Account-Übernahme-Angriffe im E-Commerce steigen: Viele Händler sind kaum vorbereitet

Riskified-Umfrage zeigt, dass Händler Umsatz und Ruf gefährden, aber wenig tun, um sich selbst oder ihre Kunden zu schützen

Tel Aviv--()--Jedes zehnte Kundenkonto ist in Deutschland innerhalb des letzten Jahres von Betrügern übernommen worden – das gibt fast die Hälfte (44 Prozent) von 100 deutschen Online-Händlern an. Das ist ein Ergebnis einer Umfrage von Riskified, Anbieter von Zahlungs- und Betrugspräventionslösungen, unter 100 Online-Händlern und 1.000 Kunden in Deutschland, in der nach den Auswirkungen von so genannten Account-Übernahme-Angriffen gefragt wurde. Solche Angriffe (Account Takeovers, kurz ATO) passieren, wenn Cyberkriminelle Zugriff auf ein Kundenkonto eines Online-Shops erhalten und dieses Konto für betrügerische Aktivitäten nutzen. Die Umfrage zeigt insgesamt, dass ATO-Angriffe einen enorm negativen Einfluss auf Kunden und Händler haben, den Ruf der Marke und dem Umsatz der Händler schaden. Trotzdem verwendet mehr als ein Fünftel (21 Prozent) der Händler keine Sicherheitsmaßnahmen, um sich vor ATOs zu schützen – auch weil solche Sicherheitsmaßnahmen die Customer Experience gefährden können.

Neben betrugssicheren Kundenkonten schätzen Händler und Kunden ein nahtloses Einkaufserlebnis. Als besonders wichtig empfinden Kunden jedoch die Möglichkeit Bonuspunkte zu sammeln. Die Umfrage zeigt, dass 85 Prozent der Kunden über Kundenkonten bei verschiedenen Online-Shops verfügen. 83 Prozent der Befragten geben an, dass sie ausschließlich bei Händlern einkaufen, bei denen sie ein Kundenkonto haben. 56 Prozent geben an, dass sie häufiger einkaufen, wenn sie über ein Kundenkonto verfügen.

Aber auch für Händler haben Kundenkonten Vorteile: Zwei Drittel (66 Prozent) der befragten Händler geben an, dass mindestens die Hälfte aller Bestellungen von Kunden mit Kundenkonten aufgegeben werden. Weiterhin geben 58 Prozent der befragten Händler an, dass Kunden mit Kundenkonto häufiger einkaufen würden. 52 Prozent sagen zudem, dass Kunden mit einem Kundenkonto pro Einkauf mehr ausgeben würden als andere.

Kundenkonten können für Kunden und Händler gleichermaßen ein großes Risiko darstellen, wenn sie nicht ausreichend geschützt sind. Mehr als die Hälfte der Händler (57 Prozent) und sogar vier von fünf Kunden (80 Prozent) sind besorgt, dass ihre Konten gehackt werden könnten. Einkäufe, die über kompromittierte Kundenkonten getätigt werden, sind jedoch für Händler schwer zu erkennen: Diese vermitteln nämlich den Anschein, als ob sie von legitimen, wiederkehrenden Kunden getätigt worden seien.

Gleichzeitig kosten ATOs Händler viel Geld: Wenn Betrüger kompromittierte Konten verwenden, um betrügerische Einkäufe zu tätigen, verlieren Händler nicht nur Einnahmen und den Wert der verkauften Waren. Auch das Marken-Image leidet und der Customer Life Value verringert sich. 69 Prozent der befragten Kunden geben an, dass sie wahrscheinlich nicht mehr bei einem Händler einkaufen würden, wenn ihr Konto kompromittiert worden wäre. Mehr als die Hälfte der befragten Kunden (51 Prozent) gibt an, dass sie ihr Konto löschen würden 29 Prozent würden zu einem Konkurrenten gehen und 26 Prozent ihren Freunden von einem Kauf bei dem betroffenen Händler abraten.

Warum Account-Übernahme-Angriffe so schwer zu verhindern sind

ATOs treten sehr früh im Einkaufsprozess auf – daher verfügen Händler nur über wenige Daten, mit denen sie die ATOs bewerten können. Das wiederum macht es schwierig diese zu erkennen und präventiv dagegen vorzugehen. Die Riskified-Umfrage zeigt:

  • Mehr als ein Fünftel der Händler (21 Prozent) gibt an, dass sie über keine Maßnahmen verfügen, um ATOs zu verhindern.
  • 19 Prozent der Händler können einen Account-Übernahme-Angriff während einer Bestellung nicht identifizieren.
  • Neun Prozent der Händler wissen nicht einmal, dass ein ATO stattgefunden hat, es sei denn, ein Kunde kontaktiert sie.
  • Nur fünf Prozent der Kunden erfahren vom Händler, dass ihr Konto kompromittiert wurde. Die überwiegende Mehrheit stellt Änderungen an ihren Benutzerkonten selbst fest.

Die Umfrage macht deutlich, dass Händler die Benutzerkonten ihrer Kunden schützen müssen ohne dabei das Einkaufserlebnis negativ zu beeinflussen. Eine Methode, um ATOs zu verhindern, ist die Zwei-Faktor-Authentifizierung bei Login-Versuchen. 35 Prozent der befragten Händler nutzen dieses Verfahren, der Nachteil der Kunden ist dabei jedoch, dass die Authentifizierung zu viel Zeit in Anspruch nimmt und viele den Kaufvorgang daraufhin aus Frustration darüber abbrechen. Eine weitere Methode zum Schutz des Benutzerkontos sind komplexe Passwörter. So haben 85 Prozent der Händler angegeben, das Kontopasswörter eine Mischung aus Zeichen, Zahlen, Symbolen sowie Groß- und Kleinbuchstaben enthalten müssen. Dies kann zur Sicherheit beitragen, erhöht jedoch auch die Komplexität und ist unnötig, wenn Kunden das gleiche Passwort für verschiedene Kundenkonten auf anderen Websites verwenden. Laut Umfrage ist das bei mehr als einem der Drittel (36 Prozent) der befragten Kunden der Fall.

“Unsere Umfrage zeigt, dass Händler über ATO-Angriffe Bescheid wissen und sich mit ihnen auseinandersetzen, ihnen fehlt jedoch in der Regel die Fähigkeit, diese als solche zu erkennen und zu verhindern”, so Assaf Feldman, CTO und Co-Founder, Riskified. “Ohne einen dynamischen Ansatz, der alle relevanten Daten auswertet, riskieren Händler erhebliche finanzielle Verluste, frustrierte Kunden und einen beschädigten Ruf. Fortschrittliche Betrugspräventionslösungen, die auf maschinellem Lernen basieren, können legitime Kunden sofort erkennen und ihnen den Weg zum Checkout erleichtern. Verdächtiges Verhalten kann ebenfalls schnell festgestellt und eine entsprechende Bestellung verhindert werden. Auf diese Weise maximieren Händler ihre Einnahmen und bieten Kunden ein angenehmes Einkaufserlebnis.”

Fortschrittliche Technologie kann eine Lösung bieten:

Um ATOs zu vermeiden müssen Händler so viele verfügbare Daten wie möglich nutzen: Geräte- und Netzwerkdetails, Proxy-Nutzung sowie die Prüfung früherer Anmeldungen können Aufschluss darüber geben, ob der Zugriff auf ein Kundenkonto legitim oder betrügerischer Natur ist. Sind Gerät oder Netzwerk unbekannt oder weisen betrügerische Merkmale auf, sollten Händler den Inhaber des Kundenkontos benachrichtigen oder eine Zwei-Faktor-Authentifizierung anwenden.

Zudem sollte es Händlern bewusst sein, dass eine Kontoübernahme nicht das eigentliche Ziel der Betrüger ist – vielmehr ist der Plan, im nächsten Schritt Bestellungen auszulösen. Der Vorteil der Händler ist hier der Einblick in den gesamten Bestellprozess. Eine ungewohnte Anmeldung oder eine Änderung von Details mag zunächst verdächtig erscheinen, aber wenn der Warenkorb beim Checkout ein geringes Risiko darstellt, können Händler die Bestellung mit hoher Wahrscheinlichkeit genehmigen. Ähnlich verhält es sich, wenn auf eine legitime Bestellung ein Chargeback erfolgt: In dem Fall sollten Händler die Kontoaktivität noch einmal überprüfen und den Kunden auffordern, sein Passwort zu ändern.

Weitere Umfrageergebnisse werden in einem Webinar vorgestellt, das am 16. Juni 2020 um 17 Uhr stattfinden wird. Weitere Informationen über das Webinar finden Sie hier:https://pages.riskified.com/ato-survey-webinar/

Methodologie

Die Umfragen wurden von Propeller Insights im Auftrag von Riskified durchgeführt. Befragt wurden insgesamt 1.000 deutsche Verbraucher, die online einkaufen, sowie 100 E-Commerce-Experten, die einen der folgenden Titel bei einem Online-Händler innehaben: CISO, Leiter Sicherheit, Leiter IT, Loyalty Fraud Manager, Leiter Payments, Leiter Finanzen, CFO, Revenue Assurance, Profit Protection, Leiter E-Commerce, Leiter Digital, Leiter Omnichannel, Leiter Fraud, Fraud Manager.

Über Riskified

Mit Riskified können Händler ihre Kunden noch enger an sich binden, indem die Conversion bei jedem einzelnen Schritt im Einkaufsprozess verbessert wird. Die größten Brands der Welt – von Airlines über Luxus-Kaufhäuser bis hin zu Marktplätzen für Gutscheine – vertrauen auf Riskified, um den Umsatz zu erhöhen, sicherere Transaktionen zu ermöglichen und die Kundenerfahrung zu verbessern. Händler verlieren Beträge in Milliardenhöhe aufgrund von veralteten Fraud-Lösungen, fehlgeschlagenen Zahlungen und unzuverlässigen Authentifizierungsmethoden. Riskified nutzt starke Algorithmen, die auf maschinellem Lernen basieren, um legitime Kunden zu erkennen und sie bei ihrem Einkauf zu unterstützen. So können Riskified-Kunden mehr Einkäufe genehmigen, international expandieren, über eine Vielzahl von Kanälen hinweg agieren und dennoch eine nahtlose Kundenerfahrung sicherstellen. Weitere Informationen: www.riskified.com

Contacts

Assaf Dargan: assaf.dargan@riskified.com, +972-52-720-2701
Ann-Katrin Lochmann, Ann-katrin.lochmann@tytopr.com, +49 69 80 88 54 85

Contacts

Assaf Dargan: assaf.dargan@riskified.com, +972-52-720-2701
Ann-Katrin Lochmann, Ann-katrin.lochmann@tytopr.com, +49 69 80 88 54 85