ermittelt die Wahrscheinlichkeit eines Betrugsfalls
Sift:
Arbeitet durch maschinelles Lernen und beugt Fake-Accounts vor. Zudem analysiert es Bestellungen u.v.m
Simility:
Hat sich auf die „Fingerabdrucknahme“ spezialisiert

Mehr unter https://kinsta.com/de/blog/ecommerce-betrugspravention/.

Richtiges Handeln bei Betrugsverdacht

Was kannst du konkret tun, wenn du in deinem Online Shop Betrugsverdacht vermutest oder dir sogar sicher bist? Das Wichtigste ist ein schnelles Handeln. Sobald Zweifel zur Sicherheit im Shop auftreten, müssen umgehend Maßnahmen ergriffen werden, um die Daten deiner Kunden zu schützen und die Sicherheitslücke zu schließen. Die Legitimität deines Shops und der im Bestellprozess abgefragten Daten darf von deinen Kunden zukünftig nicht infrage gestellt werden. 

Lass unbedingt umgehend den Code deiner Datenbank von deinem Entwickler checken und diesen auf Fehler oder Schadcode prüfen. Die Datenbank ist der Sammelpunkt für sämtliche sensible Daten. Sollte hier ein Fehler auftreten und beispielsweise Datenbankzugänge klar sichbar im Frontend angezeigt werden, haben Betrüger leichtes Spiel. Ändere auch bei Verdacht deine Admin-Passwörter. Wird festgestellt, dass tatsächlich unberechtigte Personen Zugang zu Admin-Passwörtern haben, sollten auch deine Kunden darüber informiert werden, dass sie ihre Login-Passwörter ändern sollten. Dies kann diskret passieren, indem vor der nächsten Anmeldung ein neues Passwort verlangt wird oder per Link über den E-Mail-Verteiler.

Schadecode = Code Injection. Dabei wird ein „Code im Code“ ausgeführt.

Bei Betrugsversuchen durch Kunden ist ein hohes Maß an Sensibilität und Gutgläubigkeit gefragt. Bei Verdacht auf einen Chargeback-Betrug kann es sich auch um einen „freundlichen Betrug“ handeln, bei welchem der Kunden wirklich aus Unwissenheit gehandelt hat. Bestellungen von hohem Wert sollten in jedem Fall eine Absicherung des Versands und der Zustellung durch den Lieferdienst erhalten. Eine Sendungsverfolgung und Zustellungsbestätigung kann bei allen Versanddienstleistern gegen eine Gebühr hinzugebucht werden. Des Weiteren muss in den AGB klar und deutlich der Versand geregelt sein sowie die Haftungsbeschränkung bei Verlust von Waren auf dem Postweg. 

Fazit

Mit steigendem Umsatz im E-Commerce steigen auch die Zahlen des Onlinebetrugs. Als Händler ist man leider nie gänzlich vor Betrugsversuchen geschützt. Und auch die Enttarnung von Scamming ist schwierig bis teilweise sogar unmöglich. Bei einer Vielzahl von Betrugstaktiken geht es um Social Engineering, also dem Diebstahl von sensiblen Daten, um diese unrechtmäßig zu nutzen. Oftmals machen sich Kriminelle die Angst oder Gutgläubigkeit der „Opfer“ zunutze, um an vertrauliche Informationen zu gelangen.

Sensible Daten können jedoch auch unbemerkt gestohlen werden, indem Betrüger die Kunden als Kopien von tatsächlich existierenden Shops täuschen. Besondere Vorsicht muss daher bei Transaktionen und der Herausgabe von Daten immer walten. Als Shopbetreiber kann das Sicherheitsgefühl durch unterschiedliche Payment-Optionen gestäkrt werden. Zudem sind eine HTTPS-Verschlüsselung sowie eine 2-Faktor-Authentifizierung Pflicht in jedem Onlineshop.

Cyber-Versicherungen können die finanziellen Schäden durch einen Sicherheitsvorfall mildern und sind besonders bei kleinen bis mittelständigen Onlineshops hohem finanziellem Risiko zu empfehlen. Allgemein gilt, dass Investivionen in die Sicherheit deines Onlineshops immer lohnenswert sind, um sich gegen Kriminelle und Onlinebetrug zu wapnen. 

Quellen:

infrankenkasperskykinsta, cybercrime  Bundeslagebild 2019, developers google,githubhandelsjournal

Toni
Geschrieben vonAntonia

Aktuelle Beiträge

E-CommerceMageSuite

MageSuite – Content Commerce System

Was ist MageSuite? Grundlegend handelt es sich um ein leistungsstarkes Content-Managemen...

Toni
Geschrieben von Antonia - SEO & Online Marketing

12.09.2022 - 7 min Lesezeit

Hier haben wir eine Hinweis einblendung an bestimmte Stellen?

Hotline: 08031 581 799 0 · kontakt@unifiedarts.de