Er gaat niets boven dat heldere „cha-ching“-geluid of dat vrolijke „ding“ wanneer een kaarttransactie is geslaagd. Het is het geluid van gesloten verkopen, een draaiende voorraad en een bedrijf dat echt in een stroomversnelling komt.

Maar niet elke goedgekeurde transactie levert het verwachte resultaat op. Dezelfde betaalterminal kan ongemerkt een frauduleuze transactie goedkeuren: een gestolen kaart die binnen enkele seconden wordt getikt, een gekopieerde chip die tot een vervalsing is gekloond, of een contactloze betaling die haastig wordt verwerkt. Het ziet er allemaal legitiem uit, totdat de terugvordering op je dashboard verschijnt.

Deze verborgen dreiging staat bekend als fraude bij transacties waarbij de kaart fysiek aanwezig is. Het is een hardnekkig risico bij betalingen waarbij men elkaar persoonlijk ontmoet. Hoewel EMV-chips en contactloze technologie de fraude met vervalste kaarten in volwassen markten met wel 87% hebben teruggedrongen, passen fraudeurs zich aan. Verloren of gestolen kaarten, shimming-aanvallen en misbruik van contactloze betalingen met lage bedragen... Fraude bij transacties waarbij de kaart fysiek aanwezig is, leidt tot jaarlijkse verliezen van 6 tot 10 miljard dollar.

In dit artikel komt alles aan bod wat u moet weten over fraude bij contante betalingen. We nemen u mee achter de toonbank om u precies te laten zien hoe deze oplichting tegenwoordig in zijn werk gaat en hoe u ervoor kunt zorgen dat uw volgende goedgekeurde transactie op uw bankrekening blijft staan.

Wat is fraude met fysieke betaalkaarten (CP)?

Fraude met fysieke kaart (CP) is ongeoorloofde betalingsfraude waarbij een crimineel fysiek gebruikmaakt van gestolen, vervalste of gekloonde betaalgegevens (EMV-kaart, terugval op magneetstrip of NFC-tappende digitale portemonnee) om een frauduleuze aankoop te doen bij uw kassa, die in realtime legitiem lijkt.

Dit wordt vaak een „proximity-aanval“ genoemd, omdat de fraudeur zich fysiek dicht bij de betaalterminal moet bevinden. Dit zijn de belangrijkste kenmerken van fraude waarbij de kaart fysiek aanwezig is:

• De kaart (of het token in een digitale portemonnee) wordt persoonlijk ‘getoond’ door deze door een lezer te halen, in te steken (chip), ertegenaan te houden (contactloos/NFC) of, in zeldzame gevallen, door de gegevens handmatig in te voeren.
• De goedkeuring vindt in realtime plaats, vaak vergezeld van een piepje of een geluidje, waardoor de transactie legitiem lijkt.
• Terugboekingen komen meestal pas weken later aan het licht, wanneer de dader al lang met de goederen of diensten aan de haal is gegaan.

CP-fraude onderscheidt zich van kaartfraude in het algemeen (met name fraude waarbij de kaart niet fysiek aanwezig is) door het feit dat het om fysieke, persoonlijke transacties gaat.

Hoe transacties met fysieke kaart werken

Een standaard CP-transactie verloopt als volgt:

1. Een klant betaalt bij de kassa door een chipkaart in te voeren, een contactloze kaart, telefoon of horloge te scannen, de magneetstrip door de lezer te halen of een kaart aan te reiken voor handmatige invoer.
2. De kassa leest gegevens.  
   
   • Voor chip/contactloos: er worden versleutelde dynamische gegevens (eenmalige code) gegenereerd.
   • Voor de magneetstrip (tegenwoordig zeldzaam vanwege technologische vooruitgang): het systeem leest de gegevens van de magneetstrip.
3. De terminal stuurt het verzoek om betalingsautorisatie met de bijbehorende gegevens naar uw acquirer/verwerker, die deze gegevens doorstuurt naar het kaartnetwerk (Visa, Mastercard, Amex of Discover) en vervolgens naar de kaartuitgever of bank.
4. De uitgever keurt de transactie goed of weigert deze na controle van het saldo, de frauderegels en (bij chipbetalingen) de validatie van het cryptogram, waarna het antwoord binnen enkele seconden wordt teruggestuurd.
5. De transactie is voltooid zodra er een bon is afgedrukt, de goederen zijn overhandigd en het geld later is overgemaakt (bij voorkeur binnen 1 tot 3 dagen).

Fraude bij transacties waarbij de kaart fysiek wordt aangeboden, maakt misbruik van de behoefte aan optimale snelheid en een soepel afrekenproces bij transacties in de winkel.

Fraudeurs maken gebruik van verloren of gestolen kaarten en contactloze transacties zonder pincode, die binnen enkele seconden kunnen worden afgerond en vrijwel geen direct risico met zich meebrengen. Winkeliers worstelen met de afweging tussen gebruiksgemak en veiligheid. Elke extra verificatiestap die deze aanvallen zou kunnen voorkomen, zou elke legitieme klant vertragen en afbreuk doen aan de snelle, soepele ervaring die de verkoop in de winkel stimuleert.

Veelvoorkomende vormen van fraude bij transacties waarbij de kaart fysiek aanwezig is

Fraudeurs hebben het volledig klonen van kaarten grotendeels achter zich gelaten. De dynamische codes van EMV maken dit uiterst moeilijk en zelden nog de moeite waard. In plaats daarvan geven ze de voorkeur aan opportunistische methoden die weinig inspanning vergen en snel resultaat opleveren, waarbij ze misbruik maken van de essentie van een werkelijk moeiteloos afrekenproces. Snelgroeiende merken worden steeds vaker het doelwit van technische omzeilingen en social engineering die erop gericht zijn zowel de betaalterminal als de medewerker achter de toonbank te misleiden. Hieronder volgen de meest voorkomende patronen van fraude bij fysieke betalingen die het vermelden waard zijn:

1) Shimming- en fallback-aanvallen

Terwijl kaartlezers (die magneetstrips lezen) in de moderne detailhandel bijna volledig zijn verdwenen, vormen Shimmers de nieuwe trend.

Een shim is een flinterdun, microscopisch klein apparaatje dat in de chipgleuf van je betaalterminal wordt geplaatst. Het leest de magneetstrip niet uit. Het onderschept de communicatie tussen je kassa en de EMV-chip.

Het doel? Een technische storing veroorzaken. Wanneer de chip door de schittering niet kan worden gelezen, wacht de crimineel tot uw personeel zegt: „De chip werkt niet, laten we hem eens door de lezer halen.“ Op het moment dat de kaart door de lezer wordt gehaald, keert de aansprakelijkheid om en bent u, de handelaar, voor 100% aansprakelijk voor de frauduleuze transactie.

2) NFC-relais en spooktikken

Dit is misschien wel de meest geavanceerde bedreiging waarmee drukbezochte showrooms en pop-upevenementen te maken hebben.

Met behulp van tools zoals NFCGate stuurt een fraudeur een signaal door van een legitieme kaart die zich elders bevindt (bijvoorbeeld in de zak van iemand in een nabijgelegen koffiebar) naar een telefoon bij uw kassa.

De oplichter tikt vervolgens op zijn telefoon (Apple/Google Pay) en de transactie wordt goedgekeurd. Voor uw systeem lijkt het alsof er een beveiligde mobiele portemonnee is gebruikt. In werkelijkheid beschikt de persoon die voor u staat niet over de inloggegevens. Het zijn in feite koeriers die de kaart van iemand anders in uw winkel gebruiken.

3) Geforceerde handmatige invoer

Dit is de lowtech-variant van fraude waarbij de kaart fysiek aanwezig is. Maar laat je niet misleiden door het alledaagse karakter ervan; het kost groeiende merken nog steeds miljoenen. Het maakt misbruik van menselijke goedhartigheid en haast.

Bij social engineering-fraude met betaalkaarten laat de oplichter een kaart zien die hij opzettelijk heeft beschadigd (een bekrast chipje). Hij kan zelfs de rol van ‘dame in nood’ spelen en beweren dat hij haast heeft of dat dit ‘voortdurend’ gebeurt.

Ze halen uw medewerker over om het 16-cijferige kaartnummer en de CVV handmatig in de terminal in te voeren. Zodra ze dat doen, is het game over! Handmatig ingevoerde transacties worden op een fysiek apparaat verwerkt als ‘card-not-present’ (CNP), waardoor u bij een geschil vrijwel al uw juridische verdedigingsmiddelen kwijt bent.

4) Misbruik door de eigen organisatie

Voor veel klanten van Chargeflow vormen hun eigen klanten de grootste bedreiging.

Misbruik door de betrokkene zelf komt voor bij transacties waarbij de kaart fysiek wordt aangeboden. De klant komt naar uw winkel, koopt een duur artikel en dient vervolgens twee weken later een klacht in over de transactie. Omdat de klant fysiek in de winkel aanwezig was, gaat hij ervan uit dat uw bewijs – vaak slechts een thermische kassabon of handtekening – niet voldoende is om aan te tonen dat de transactie legitiem is geautoriseerd.

In deze gevallen is het kassabonnetje niet uw sterkste verdedigingsmiddel. Dat zijn de gegevens: EMV-authenticatiegegevens, kassalogboeken, apparaatverificatie, bewijs van levering op SKU-niveau en elke digitale-fysieke koppeling die de transactie aan de kaarthouder bindt.

Fraude met fysieke kaart versus fraude zonder fysieke kaart: de belangrijkste verschillen

Voor veel merken vervaagt de grens tussen ‘online’ en ‘in de winkel’ door de opkomst van Unified Commerce. Voorraadgegevens, betalingsgegevens en klantgegevens worden geïntegreerd in één ecosysteem om hybride koopgedrag te ondersteunen, zoals ‘online kopen, in de winkel ophalen’ (BOPIS) en showrooming.

Maar betalingsnetwerken classificeren transacties nog steeds op basis van het kanaal. Voor transacties waarbij de kaart fysiek aanwezig is en transacties waarbij de kaart niet fysiek aanwezig is, gelden verschillende risicomodellen, aansprakelijkheidsregels en procedures voor geschillenbeslechting.

Terwijl handelaren één klanttraject zien, zien de netwerken twee verschillende risicomilieus.

Inzicht in de structurele kloof en de manier waarop CP- en CNP-fraude worden aangepakt, is van cruciaal belang voor handelaren die via verschillende kanalen actief zijn.

De fundamentele afwijking

In de meest basale zin komt het verschil tussen CN-fraude en CNP-fraude neer op het al dan niet aanwezig zijn van bewijs.

• In situaties van CNP-fraude wordt de legitimiteit van een transactie aangetoond aan de hand van een reeks digitale signalen. Hieronder vallen onder meer het IP-adres, de CVV-code en 3DS.
• Bij CP is de verificatie een fysieke cryptografische handdruk tussen een EMV-chip en uw hardware.

De aansprakelijkheidsverschuiving

Het allerbelangrijkste principe bij moderne betalingsverwerking is de vraag wie er betaalt als er iets misgaat. De „aansprakelijkheidsverschuiving“ is een regel die door de kaartnetwerken is vastgesteld en die bepaalt welke partij financieel aansprakelijk is voor een frauduleuze transactie.

• In de CP-wereld geldt dat als je een EMV-conforme terminal hebt en een klant een gestolen chipkaart ‘invoert’, de bank of kaartuitgever het verlies draagt. De uitzondering op deze regel is wanneer je een ‘Fullback Swipe’ toestaat (het doorhalen van de magneetstrip omdat de chip niet werkte) of wanneer er handmatig gegevens zijn ingevoerd. In dat geval doe je in feite afstand van je bescherming.
• In CNP-situaties bent u, de handelaar, standaard aansprakelijk voor online fraude. De uitzondering hierop is wanneer u 3DS implementeert of bepaalde protocollen voor digitale portemonnees gebruikt.

Hoe fraude met fysieke betaalkaarten plaatsvindt bij het verkooppunt

Dit is wat de meeste winkeliers over het hoofd zien: die frauduleuze transactie van 8.000 dollar die op je rekening terechtkomt, is niet bij de kassa begonnen. Het begon al bij je trainingsmateriaal.

Elke keer dat je je medewerkers zegt dat ze „een soepele ervaring moeten creëren“ of „technische problemen nooit een verkoop in de weg mogen laten staan“, leer je hen om de beveiligingsmaatregelen te omzeilen die bedoeld zijn om jou te beschermen. Je leert hen onbedoeld om waarschuwingssignalen te negeren.

Oplichters begrijpen dit beter dan de meeste ondernemers. Ze kleden zich niet als criminelen en gedragen zich niet verdacht. Ze doen zich voor als uw ideale klant, zodat u geen argwaan koestert.

Waarschuwingssignalen van fraude met fysieke betaalkaarten voor winkeliers

Waarschuwingssignalen in het gedrag

Leer uw personeel om op te merken wanneer de standaardprocedures bij het afrekenen worden omzeild of overhaast worden afgehandeld. Dit zijn de meest voorkomende waarschuwingssignalen die wijzen op fraude bij transacties waarbij de kaart fysiek aanwezig is:

• Noodzaak om de verificatie te omzeilen: direct na een storing van de chip aandringen op het doorhalen van de kaart of handmatige invoer.
• Snelle aankopen van kleine bedragen: meerdere contactloze betalingen die onder de verificatiedrempels vallen, vaak op verschillende locaties.
• Onmiddellijke ommezwaai na een afwijzing: van kaart wisselen, om handmatige invoer vragen of cadeaubonnen gebruiken in plaats van de gebruikelijke procedures bij afwijzing te volgen.
• Pogingen om het afrekenproces te beïnvloeden: afleiding creëren, het proces versnellen of controle ontmoedigen.

Fysieke kaartindicatoren

Soms zit het risico in de kaart zelf verwerkt. Dit zijn de meest voorkomende fysieke aanwijzingen voor fraude bij transacties waarbij de kaart fysiek aanwezig is:

• Een bekraste of beschadigde chip die eruitziet alsof dit met opzet is gedaan.
• Kaarten die er oud of versleten uitzien, ook al zijn ze „pas uitgegeven“.
• Verzoeken om het plaatsen van de chip over te slaan en in plaats daarvan de kaart te scannen.
• Tekenen van manipulatie of niet-overeenkomende handtekeningen.
• De klant overhandigt een hoogwaardige, metalen betaalkaart. Maar wanneer deze wordt gescand of getikt, verschijnt op uw kassascherm ‘DEBIT’ of ‘PREPAID’ in plaats van ‘CREDIT’.

Onthoud dat fraude bij transacties met fysieke betaalkaarten erop gericht is misbruik te maken van uw bedrijfscultuur, niet per se van uw technologie. Daarom slaagt het meestal ook. Wanneer uw team ervan uitgaat dat extra handelingen gelijk staan aan slechte service, maken fraudeurs misbruik van die aanname. Ze weten dat u uw personeel hebt getraind om alternatieve oplossingen te vinden wanneer chips niet werken of systemen vertraging oplopen.

De zakelijke gevolgen van fraude met fysieke betaalkaarten

Er is een reden waarom de meeste winkeliers zich niet al te veel zorgen maken over fraude bij transacties waarbij de kaart fysiek wordt getoond. De klant staat er immers zelf bij met een fysieke kaart. Wat kan er misgaan?

Het blijkt dat de schade veel groter is dan je zou denken. De gevolgen reiken veel verder dan de transactie zelf.

Net als bij CNP-fraude kost fraude waarbij de kaart fysiek aanwezig is u niet het transactiebedrag. Het kost u:

• Het product dat er vandoor ging
• Kosten voor een terugboeking wanneer de kaarthouder het geld terugvordert
• 8 tot 12 uur aan personeelstijd voor het onderzoeken en betwisten van de terugvordering
• De winstmarge op legitieme verkopen die je nodig hebt om het verlies te compenseren

Maar dat is nog niet alles.

Bijbehorende kosten zijn onder meer:

• Operationele verstoringen, doordat medewerkers transacties in twijfel trekken, zorgen ervoor dat het afrekenen langer duurt, wat legitieme klanten irriteert en het moreel ondermijnt.
• Gevolgen voor de voorraad: systemen geven omzet weer die nooit op uw balans is terechtgekomen, er worden nabestellingen geactiveerd op basis van fictieve vraag en de vraagprognoses worden in het algemeen minder betrouwbaar.
• Merkbeschadiging als gevolg van tekortkomingen in de fraudedetectietools die bij het afrekenen zijn toegevoegd.
• Strategische en financiële beperkingen wanneer verwerkers hun onderhandelingspositie gaan versterken door hogere reserves aan te leggen, strengere regels in te voeren en betalingen uit te stellen.

Als je even uitrekent, zul je snel begrijpen waarom elke dollar aan fraude je minstens 4,61 dollar kost.

Uitdagingen bij het opsporen en voorkomen van fraude met kinderbijslag

Het opsporen en tegengaan van CP-fraude bij het afrekenen kan voor winkeliers een hele uitdaging zijn. Het grootste probleem is dat je transacties moet beveiligen die zijn ontworpen om razendsnel te verlopen.

Zoals eerder aangegeven, is het een klassieke Catch-22. Elke extra controle kan de klantervaring die je met zoveel moeite probeert te bieden, tenietdoen. Maar als je te weinig controles inbouwt? Dan maken fraudeurs misbruik van de hiaten.

Hier volgen vier van de grootste obstakels bij het opsporen en voorkomen van CP-fraude:

De strijd tussen snelheid en veiligheid

Transacties zouden binnen enkele seconden moeten worden goedgekeurd. Dat is nu juist het voordeel van moderne betaalmethoden. Het invoeren van ingrijpende controles, zoals het vragen om een identiteitsbewijs of het activeren van waarschuwingssignalen, kan dan ook leiden tot wachtrijen, klanten irriteren en de conversiepercentages negatief beïnvloeden.

Oplichters blijven zich aanpassen

Hoewel het klonen van kaarten dankzij EMV niet meer zo wijdverbreid is als vroeger, komen verloren of gestolen kaarten nog steeds voor. In een artikel in Forbes werd gemeld dat er vorig jaar minstens 14 miljoen creditcards zijn gestolen, waarbij 1 miljoen kaartnummers gratis op het dark web werden aangeboden.

Fraude bij transacties waarbij de kaart fysiek aanwezig is, zoals het inbrengen van een valse chip (shimming) en contactloze misbruikpraktijken zonder pincode binnen de limieten, blijft bestaan omdat deze snel te plegen zijn en weinig risico met zich meebrengen. Een dief tikt de kaart al aan voordat de eigenaar het heeft gemeld.

Personeelsverloop ondermijnt de consistentie

In de detailhandel is het personeelsverloop groot. Nieuwe medewerkers zien subtiele aanwijzingen voor fraude vaak over het hoofd omdat er te weinig tijd is voor training. Eén slechte dienst kan de deur openzetten voor grootschalige CP-fraude.

Oplichters zoeken naar deze zwakke plekken. Ze slaan toe tijdens drukke momenten. Ze richten zich op nieuwe medewerkers en locaties met te weinig personeel. Ze spelen in op de timing van uw beveiliging.

De interne bedreiging waar je je niet met technologie van kunt ontdoen

Sommige gevallen van fraude waarbij de kaart fysiek aanwezig is, komen niet van buitenaf. Medewerkers verwerken valse retourzendingen. Ze bewaren kaartgegevens van klanten, schakelen beveiligingscontroles uit of helpen verdachte transacties door te voeren.

Omdat deze transacties door geautoriseerde gebruikers worden verwerkt, zien ze er voor uw systeem volkomen legitiem uit. U kunt weliswaar controleren op afwijkingen, maar dat is niet voldoende om het probleem op te lossen. Om een detailhandel te runnen, is fundamenteel vertrouwen onontbeerlijk.

Nu u weet hoe fraude met fysieke betaalkaarten zich afspeelt bij het afrekenen, is de vraag: hoe implementeert u praktische, soepele beveiligingsmaatregelen om uw omzet te beschermen zonder dat elk contact met een klant verandert in een veiligheidscontrole? Laten we dat eens bekijken:

Beste praktijken voor het voorkomen van fraude bij transacties waarbij de kaart fysiek aanwezig is

Het goede nieuws is dat je met een combinatie van eenvoudige technische aanpassingen, gewoontes van het personeel en slim beleid het grootste deel van de fraude bij transacties met fysieke betaalkaarten kunt voorkomen. En dat kun je doen zonder dat dit ten koste gaat van een snelle afhandeling en tevreden klanten.

Hier volgt een beproefde handleiding waarin de verkoper centraal staat en die zich richt op maatregelen met een groot effect en minimale verstoring:

1) Stel 'Chip' en 'Contactloos' in als standaard

Leid klanten op een vriendelijke manier naar om de chip in te voeren of NFC te gebruiken in plaats van de kaart door de lezer te halen. Schakel, indien de terminal dit toestaat, de terugval op de magneetstrip uit of ontmoedig het gebruik ervan. Waarom? Het is trager, minder veilig en leidt vaak tot aansprakelijkheidsverschuivingen volgens de EMV-regels.

Contactloos betalen is sowieso sneller voor uw kassa’s. Bovendien maakt het gebruik van tokenisatie en dynamische codes, waardoor het veel moeilijker wordt om gegevens te stelen.

2) Zorg voor vaste routines voor de opleiding van het personeel

Organiseer korte, regelmatige sessies waarin de nadruk ligt op echte signalen van CP-fraude. Zorg ervoor dat iedereen het verschil kent tussen een klant die echt een slechte dag heeft en een fraudeur die probeert het proces te manipuleren.

Leer medewerkers bovendien hoe ze op een beleefde manier om een identiteitsbewijs met foto kunnen vragen bij transacties met een hogere waarde of bij risicovolle transacties, en maak dagelijkse inspecties van de betaalterminals onderdeel van de openings- en sluitingsroutines, indien van toepassing. Zo kunt u valstrikken en skimmers op lezers en kaartgleuven opsporen.

Verkoopteams met een hoog personeelsverloop presteren het beste als de training kort, visueel en herhaaldelijk is.

3) Beveilig uw kassasysteem

Gebruik terminals met een fraudebestendige beveiliging die een waarschuwing geven wanneer ze worden geopend of gemanipuleerd. Schakel de terugval op de magneetstrip uit, behalve wanneer de manager dit handmatig toestaat. Het dwingen van het doorhalen van de kaart via dezelfde terminal die de chip heeft geweigerd, is de meest voorkomende fraudetechniek, en legitiem beschadigde chips komen zelden genoeg voor om als uitzonderingen te worden behandeld.

Het belangrijkste is dat u de invoer van een pincode verplicht stelt bij bedragen boven uw limiet voor contactloos betalen. Als in uw regio contactloos betalen tot $ 100 is toegestaan en u hebt gemerkt dat fraudeurs hier misbruik van maken, stel uw limiet dan in op $ 50. Het ongemak van het invoeren van een pincode is verwaarloosbaar in vergelijking met de kosten die ontstaan als u dit niet verplicht stelt.

4) Verbetering van de klantverificatie en het toezicht op rode vlaggen

Vraag bij verdachte of hoogwaardige transacties bij elke transactie om volledige autorisatie. Overweeg om Code 10-verzoeken in te zetten. Als er iets niet klopt, neem dan discreet contact op met de verwerker/uitgever voor een „Code 10“-autorisatieverzoek. Zo wordt de uitgever discreet gewaarschuwd zonder dat de klanten hier iets van merken.

Controleer of de kaartgegevens kloppen en let op patronen, zoals herhaalde pogingen, grote aankopen van artikelen die vaak het doelwit zijn van fraude, of het gedwongen gebruik van alternatieve betaalmethoden.

5) Pas waar mogelijk nieuwe verdedigingsmaatregelen toe

In hybride scenario’s (bijvoorbeeld BOPIS) moet u, indien van toepassing, integreren met CNP-tools zoals Chargeflow Prevent en de transactie voorafgaand aan de afhandeling in de winkel controleren op risico’s.

Deze gestructureerde aanpak beperkt de verliezen zonder dat dit ten koste gaat van de verkoopcijfers. In het volgende hoofdstuk bespreken we hoe je moet reageren als er toch iets door de mazen van het net glipt.

Hoe handelaren moeten reageren op gevallen van fraude met fysieke betaalkaarten

Als een transactie niet helemaal goed voelt, moet het doel zijn om de transactie weer in veilige vaarwateren te brengen of deze zonder ophef te beëindigen. Hier volgt het moderne driestappenprotocol voor het opschalen van merken:

Fase 1: Onmiddellijke reactie

Zodra er een rode vlag verschijnt, moeten je medewerkers overschakelen op „de schuld bij het systeem leggen“.

Het script: „Het spijt me heel erg, de terminal geeft een foutmelding bij de beveiligingshandeling. Ons systeem staat niet toe dat ik dit omzeil bij een transactie van deze omvang.“

Waarom dit werkt: het neemt het persoonlijke aspect weg waar oplichters misbruik van maken. De medewerker legt de klant geen verwijten op. De automatische machine doet gewoon zijn werk. En weet je wat? Dit voorkomt de agressieve afleidingstactiek die fraudeurs gebruiken om druk uit te oefenen op het personeel.

Volgende stappen:

• Start discreet een Code 10-autorisatie.
• Vraag beleefd om een identiteitsbewijs met foto als het beleid dit toestaat (vergelijk op subtiele wijze de naam, foto en handtekening).
• Als de situatie escaleert of de klant agressief wordt, geef dan prioriteit aan de-escalatie. Schakel een leidinggevende of beveiliging in en weiger de transactie beleefd („Deze transactie is niet gelukt, wilt u misschien een andere kaart proberen?“). Maar ga nooit tegen een weigering in.

Fase 2: Eindpuntdraaipunt

Als u een aanval op apparaatniveau vermoedt (zoals een relay-aanval of shimming), blijf dan niet gewoon op dezelfde kassa proberen. Vraag de klant vriendelijk om naar een andere kassa te gaan: „Laten we deze kassa eens proberen. Kassa 1 doet al de hele ochtend raar bij NFC-betalingen.“

Waarom dit van cruciaal belang is: als de vertraging of fout bij register 2 verdwijnt, is er waarschijnlijk sprake van een hardwareprobleem bij register 1. Als de fout blijft bestaan, ligt het probleem bij de inloggegevens en niet bij de hardware.

Fase 3: Beveiliging en herstel na een incident

In gevallen waarin een verdachte transactie is goedgekeurd – bijvoorbeeld omdat de fraudeur er via social engineering in is geslaagd een alternatieve methode te gebruiken – zijn er veiligheidsmaatregelen nodig. Markeer de transactie onmiddellijk als verdacht. De meeste moderne systemen bieden de mogelijkheid om interne opmerkingen toe te voegen.

Onmiddellijke maatregelen:

• Voeg bij het transactie-ID in uw kassasysteem interne opmerkingen toe: bijv.Klant beweerde datde chip van zijn zakelijke kaart beschadigd was; stond erop dat het bedrag handmatig werd ingevoerd. Het personeel merkte op dat de klant zich gehaast gedroeg en dwong tot een alternatieve betaalmethode.
• Leg het exacte tijdstip of het goedkeuringssignaal vast, samen met opmerkingen van het personeel over hun waarnemingen.
• Maak een videoclip van 15 tot 30 seconden op van de camera in de winkel (indien beschikbaar en wettelijk toegestaan) waarop de interactie en het tonen van de kaart te zien zijn.
• Controleer de terminal op tekenen van manipulatie (beweegtest, controleer op overklevingen of camera’s) en meld dit aan de verwerker.

Zo kunt u later, wanneer de terugvordering binnenkomt, een videoclip van 15 seconden opvragen. Als geen van deze situaties van toepassing is en de terugvordering de enige wake-upcall is die u op de kaartfraude wijst, dan komt Chargeflow in beeld. Chargeflow helpt handelaren om terugvorderingen automatisch terug te vorderen. En u betaalt alleen als het lukt.

Als u een online onderdeel heeft, is het toevoegen van Chargeflow een absolute must. Het zorgt ervoor dat incidenten bij transacties waarbij de kaart fysiek aanwezig is, worden omgezet in terugvorderbare geschillen, vaak met een vier keer zo hoog terugvorderingspercentage.

Trends op het gebied van fraude met fysieke betaalkaarten en opkomende bedreigingen

De fraude wordt met de dag actiever. Volgens het rapport van Kansas City Payments Research Systems is „de Amerikaanse betalingssector in 2015 overgestapt op EMV-chipkaarttechnologie om fraude bij fysieke transacties tegen te gaan. Sindsdien is de fraude met betaalkaarten echter blijven stijgen.“

De CP-tarieven in de VS blijven hoger dan in regio’s als Australië (1,0 basispunt) of de EER (0,7 basispunt), deels als gevolg van een tragere invoering van EMV en contactloos betalen in bepaalde segmenten.

Hieronder volgen enkele opkomende bedreigingen die het vermelden waard zijn:

NFC-relay-aanvallen

Het risico is klein, maar reëel. Een fraudeur kan met behulp van speciale apparatuur een NFC-signaal van de telefoon van een slachtoffer doorsturen naar uw betaalterminal. De transactie lijkt volkomen legitiem. De versleutelde mobiele portemonnee doorstaat alle veiligheidscontroles zonder problemen.

Waarom dit belangrijk is: als de daadwerkelijke kaarthouder de afschrijving betwist, heb je geen fysiek bewijs van wie er bij je kassa heeft getikt. Door de vereiste technische kennis komt dit relatief weinig voor.

Waar u op moet letten: contactloze transacties die ongewoon traag verlopen (een vertraging van 2 tot 5 seconden) of klanten die geen verbinding lijken te hebben met hun betaalapparaat.

BORIS-fraude: de cadeaubon-versie

Het concept ‘online kopen, in de winkel retourneren’ is veranderd. Oplichters richten zich nu specifiek op het retourneren van cadeaubonnen, omdat deze niet te traceren zijn en op secundaire markten gemakkelijk in contanten kunnen worden omgezet.

Het patroon: de crimineel koopt online dure artikelen met een gestolen kaart, kiest voor afhalen in de winkel en rijdt vervolgens onmiddellijk naar een andere locatie om de artikelen terug te brengen. De oplichter beweert dat hij de kassabon kwijt is en zet het personeel onder druk om een algemene cadeaubon uit te geven in plaats van het bedrag terug te storten op de oorspronkelijke betaalmethode.

Het gevolg: je draait op voor de terugvordering van de oorspronkelijke aankoop, raakt de voorraad kwijt en geeft een cadeaubon af die binnen enkele uren wordt verkocht voor cryptovaluta.

Hoe voorkom je dit: combineer Policy Upgrade met Chargeflow Prevent, zodat AI dergelijke oplichters uit je systeem kan filteren. Train je medewerkers om elke retourzending zonder bewijs van de oorspronkelijke betaling door te geven aan een leidinggevende.

Bluetooth-apparaten voor het skimmen van kaarten

Moderne skimmers zijn kleiner, geavanceerder en moeilijker op te sporen. Ze worden in je chipkaartlezer geplaatst en verzenden gestolen gegevens draadloos; de crimineel hoeft dus niet terug te komen om iets fysiek mee te nemen.

Je merkt het misschien pas als je een reeks terugboekingen ziet vanwege fraude met vervalste kaarten die bij een bepaalde betaalterminal zijn gebruikt. Tegen die tijd zijn er al tientallen klanten het slachtoffer geworden.

Zoals we eerder al hebben aangegeven, helpt een regelmatige fysieke inspectie van de terminals dit te voorkomen. Onderzoek de onderliggende oorzaken onmiddellijk zodra u merkt dat er meerdere meldingen van fraude zijn die verband houden met dezelfde terminal.