Fraude in de e-commerce komt zelden chaotisch over. Vaker doet het zich voor als succes: recordomzetten, torenhoge goedkeuringspercentages en een groeiend wereldwijd bereik. Uiterlijk gezien verbeteren alle statistieken, terwijl de winstmarges stilletjes afbrokkelen.

Naarmate de digitale handel groeit, nemen ook de prikkels toe om hier misbruik van te maken. Fraudeurs ontwikkelen zich sneller dan de traditionele controlemechanismen. Ze richten zich op alles, van gestolen inloggegevens tot geschillen na aankoop.

De financiële gevolgen zijn al even ernstig. Volgens schattingen uit de sector kost elke dollar die door fraude verloren gaat, handelaren in totaal minstens 4,61 dollar, wanneer rekening wordt gehouden met terugboekingen, operationele verstoringen en reputatieschade.

Hoewel de wereldwijde uitgaven voor fraudepreventie naar verwachting in 2027 de grens van 100 miljard dollar zullen overschrijden, blijven de verliezen stijgen. Deze kloof tussen investeringen en effectiviteit bewijst dat fraude niet iets is waar je geld tegenaan gooit in de hoop dat het vanzelf verdwijnt.

Daarom hebben we deze gids voor u samengesteld. Hierin worden de meest voorkomende vormen van e-commercefraude toegelicht en worden praktische strategieën beschreven om risico’s te beperken zonder dat dit ten koste gaat van de klantervaring.

Wat is e-commercefraude?

In de breedste zin van het woord is e-commercefraude elke vorm van misleiding die op het platform van een onlinehandelaar plaatsvindt om op illegale wijze financieel gewin of goederen te verkrijgen.

Maar voor een modern bedrijf is die definitie nogal passief. E-commercefraude is het economisch misbruik van digitale systemen om onrechtmatig voordeel te behalen. Het vindt plaats wanneer de opbrengst opweegt tegen de kosten, de inspanning en het risico om ontdekt te worden. Met andere woorden: fraude volgt een voorspelbare logica.

We kunnen deze logica weergeven in een eenvoudig raamwerk, de ‘Exploitability Equation’, die kwantificeert hoe prikkels, toegankelijkheid, anonimiteit en weerstand op elkaar inwerken:

E-commercefraude = motivatie × toegankelijkheid × anonimiteit ÷ weerstand.

Als je e-commercefraude vanuit dit perspectief bekijkt, is het niet langer een storing in het systeem. Je beseft dat het een berekende, opzettelijke uitbuiting is van vertrouwenskloofjes in je afrekenproces. Fraude is een bedrijfsmodel.

Waarschuwingssignalen en rode vlaggen bij e-commercefraude

Het opsporen van fraude in een snel veranderende omgeving draait volledig om het herkennen van afwijkingen in de context. Als je wacht tot er één duidelijke waarschuwing opduikt, is de misbruikpraktijk waarschijnlijk al op grote schaal doorgevoerd. Effectieve fraudedetectie in e-commerce is daarentegen gebaseerd op het identificeren van een combinatie van indicatoren die wijzen op de kwetsbaarheid van het platform.

Zo werkt het:

1) Samengestelde indicatoren op transactieniveau

Geen enkel risico-indicator op zich is voldoende reden om een transactie af te wijzen. Een VPN, een nieuw e-mailadres, een onbekend apparaat... elk op zich is dat niets bijzonders. Het risico neemt toe wanneer deze factoren samenkomen:

• Geografische discrepantie: een factuuradres in de ene regio, een IP-adres in een andere regio en een verzendbestemming die gekoppeld is aan een bekende expediteur of overslagcentrum.
• Het liquiditeitsfilter: bestellingen waarbij een nieuwe klant het gebruikelijke surfgedrag omzeilt om de maximaal toegestane hoeveelheid artikelen met een hoge doorverkoopwaarde (bijvoorbeeld cadeaubonnen) aan te schaffen.
• Identiteitsvervalsing: transacties met een hoge waarde in combinatie met ‘wegwerp’-identiteitssignalen, zoals e-maildomeinen die in de afgelopen 30 dagen zijn geregistreerd of VoIP- of prepaid-telefoonnummers zonder geverifieerde factureringsgeschiedenis.
• Omleiding na aankoop: verzoeken om de verzendgegevens te wijzigen of een pakket via de vervoerder om te leiden kort nadat de bestelling is verwerkt. Dit is een veelgebruikte tactiek bij betalingsfraude die wordt ingezet om de eerste adresverificatiecontroles te omzeilen.

2) Structurele signalen op platformniveau

Een ongewoon hoog aantal terugbetalingsverzoeken binnen een bepaalde productcategorie of regio, of een maandelijkse piek in het aantal terugboekingen, betekent niet per se dat uw platform onder vuur ligt. Dit soort situaties kunnen vaak worden opgevangen als lineaire kosten. Maar wanneer het transactievolume recordhoogtes bereikt, terwijl uw nettowinst per bestelling stilletjes keldert, is er sprake van een structurele ontkoppeling. De kwetsbaarheid van uw platform wordt op de proef gesteld.

Houd deze structurele verschuivingen in de gaten om deze ontkoppeling te signaleren:

• Goedkeuringspercentage en margeafwijking: wanneer het goedkeuringspercentage van transacties en de nettomarge in tegengestelde richtingen evolueren, kan er sprake zijn van e-commercefraude met een hoge omloopsnelheid. Dit wordt vaak onbedoeld veroorzaakt door beleidswijzigingen, zoals het schrappen van een verificatiestap.
• Vertraging tussen terugbetaling en geschil: Uit gegevens uit het hele betalingsecosysteem blijkt dat afgewezen terugbetalingsverzoeken vaak 2 tot 4 weken later tot terugboekingen op bankniveau leiden. Dit is de klassieke definitie van terugboekingsfraude en vormt een structureel keerpunt. De fraudeur maakt misbruik van de kloof tussen het beleid van de handelaar en de regels inzake consumentenbescherming. Wanneer de fraudeur zich realiseert dat hij uw interne controles niet kan omzeilen met valse terugbetalingsverzoeken, verschuift hij zijn activiteiten naar het bankniveau, waar de bewijslast lager is.
• Aanhoudende identiteitswisselingen: een plotselinge toename van nieuwe accounts met dezelfde apparaatvingerafdruk of hardware-ID is een duidelijke aanwijzing voor mogelijke fraude. Hoewel de namen en betaalkaarten kunnen veranderen, blijft de onderliggende ‘digitale voetafdruk’ constant, wat wijst op een gecoördineerde, door bots aangestuurde aanval. Deskundigen hebben hier herhaaldelijk voor gewaarschuwd.
• Geconcentreerd misbruik van promoties: wanneer een klein deel van uw gebruikersbestand verantwoordelijk is voor een onevenredig groot aantal inwisselingen van promoties, is dat reden tot bezorgdheid. Dit is hoogstwaarschijnlijk het gevolg van het opbouwen van verwijzingslussen of couponarbitrage, en niet van merkloyaliteit.

Dat gezegd hebbende, gaan we eens kijken naar de systemen voor fraudedetectie en -preventie die bij de top 1% van de e-commercebedrijven goed werken.

Hoe e-commercefraude op te sporen en te voorkomen

Om e-commercefraude op te sporen en te voorkomen, moet u uw webwinkel bekijken vanuit het perspectief van een aanvaller. Waarom? Omdat e-commercefraude een rationele economische activiteit is. Het neemt alleen toe als het voor de fraudeur financieel loont. Het gedijt in de ruimte tussen conversie (het gemakkelijk maken om te kopen) en beveiliging (het moeilijk maken om te stelen).

Zodra u de variabelen van de exploiteerbaarheidsvergelijking zo aanpast dat een aanval op uw winkel meer kost dan de potentiële opbrengst, schrikt u fraudeurs effectief af om het op u te gemunt te hebben.

Hier volgen vier handige tips om e-commercefraude op te sporen en te voorkomen:

1) Dynamische wrijving implementeren

Statische wrijving remt de groei af, maar nulwrijving holt de marges uit. De oplossing is dynamische wrijving; je activeert verificatiestappen in situaties waarin misbruik gemakkelijk kan plaatsvinden.

De logica is simpel. Gebruik gewogen fraudescores om verdacht gedrag te bestraffen. Je wilt dat de kosten van de aanval hoger zijn dan de doorverkoopwaarde van het artikel.

2) De identiteitslaag beveiligen

IP-adressen en e-mailadressen zijn basisvariabelen. Overweeg om je te richten op hardware-fingerprinting en gedragsbiometrie.

• Hardware-fingerprinting: houd de onderliggende Canvas- of WebGL-fingerprints bij. Zoals eerder aangegeven, kunnen fraudeurs wel 10.000 e-mails vervalsen. Maar ze bootsen zelden 10.000 unieke hardwareomgevingen na.
• Gedragsritme: Mensen hebben een ‘ritme’. Ze scrollen, aarzelen, bewegen de muis, enzovoort. Bots springen binnen milliseconden van ‘Toevoegen aan winkelwagen’ naar ‘Nu betalen’. Als het gedragsritme niet menselijk is, activeer dan een harde blokkering, niet alleen een waarschuwing.

3) De maas in de wet „Terugbetaling-tot-geschil“ dichten

Met platforms zoals Chargeflow kunnen handelaren geschillen oplossen nog voordat ze officieel worden ingediend. Door gebruik te maken van risicobeoordeling vóór de afhandeling, geautomatiseerde terugbetalingsprocedures en het voorkomen van terugboekingen, kunt u fraude met een hoge kans op succes snel onderscheppen voordat deze de winstcijfers beïnvloedt.

4) Segmentrisico naar SKU-liquiditeit

Overweeg om strenge verificatieregels toe te passen op artikelen met een hoge liquiditeit die doorgaans malafide handelaren aantrekken. Als een product op de secundaire markt een restwaarde van 90% heeft, verdient het 90% meer controle dan de rest van uw assortiment.

Het is eveneens van cruciaal belang dat u het aantal zeer liquide posten kunt beperken dat binnen een periode van 30 dagen via één enkele „digitale voetafdruk“ kan worden aangekocht, ongeacht de gebruikte accountnaam.

Veelvoorkomende vormen van e-commercefraude uitgelegd

Om de spanning tussen groei en veiligheid op te lossen, moet u vaststellen via welke aanvalsroutes uw vertrouwensdrempels worden omzeild.

Fraude waarbij de kaart niet fysiek aanwezig is (CNP)

CNP vormt de basis van digitale diefstal, waarbij gestolen creditcardgegevens worden gebruikt voor transacties. De moderne vorm van CNP is geëvolueerd van het gebruik van gestolen nummers naar het samenvoegen van gegevens. Fraudeurs gebruiken bots om gestolen kaartgegevens te koppelen aan uitgelekte „Fullz“ (naam, geboortedatum, burgerservicenummer) om zo eenvoudige AVS-controles (adresverificatie) te omzeilen. Als je enige verdedigingsmechanisme een controle van de vervaldatum is, sta je in feite wijd open.

Vriendelijke fraude (misbruik van terugboekingen)

Wanneer een fraudeur een legitieme transactie betwist, maakt hij gebruik van een maas in het systeem. Hij weet dat de regels van banken vaak soepeler zijn dan uw retourbeleid. Vriendelijke fraude gedijt in het grijze gebied waar uw afhandelingsgegevens niet worden doorgegeven aan de afdeling geschillen van de bank. Het gaat hier minder om een probleem met het product en meer om het misbruik van beleidsverschillen.

Fraude met retourzendingen en terugbetalingen

Door gebruik te maken van operationele vertragingen richten fraudeurs zich op verkopers die „directe terugbetalingen“ belangrijker vinden dan grondige controles. Tactieken zoals „wardrobing“ (retourzendingen na één keer gebruik), verzendingen met lege dozen of „double-dipping“ (terugbetaling aanvragen terwijl het artikel wordt behouden) gedijen bij deze snelheid. Fraudeurs rekenen erop dat uw geautomatiseerde systeem de terugbetaling verwerkt voordat een medewerker in het magazijn de misleiding ontdekt.

Fraude door account-overname (ATO)

Bij identiteitsdiefstal maken fraudeurs gebruik van gelekte inloggegevens om toegang te krijgen tot bestaande klantaccounts. Door gebruik te maken van opgeslagen betaalmethoden en loyaliteitspunten, maken ze misbruik van de ‘bekende, betrouwbare’ geschiedenis van het account om standaardfilters te omzeilen. Het doorslaggevende signaal is niet de identiteit zelf, maar de verandering in gedrag, zoals een plotselinge wijziging van het afleveradres of een aankoop van grote omvang op een inactief account.

Fraude door middel van triangulatie

Triangulatiefraude is een geraffineerd proces in drie stappen waarbij je zonder het te weten als dropshipper voor gestolen goederen gaat fungeren:

• Een oplichter biedt uw product met een forse korting aan op een externe marktplaats.
• Een legitieme klant koopt het afgeprijsde artikel, geeft zijn echte verzendadres op en betaalt de fraudeur met „schoon“ contant geld.
• De fraudeur gebruikt een gestolen creditcard om het artikel in uw winkel te kopen en vraagt u het naar de legitieme klant te verzenden.

Je ontvangt de opbrengst in eerste instantie, maar door de onvermijdelijke terugvordering van de gestolen kaart wordt deze uiteindelijk weer afgeschreven. Ondertussen verdwijnt de fraudeur met het schone geld. Je bent de voorraad, de verzendkosten en de kosten voor de geschillenafhandeling kwijt, terwijl je in feite een „verkoop“ aan een crimineel hebt afgewikkeld.

Kaarttesten en BIN-aanvallen

Bij deze infrastructuurtest worden bots ingezet om duizenden gestolen kaartnummers te ‘valideren’ door micro-aankopen te doen op uw website, om zo te achterhalen welke nummers nog actief zijn. Als uw afrekenproces onbeperkte pogingen toestaat zonder CAPTCHA of snelheidsbeperking, wordt uw platform misbruikt als gratis validatietool door een wereldwijd fraudecartel.

Phishing en social engineering

Dit is een aanval die inspeelt op menselijke zwakheden, waarbij een oplichter misleidende e-mails of sms-berichten (smishing) gebruikt om uw medewerkers ertoe te verleiden gevoelige gegevens prijs te geven. Het is de eenvoudigste manier om tweefactorauthenticatie (2FA) of hardware-verificatie te omzeilen. Geen enkele software kan u beschermen als een medewerker van de klantenservice wordt misleid om zonder de juiste verificatie een wachtwoord voor een belangrijk account te resetten.

Misbruik van promoties en cadeaubonnen

Het misbruiken van het liquiditeitsfilter gebeurt door middel van couponstacking, het genereren van verwijzingslussen of het gebruik van gestolen kaarten om cadeaubonnen te kopen. Omdat cadeaubonnen fungeren als ‘digitaal contant geld’ – onvindbaar en direct door te verkopen – vormen ze het ultieme doelwit voor het onttrekken van waarde.

Een grote omzet aan cadeaubonnen bij nieuwe accounts duidt zelden op merkloyaliteit. In plaats daarvan zijn deze patronen een belangrijke aanwijzing voor witwassen of het leeghalen van kaarten.

Is ‘vriendelijke fraude’ e-commercefraude?

Technisch gezien wel. Strategisch gezien is vriendelijke fraude echter een vorm van beleidsarbitrage, waarbij een klant misbruik maakt van de kloof tussen uw interne regels en het soepelere consumentenbeschermingsbeleid van de bank.

De reden waarom misbruik van terugboekingen een probleem vormt voor de sector, is dat de fraude wordt gepleegd door een echte klant. Terwijl bij fraude door derden een crimineel betrokken is, gaat het bij ‘vriendelijke fraude’ om een kaarthouder die het banksysteem misbruikt om uw interne controles te omzeilen.

AI en machine learning inzetten om fraude in de e-commerce te bestrijden

Er valt veel te leren van de manier waarop PayPal begin jaren 2000 machine learning inzette om zijn fraudeproblemen op te lossen. De fraude was gestegen tot meer dan 120 basispunten (1,2%), wat neerkwam op een verlies van ongeveer 12 miljoen dollar per maand, ofwel zo’n 2.300 dollar per uur. Zoals voormalig marketingdirecteur Eric Jackson later schreef in *The PayPal Wars*, zou ongecontroleerde fraude het bedrijf te gronde hebben gericht.

Medeoprichter Max Levchin reageerde hierop door „Igor“ te ontwikkelen, een adaptieve risicomotor die deskundige regels combineert met een zelflerend neuraal netwerk – een van de eerste commerciële big-datasystemen. Binnen enkele maanden na de implementatie van Igor en CAPTCHA was de fraudeproductiviteit verachtvoudigd, terwijl bijna een zesde van het bedrijf zich fulltime bezighield met risicobeheer. Halverwege 2001 daalde het fraudeprocent naar 0,49% en tegen het einde van het jaar naar 0,37%, wat een toonaangevende prestatie was in de sector.

AI-fraudebestrijding heeft PayPal niet alleen gered, maar ook zijn leidende positie veiliggesteld.

AI koppelen aan het Exploitability Framework

AI is niet langer slechts een functie, iets wat je in een fraudebestrijdingstool kunt in- of uitschakelen. Het is een adaptieve beslissingsengine die centraal staat in omzet, risico en klantervaring.

Dat is essentieel om te benadrukken. Traditionele „als-dan“-regels zijn statisch en kunnen gemakkelijk worden achterhaald. Geavanceerde ML-modellen veranderen de dynamiek door onzekerheid in honderden dimensies binnen milliseconden te kwantificeren.

Daar komt het exploitability-raamwerk "e-commercefraude = motivatie × toegankelijkheid × anonimiteit ÷ weerstand" om de hoek kijken.

Dit is hoe AI elke variabele beïnvloedt:

1) Beperkt anonimiteit: dankzij hardware-vingerafdrukken, gedragsbiometrie en gegevens van consortia wordt het voor fraudeurs moeilijker om met wegwerpidentiteiten te werken. Wanneer voortdurende identiteitswisselingen detecteerbaar worden, wordt misbruik exponentieel moeilijker.

2) Verhoogt de drempel selectief: Bij risicogebaseerde authenticatie wordt de drempel alleen verhoogd waar dat nodig is, waardoor de kosten voor aanvallers stijgen zonder dat dit ten koste gaat van legitieme klanten. Het doel is ervoor te zorgen dat de kosten van een aanval hoger zijn dan de opbrengst.

3) Verandert niets aan de prikkel: AI kan uw producten met een hoge liquiditeit niet minder aantrekkelijk maken voor fraudeurs. U blijft aangewezen op risicobeheer op SKU-niveau en op liquiditeit gebaseerde verificatieregels.

4) Dynamisch beheer van de toegankelijkheid: dankzij AI blijft u toegankelijk voor legitieme klanten, terwijl het voor fraudeurs steeds moeilijker wordt om misbruik te maken van uw systeem – de ideale balans tussen conversie en veiligheid.

AI maakt fraude niet per se overbodig. Het zorgt er alleen voor dat de kosten door iemand anders worden gedragen. Het komt erop aan om AI in te zetten om de balans tussen frictie en anonimiteit binnen uw klantenbestand op de juiste manier te herstellen.

U hoeft niet zelf een platform te ontwikkelen zoals PayPal. Er zijn verschillende fraudebestrijdingsprogramma’s die ongeëvenaarde resultaten hebben geboekt door gebruik te maken van AI en machine learning om e-commercefraude te voorkomen.

Onmisbare tools voor fraudepreventie in e-commerce

De volgende gespecialiseerde tools zijn de huidige industriestandaarden voor het tegengaan van fraude in elke fase van de funnel:

Laatste gedachten over e-commercefraude

Het tegengaan van e-commercefraude draait in de eerste plaats om de manier waarop u binnen uw bedrijf omgaat met financiële middelen, drempels en risicotolerantie. Elke fraudeprocedure die u automatiseert, elk geschil dat u voorkomt en elke goedkeuring die u beveiligt, is een beslissing die uw winstmarge beïnvloedt. U haalt zo inkomsten terug die anders verloren zouden gaan.

Het punt is: je hoeft je geen zorgen te maken over e-commercefraude. Het gaat om de manier waarop je hierop reageert. Waarom? Omdat je niet per se verlies lijdt door een aanval, maar doordat je niet weet welke aanvallen winst opleveren.

Ook hier geldt dat e-commercefraude zelden van de ene op de andere dag explosief toeneemt. Het sijpelt weg in de dekkingsbijdrage, gaat schuil achter terugbetalingspercentages en doet zich voor als groei. Tegen de tijd dat het bij het management paniek veroorzaakt, is de uitbuitbaarheidscurve al verschoven.

Het doel is echter niet om fraude volledig uit te bannen. Dat is waarschijnlijk een utopie.

Het doel is economische controle:

• Zorg ervoor dat het rendement op investering van de aanvaller lager blijft dan dat van jou.
• Zet in op de markten met de grootste liquiditeit.
• Dicht de kloof tussen terugbetaling en geschil voordat deze groter wordt.
• Houd niet alleen de goedkeuringspercentages in de gaten, maar ook de verschillen in marges.

Wanneer je de verhouding tussen Incentief x Toegankelijkheid x Anonimiteit ÷ Wrijving in jouw voordeel bijstelt, verschuift de fraude. En wanneer die fraude zich van jou afkeert, wordt schaalgrootte duurzaam.

Dat is het verschil tussen handelaren die fraude onder controle houden en handelaren die het achter zich laten. Dat is het verschil tussen klanten van Chargeflow en hun concurrenten.