Betrugsmaschen im E-Commerce
20.07.2022, 06:12 Uhr
20.07.2022, 06:12 Uhr
Nichts ist so, wie es scheint
Fast jeder Onlineshop wurde bereits Ziel von Betrügern. Die Schäden erreichen oft sechsstellige Summen.
Glaubt man den Warnungen von Verbraucherschützern und der Polizei, dann ist das Einkaufen im Internet eine höchst unsichere Sache. An Ratschlägen, wie sich Verbraucherinnen und Verbraucher davor schützen können, von kriminellen Anbietern im Netz abgezockt zu werden, herrscht kein Mangel. Dabei wird allerdings eines oft übersehen: Auch die Onlinehändler werden Tag für Tag Opfer von Betrügereien. Die Spannbreite reicht dabei von «Scherzbestellungen» bis hin zu professionellen Raubzügen, ausgeführt von straff organisierten kriminellen Banden.
Eine aktuelle Umfrage der Kreditauskunftei CRIF (ehemals CRIF Bürgel) von 2021 unter 100 Händlern aus dem DACH-Raum ergab, dass rund 90 Prozent aller Händler schon Opfer von Betrugsversuchen geworden sind. Und mehr als die Hälfte der Befragten (61 %) gab an, dass im Zuge der Corona-Pandemie die Zahl der Betrugsversuche zugenommen habe.
Zahlreiche Onlinehändler betroffen
Der Schaden, den die Betrüger verursachen, ist erheblich: Jeder vierte befragte Shop-Betreiber gab an, Verluste zwischen 5000 und 10 000 Franken erlitten zu haben, 11 Prozent aller Umfrageteilnehmer hatten einen Schaden von mehr als 100 000 Franken zu beklagen – in einem Jahr. Tendenz steigend.
Eine Analyse der verschiedenen Tatabläufe zeigt, dass sich die meisten Betrugsfälle in nur wenige Kategorien einordnen lassen. Für Onlinehändler bedeutet das, dass sie sich gegen diese speziellen Tatmuster wappnen müssen und damit bereits einen grossen Teil der Gefahr gebannt haben. Dazu kommen allerdings in letzter Zeit vermehrt Delikte, bei denen ein monetärer Schaden gar nicht so einfach zu beziffern ist. Wenn etwa Verbraucher Phishing-E-Mails im Look & Feel eines Unternehmens zugesandt bekommen, dann fällt dies auch auf das Unternehmen zurück – und wirkt sich beispielsweise auf die Öffnungsrate von legalen Werbe-E-Mails aus.
Die meisten Betrugsfälle, mit denen Onlinehändler heute konfrontiert sind, haben indes eins gemein: Die Betrügerinnen und Betrüger verschleiern gegenüber dem Onlineshop ihre wahre Identität – oder sie lügen bewusst, wenn es um den Erhalt der Ware geht.
Falscher Name, falsche Adresse
Auf Platz 1 im Ranking der «erfolgreichsten» Betrugsmaschen steht die absichtliche Nennung verfälschter Namen und Adressen bei der Bestellung. Das Repertoire reicht von der «Scherzbestellung» im Namen einer anderen Person bis hin zur bewussten Unterschlagung von Waren. Das Wort «Scherz» ist hier oft fehl am Platz, denn immer wieder terrorisieren beispielsweise Stalker ihr Opfer mit massenweise Fake-Onlinebestellungen. Ein anderer Trick ist ein absichtlicher Fehler bei der Lieferanschrift, etwa «Bahnhofstrasse 18» statt «Bahnhofstrasse 13».
Die Betrüger spekulieren darauf, dass die Paketzusteller ihr Gebiet oft gut kennen und ein Paket auch dann dem richtigen Empfänger zustellen, wenn an der Adresse ein Detail nicht stimmt. Der Betrüger behauptet dann, die Sendung nicht erhalten zu haben – denn offensichtlich sei sie an die falsche Adresse gegangen.
Ein mögliches Einfallstor für fehlerhafte Bestellungen sind auch sogenannte Affiliate-Links. Es sind bereits Fälle aktenkundig, in denen Teilnehmer an Affiliate-Programmen über ihre eigenen Websites Fake-Bestellungen bei ihren Werbepartnern ausgelöst haben, um anschliessend die damit verbundenen Provisionen einzustreichen. Das Perfide an solchen Tricks ist der verhältnismässig grosse Schaden, der dem Händler entsteht. Denn er zahlt nicht nur Provisionen für gefälschte Verkäufe, sondern bleibt auf den Kosten für Versand und Rückabwicklung sitzen, die viel höher sind.
Treten solche Betrugsfälle vereinzelt auf, sind sie kaum zu erkennen. Aber wenn beispielsweise bei den Sales, die ein bestimmter Affiliate vermittelt, die Zahl der Remissionen stark über dem Durchschnitt ist, dann liegt der Schluss nahe, dass dort etwas nicht stimmt. Und gegen arglos daherkommende «Tippfehler» in der Adresse hilft eine sorgfältige Adressverifikation.
Gravierender ist das Problem des Identitätsdiebstahls. Über vielerlei Quellen können Verbrecherinnen und Verbrecher an die Daten real existierender Personen kommen und in deren Namen bestellen. Die Ware wird dann abgefangen, bevor sie bei der ahnungslosen Empfängerin oder beim ahnungslosen Empfänger landet. Hin und wieder beteiligen sich sogar Paketboten an dem Betrug. Der Schwindel fliegt erst auf, wenn sich beim angeblichen Besteller die Mahnungen häufen – für Dinge, die er nie bestellt hat. Kriminelle Banden beschaffen sich zum Teil auch gestohlene Kreditkartendaten und bestellen damit Waren, die sie an eine Deckadresse liefern lassen. Dort sitzen leichtgläubige Menschen, die als «Versand-Manager» angeworben wurden und einfach nur die Pakete einsammeln und weiterleiten. Sie kommen durch ihre Mitwirkung bei dem Betrug in Teufels Küche, während die wahren Täter – oft aus dem Bereich der organisierten Kriminalität – im Dunkeln bleiben.
Gegen Identitätsdiebstahl können sich Onlinehändler schützen, indem sie auf ausgeklügelte Mechanismen zur Identitätsfeststellung setzen, etwa auf eine Zwei-Faktor-Authentifizierung bei der Anmeldung zum Shop oder beim Bezahlvorgang. Das Problem dabei: Solche Sicherheitsabfragen wirken sich als Usability-Hürden beim Check-out unbarmherzig auf die Konversionsrate aus. Zu straffe Security-Massnahmen halten eben nicht nur die Betrüger draussen, sondern auch rechtschaffene Kunden, denen das alles zu stressig ist.
Wenn der Kunde nicht zahlen will
Inzwischen nahezu an der Tagesordnung ist ein Delikt, das Juristen als «Eingehungsbetrug» bezeichnen: Kundinnen und Kunden bestellen Waren, obwohl sie bereits bei der Bestellung wissen, dass sie diese nicht bezahlen können – oder nicht bezahlen wollen. Bereits 2019 hatte bei einer CRIF-Befragung die Mehrheit aller teilnehmenden Händler davon berichtet, von diesem Problem gehört zu haben. Aktuelle Umfrageergebnisse lassen den Schluss zu, dass inzwischen nahezu jeder Händler Ziel zumindest eines Versuchs für einen Eingehungsbetrug geworden ist.
Die Spannbreite ist gross. Sie reicht von der Bestellerin, die ein Abendkleid nur für einen Ball tragen will und am Morgen nach der durchfeierten Nacht den Kaufvertrag widerruft, bis hin zu Menschen, die den Überblick über ihre finanzielle Situation verloren haben. Ein automatisches Scoring im Vorfeld ist eine Möglichkeit, um finanziell problematische Kunden entweder gleich auszusortieren oder ihnen zumindest keinen Kauf gegen Rechnung mehr anzubieten. Bei Bestellerinnen und Bestellern, die den Sinn der 14-Tage-Rückgabefrist falsch verstanden haben, können die Händler gegebenenfalls auf einen Wertersatz pochen, wenn die Ware nicht picobello wieder zurückkommt.
Auch die Kulanz aus Gründen der Vereinfachung betrieblicher Prozesse wird bisweilen gnadenlos ausgenutzt. Ein Schuhhändler hatte sich entschlossen, bei Waren unter 50 Euro pauschal auf eine Rücksendung zu verzichten, um interne Retourenkosten zu senken und die Kundschaft gnädig zu stimmen. Das sprach sich in einschlägigen Internetforen schnell herum. In der Folge gingen vermehrt Bestellungen ein, die unter dieser Grenze lagen – und dann widerrufen wurden.
Der Bot kauft ein
Nur bestimmte Sortimente betrifft ein relativ neues Phänomen, das sogenannte «Scalping». Gemeint ist damit das maschinelle Bestellen grosser Mengen eines Produkts, das am Markt knapp und begehrt ist. Die ersten «Scalper» waren auf limitierte Sneaker-Sondermodelle aus, die bei Sammlerinnen und Sammlern heiss begehrt sind. Sie schrieben entsprechende Programme, mit denen sie in Sekundenschnelle massenhaft gezielte Bestellungen bei verschiedenen Shops auslösen konnten. Die so beschaffte, begehrte Ware wurde anschliessend über eBay oder andere Sammlerbörsen mit saftigem Aufpreis weiterverkauft. Inzwischen kann man solche Tools im Darknet mieten, ähnlich, wie das bei Bot-Netzen möglich ist. Das Ziel der Scalper ist alles, was knapp ist: beispielsweise die neuste Sony PlayStation, Grafikkarten, die sich auch zum Mining von Bitcoins eignen – oder auch Corona-Schutzausrüstung.
Das Unrechtsbewusstsein der Täter ist gering, schliesslich kaufen und bezahlen sie die Ware ja. Auch der Händler könnte theoretisch froh über den raschen Warenumschlag sein. Doch ein Shop, der bei Trendprodukten regelmässig nicht lieferfähig ist, erleidet einen Imageschaden. Zudem kauft jemand, der eine PlayStation ganz regulär für den Eigenbedarf bestellt, vielleicht noch ein Spiel dazu. Jemand, der gleich den gesamten Lagerbestand an Konsolen auf einen Schlag ordert, tut dies eher nicht.
Es gibt auch eine weitere Variante des Scalpings, die den Boden der Legalität eindeutig verlässt: Manche Tools erlauben es, die begehrten Artikel nicht gleich zu bestellen, sondern erst einmal in den frisch generierten Warenkorb zu legen. Dort liegen sie dann, sind im Warenwirtschaftssystem als reserviert geblockt – und verhindern so womöglich tagelang den Verkauf an einen ernsthaften Interessenten. Auf den massiven Technikeinsatz der Scalper haben Fraud-Prevention-Systeme eine technische Antwort, die sogenannte Velocity Control. Steigt plötzlich die Zahl von Bestellungen mit auffälligen Gemeinsamkeiten im Shop, dann zieht die Geschwindigkeitskontrolle die Notbremse und sperrt weitere Orders für dieses Produkt.
Muster erkennen – und auf Abweichungen reagieren
Der Markt bietet vielfältige Lösungen für die aktive Betrugsprävention. Viele Anbieter sprechen davon, auf KI oder Machine Learning zu setzen. In der Tat ist die regelbasierte Beobachtung von Bestellvorgängen eine Erfolg versprechende Methode zur Verhinderung betrügerischer Bestellungen. Setzt ein Tool-Anbieter dabei auf Machine Learning, hat er gegenüber dem einzelnen Shop-Anbieter einen Vorteil: Er kann auf eine viel grössere Zahl von Transaktionen zurückgreifen und den verwendeten Algorithmus besser trainieren.
Ein Fall für Mustererkennung ist es etwa, wenn ein Kunde an einem Freitagnachmittag um 15 Uhr ein Notebook mit Zubehör bestellt. Daran ist nichts verdächtig, nach einer Standardüberprüfung von Adressdaten und Bonität kann die Ware gegen Rechnung rausgehen. Bestellt dagegen ein Kunde morgens um 3 Uhr fünf Notebooks, dann sollten die Alarmglocken klingeln – und zusätzliche Sicherungsmechanismen greifen. Die können oft bereits darin bestehen, dass statt auf Rechnung nur noch gegen Vorkasse bezahlt werden kann. Eine Kreditkarte sollte der Kunde dann schon haben – und sie sollte auch ihm gehören.