De meest voorkomende fraudemethodes bij mobiel betalen

  1. 12 okt 2018
  2. 0 reacties

Het tijdperk van open banking is in 2018 officieel aangebroken; niet alleen banken faciliteren betalingen meer, ook fintechs en retail organisaties bieden nu digitale betaaloplossingen aan. Denk bijvoorbeeld aan Tikkie, Google Pay of contactloos betalen in de supermarkt met niets meer dan een smartphone. Hoewel consumenten nu gebruiksvriendelijker kunnen betalen, heeft deze verandering ook een keerzijde, want wanneer er meer partijen toegang hebben tot betaalgegevens, zijn er meer digitale locaties voor fraudeurs om gevoelige data te bemachtigen. Deze nieuwe technologieën hebben dan ook nieuwe fraudemethodes met zich mee gebracht. Entersekt zet de meest voorkomende fraudemethodes op een rij.

CNP-fraude

Entersekt CNP – of card-not-present – fraude is sterk toegenomen met de opkomst van contactloos betalen en e-commerce. Om CNP-fraude te plegen moet de fraudeur de naam, het factuuradres, het rekeningnummer, de driecijferige veiligheidscode en de vervaldatum van de kaart in handen krijgen. Deze gegevens kunnen elektronisch worden gestolen, zonder de fysieke kaart te hoeven stelen. Een groot deel van de CNP-fraude is te wijten aan datalekken, waardoor de daders veel gegevens hebben gevonden die ze kunnen misbruiken of verkopen op het "darknet". Ook gebeurt diefstal van creditcardgegevens voor CNP-fraude via phishing of door diefstal van creditcardgegevens van klanten door oneerlijke werknemers.

CNP-fraude komt voor bij transacties waarbij geen betaalpas getoond hoeft te worden om de transactie te kunnen voltooien. Met andere woorden; de betalende persoon hoeft zich niet te identificeren. Voorbeelden hiervan zijn betalingen die via internet, apps of telefonisch verlopen. Gelukkig ligt er nu veel focus bij verschillende betaalaanbieders om software te ontwikkelen die CNP-fraude bestrijdt, zoals 3DS, Verified by Visa en Mastercard SecureCode.

Geautomatiseerd hacken

Ook is het nog steeds populair onder fraudeurs om online winkel- en bankaccounts te hacken, maar dan in een modern jasje. Fraudeurs kunnen inloggen op online accounts met gestolen gegevens, welke zij vaak verkregen hebben via datalekken. Zo verkrijgen ze toegang tot consumentenrekeningen bij webshops of andere betalingsdienstaanbieders. Op deze manier hebben de fraudeurs alle persoonlijk identificeerbare informatie tot hun beschikking waarmee ze accountinstellingen kunnen wijzigen en bestellingen kunnen plaatsen. Deze hacks worden vaak ondersteund door automatisering; fraudeurs zetten bots en/of scripts in om combinaties van gestolen gebruikersnamen en wachtwoorden op meerdere websites en apps te testen tot ze toegang krijgen.

Omdat betaalkaarten in sommige gevallen al gelinkt zijn aan de accounts (denk aan bijvoorbeeld PayPal en andere creditcarddiensten), is slechts de login van het account nodig om een betaling goed te keuren. Dat maakt deze vorm van fraude extra gevaarlijk. Accounts alleen beveiligen met een wachtwoord is dus niet voldoende.

Spoofing

Veel van de oude methoden om slachtoffers ervan te overtuigen dat ze van hun geld moeten afzien zijn nog niet verdwenen. Spoofing, bijvoorbeeld, is nog steeds een effectieve vorm van fraude en heeft zich verspreid naar nieuwe kanalen. Bij spoofing vervalst een fraudeur een identiteit om toegang te krijgen tot waardevolle gegevens. Wanneer een fraudeur zich bijvoorbeeld telefonisch voordoet als iemand anders, kan hij zijn getoonde naam, telefoonnummer of andere gegevens van het Caller ID veranderen om degene die antwoordt, te verleiden om waardevolle gegevens, zoals inlog-, bank- of andere privégegevens weg te geven.

Bij URL-spoofing wordt een valse website gemaakt om gebruikers te verleiden tot het invoeren van informatie of het downloaden van een virus. Fraudeurs nemen ook contact op met potentiële slachtoffers door de accounts van hun Facebook-vrienden te hacken en berichten te versturen die afkomstig lijken te zijn van een betrouwbare vriend. Inmiddels spoofen fraudeurs zelfs IP-adressen en apparaten om in netwerken te hacken om gegevens te stelen, DNS-aanvallen uit te voeren of malware te verspreiden.

Afgebakend kanaal

Het is dus als bank, webshop of elke andere betalingsverstrekker ontzettend belangrijk om je te bewapenen tegen dit soort aanvallen. Claudius van der Meulen, SVP bij Entersekt Europe, adviseert dan ook om goed te kijken naar de infrastructuur waar persoonlijke data op staat. Van der Meulen: “Het is belangrijk om uit te zoeken via welke kanalen privacygevoelige data stromen en deze kanalen vervolgens goed te beveiligen.” Belangrijk is daarbij om een tweede, compleet separaat beveiligd kanaal te openen tussen betalingsverstrekker en consument, wat loopt via de smartphone volgens Van der Meulen. “Met een mobiele telefoon kan de identiteit van de betalende persoon via een tweede kanaal veilig geverifieerd worden, op een manier die ook nog klantvriendelijk is. Hier ligt de toekomst”, aldus Van der Meulen.