Jedes zehnte Kundenkonto ist in Deutschland innerhalb des letzten Jahres von Betrügern übernommen worden – das gibt fast die Hälfte (44 Prozent) von 100 deutschen Online-Händlern an.
Das ist ein Ergebnis einer Umfrage von Riskified, Anbieter von Zahlungs- und Betrugspräventionslösungen, unter 100 Online-Händlern und 1.000 Kunden in Deutschland, in der nach den Auswirkungen von so genannten Account-Übernahme-Angriffen gefragt wurde. Solche Angriffe (Account Takeovers, kurz ATO) passieren, wenn Cyberkriminelle Zugriff auf ein Kundenkonto eines Online-Shops erhalten und dieses Konto für betrügerische Aktivitäten nutzen. Die Umfrage zeigt insgesamt, dass ATO-Angriffe einen enorm negativen Einfluss auf Kunden und Händler haben, den Ruf der Marke und dem Umsatz der Händler schaden. Trotzdem verwendet mehr als ein Fünftel (21 Prozent) der Händler keine Sicherheitsmaßnahmen, um sich vor ATOs zu schützen – auch weil solche Sicherheitsmaßnahmen die Customer Experience gefährden können.
Kundenkonten stellen großes Risiko dar
Neben betrugssicheren Kundenkonten schätzen Händler und Kunden ein nahtloses Einkaufserlebnis. Als besonders wichtig empfinden Kunden jedoch die Möglichkeit Bonuspunkte zu sammeln. Die Umfrage zeigt, dass 85 Prozent der Kunden über Kundenkonten bei verschiedenen Online-Shops verfügen. 83 Prozent der Befragten geben an, dass sie ausschließlich bei Händlern einkaufen, bei denen sie ein Kundenkonto haben. 56 Prozent geben an, dass sie häufiger einkaufen, wenn sie über ein Kundenkonto verfügen.
Aber auch für Händler haben Kundenkonten Vorteile: Zwei Drittel (66 Prozent) der befragten Händler geben an, dass mindestens die Hälfte aller Bestellungen von Kunden mit Kundenkonten aufgegeben werden. Weiterhin geben 58 Prozent der befragten Händler an, dass Kunden mit Kundenkonto häufiger einkaufen würden. 52 Prozent sagen zudem, dass Kunden mit einem Kundenkonto pro Einkauf mehr ausgeben würden als andere.
Kundenkonten können für Kunden und Händler gleichermaßen ein großes Risiko darstellen, wenn sie nicht ausreichend geschützt sind. Mehr als die Hälfte der Händler (57 Prozent) und sogar vier von fünf Kunden (80 Prozent) sind besorgt, dass ihre Konten gehackt werden könnten. Einkäufe, die über kompromittierte Kundenkonten getätigt werden, sind jedoch für Händler schwer zu erkennen: Diese vermitteln nämlich den Anschein, als ob sie von legitimen, wiederkehrenden Kunden getätigt worden seien.
Gleichzeitig kosten ATOs Händler viel Geld: Wenn Betrüger kompromittierte Konten verwenden, um betrügerische Einkäufe zu tätigen, verlieren Händler nicht nur Einnahmen und den Wert der verkauften Waren. Auch das Marken-Image leidet und der Customer Life Value verringert sich. 69 Prozent der befragten Kunden geben an, dass sie wahrscheinlich nicht mehr bei einem Händler einkaufen würden, wenn ihr Konto kompromittiert worden wäre. Mehr als die Hälfte der befragten Kunden (51 Prozent) gibt an, dass sie ihr Konto löschen würden 29 Prozent würden zu einem Konkurrenten gehen und 26 Prozent ihren Freunden von einem Kauf bei dem betroffenen Händler abraten.
Warum Account-Übernahme-Angriffe so schwer zu verhindern sind
ATOs treten sehr früh im Einkaufsprozess auf – daher verfügen Händler nur über wenige Daten, mit denen sie die ATOs bewerten können. Das wiederum macht es schwierig diese zu erkennen und präventiv dagegen vorzugehen. Die Riskified-Umfrage zeigt:
- Mehr als ein Fünftel der Händler (21 Prozent) gibt an, dass sie über keine Maßnahmen verfügen, um ATOs zu verhindern.
- 19 Prozent der Händler können einen Account-Übernahme-Angriff während einer Bestellung nicht identifizieren.
- Neun Prozent der Händler wissen nicht einmal, dass ein ATO stattgefunden hat, es sei denn, ein Kunde kontaktiert sie.
- Nur fünf Prozent der Kunden erfahren vom Händler, dass ihr Konto kompromittiert wurde. Die überwiegende Mehrheit stellt Änderungen an ihren Benutzerkonten selbst fest.
Die Umfrage macht deutlich, dass Händler die Benutzerkonten ihrer Kunden schützen müssen ohne dabei das Einkaufserlebnis negativ zu beeinflussen. Eine Methode, um ATOs zu verhindern, ist die Zwei-Faktor-Authentifizierung bei Login-Versuchen. 35 Prozent der befragten Händler nutzen dieses Verfahren, der Nachteil der Kunden ist dabei jedoch, dass die Authentifizierung zu viel Zeit in Anspruch nimmt und viele den Kaufvorgang daraufhin aus Frustration darüber abbrechen. Eine weitere Methode zum Schutz des Benutzerkontos sind komplexe Passwörter. So haben 85 Prozent der Händler angegeben, das Kontopasswörter eine Mischung aus Zeichen, Zahlen, Symbolen sowie Groß- und Kleinbuchstaben enthalten müssen. Dies kann zur Sicherheit beitragen, erhöht jedoch auch die Komplexität und ist unnötig, wenn Kunden das gleiche Passwort für verschiedene Kundenkonten auf anderen Websites verwenden. Laut Umfrage ist das bei mehr als einem der Drittel (36 Prozent) der befragten Kunden der Fall.
“Unsere Umfrage zeigt, dass Händler über ATO-Angriffe Bescheid wissen und sich mit ihnen auseinandersetzen, ihnen fehlt jedoch in der Regel die Fähigkeit, diese als solche zu erkennen und zu verhindern”, so Assaf Feldman, CTO und Co-Founder, Riskified. “Ohne einen dynamischen Ansatz, der alle relevanten Daten auswertet, riskieren Händler erhebliche finanzielle Verluste, frustrierte Kunden und einen beschädigten Ruf. Fortschrittliche Betrugspräventionslösungen, die auf maschinellem Lernen basieren, können legitime Kunden sofort erkennen und ihnen den Weg zum Checkout erleichtern. Verdächtiges Verhalten kann ebenfalls schnell festgestellt und eine entsprechende Bestellung verhindert werden. Auf diese Weise maximieren Händler ihre Einnahmen und bieten Kunden ein angenehmes Einkaufserlebnis.”
Fortschrittliche Technologie kann eine Lösung bieten:
Um ATOs zu vermeiden müssen Händler so viele verfügbare Daten wie möglich nutzen: Geräte- und Netzwerkdetails, Proxy-Nutzung sowie die Prüfung früherer Anmeldungen können Aufschluss darüber geben, ob der Zugriff auf ein Kundenkonto legitim oder betrügerischer Natur ist. Sind Gerät oder Netzwerk unbekannt oder weisen betrügerische Merkmale auf, sollten Händler den Inhaber des Kundenkontos benachrichtigen oder eine Zwei-Faktor-Authentifizierung anwenden.
Zudem sollte es Händlern bewusst sein, dass eine Kontoübernahme nicht das eigentliche Ziel der Betrüger ist – vielmehr ist der Plan, im nächsten Schritt Bestellungen auszulösen. Der Vorteil der Händler ist hier der Einblick in den gesamten Bestellprozess. Eine ungewohnte Anmeldung oder eine Änderung von Details mag zunächst verdächtig erscheinen, aber wenn der Warenkorb beim Checkout ein geringes Risiko darstellt, können Händler die Bestellung mit hoher Wahrscheinlichkeit genehmigen. Ähnlich verhält es sich, wenn auf eine legitime Bestellung ein Chargeback erfolgt: In dem Fall sollten Händler die Kontoaktivität noch einmal überprüfen und den Kunden auffordern, sein Passwort zu ändern.
www.riskified.com