Ongeautoriseerde transacties: creditcard- en debetkaartfraude voorkomen

Ongeautoriseerde transacties worden meestal beschouwd als op zichzelf staande gevallen van fraude. In de praktijk zijn ze echter het gevolg van een reeks mislukkingen die zich in de loop van de tijd hebben voorgedaan. Een klantaccount wordt gehackt, er wordt gebruikgemaakt van een betaalmethode van de winkel en de bestelling verloopt zoals gewoonlijk. Het geschil ontstaat pas later.

Als je wilt begrijpen wat een frauduleuze transactie is, helpt het om verder te kijken dan de transactie zelf. Ongeautoriseerde transacties zijn niet het uitgangspunt. Ze zijn het gevolg.

Wat is een ongeautoriseerde transactie?

Een ongeoorloofde transactie is elke betaling die plaatsvindt zonder medeweten of toestemming van de kaarthouder. Hieronder vallen onder meer transacties met gestolen creditcards, frauduleuze afschrijvingen van betaalkaarten of aankopen die zijn gedaan via gehackte klantaccounts.

Handelaren gaan er vaak vanuit dat de kaart gestolen is wanneer ze zoeken op "wat is een frauduleuze transactie" of "wat houdt een frauduleuze transactie in". Dat is echter slechts een deel van het verhaal.

In veel gevallen is de transactie technisch gezien geldig: er wordt de juiste rekening gebruikt, de betaalmethode is legitiem en het systeem herkent een terugkerende klant. Juist daarom doorstaan deze transacties de standaard fraudecontroles zonder dat ze worden gesignaleerd.

Het gaat om de autorisatie. De klant heeft de transactie niet goedgekeurd, ook al heeft het systeem dat wel gedaan.

Hoe ongeautoriseerde transacties tot stand komen

Ongeautoriseerde transacties vinden niet willekeurig plaats. Ze volgen voorspelbare patronen.

De meest voorkomende vorm is het overnemen van een account. Een fraudeur verschaft zich toegang tot een klantenaccount met behulp van gelekte of hergebruikte inloggegevens. Eenmaal binnen kan hij opgeslagen betaalmethoden gebruiken, accountgegevens wijzigen en bestellingen plaatsen zonder argwaan te wekken. Alles ziet er normaal uit omdat het systeem de sessie vertrouwt. Dat vertrouwen zorgt ervoor dat de klant geen hindernissen ondervindt, maar dat geldt ook voor de aanvaller.

Een veelvoorkomend scenario is dat er met hergebruikte inloggegevens toegang wordt verkregen tot het account van een terugkerende klant. De fraudeur logt in, wijzigt het afleveradres en plaatst een bestelling met een opgeslagen kaart. Vanuit het perspectief van het systeem lijkt er niets aan de hand. Het geschil ontstaat pas later.

Andere mogelijkheden zijn onder meer:

• Gestolen kaartgegevens, waarbij de kaartgegevens direct worden gebruikt zonder dat er toegang tot een rekening wordt verkregen. 
• Phishing en social engineering, waarbij klanten zonder het te weten hun inlog- of betalingsgegevens verstrekken.‍
• Datalekken en het hergebruik van inloggegevens, waarbij inloggegevens die elders zijn gelekt, voor verschillende accounts worden hergebruikt.

In elk geval is de transactie zelf de laatste stap, niet het oorspronkelijke probleem. 

Veelvoorkomende oorzaken van ongeautoriseerde transacties

Ongeautoriseerde transacties worden veroorzaakt door een combinatie van gedrag en tekortkomingen in het systeem. 

Klanten gebruiken hetzelfde wachtwoord op meerdere websites, waardoor accounts gemakkelijker te kraken zijn. Opgeslagen betaalmethoden maken het voor klanten gemakkelijker, maar ook voor aanvallers. Zodra toegang is verleend, stoppen veel systemen met het beoordelen van risico’s, en door het beperkte inzicht in verschillende sessies is het moeilijker om patronen van misbruik op te sporen.

De meeste fraude ontwikkelt zich in de loop van de tijd. Het verloopt in fasen. Wanneer systemen gebeurtenissen afzonderlijk beoordelen, zien ze over het hoofd hoe die handelingen met elkaar verband houden.

Een te grote afhankelijkheid van tools tegen fraude bij het afrekenen leidt tot hiaten, omdat de meeste systemen zich richten op gestolen kaarten en niet op gehackte accounts.

Dit zijn geen uitzonderingsgevallen. Het zijn structurele problemen.

Hoe u ongeautoriseerde transacties vroegtijdig kunt opsporen

Ongeautoriseerde transacties zijn zelden op zichzelf staande gevallen. Ze volgen bepaalde patronen, en detectie hangt af van het vroegtijdig herkennen van die patronen, voordat ze tot voltooide transacties uitgroeien.

Detectie hangt af van het vroegtijdig herkennen van die patronen. 

Belangrijke signalen zijn onder meer:

• Afwijkend koopgedrag: bestellingen die niet overeenkomen met de gebruikelijke waarde, categorie of frequentie van de klant. 
• Nieuw apparaat gevolgd door activiteit: een aanmelding vanaf een onbekend apparaat, gevolgd door wijzigingen in het account of een transactie. 
• Snelle acties: inloggen → accountgegevens wijzigen → aankoop doen binnen een kort tijdsbestek. 
• Discrepantie tussen gedrag en geschiedenis: activiteiten die niet overeenkomen met de manier waarop de klant doorgaans interactie aangaat. 

Geen enkel signaal op zich wijst op fraude, maar patronen doen dat wel. Het risico neemt toe wanneer meerdere signalen zich voordoen binnen dezelfde sessie of bij gerelateerde activiteiten. 

Een klant logt bijvoorbeeld in vanaf een nieuw apparaat, wijzigt zijn afleveradres en plaatst binnen enkele minuten een bestelling met een hoge waarde. Op zichzelf kan elke handeling er normaal uitzien. Samen duiden ze echter op een verhoogd risico.

Hoe ongeoorloofde transacties te voorkomen

Om ongeoorloofde transacties te voorkomen, moet het risico gedurende de gehele levenscyclus worden beheerst. De meeste handelaren besteden te veel aandacht aan het blokkeren van onrechtmatige betalingen en te weinig aan het monitoren van betrouwbare sessies. 

Het risico van ongeautoriseerde transacties strekt zich uit over meerdere fasen, niet alleen over het moment van betaling.

Voor het inloggen: beperk de blootstelling

Beperk het aantal geautomatiseerde inlogpogingen, maak gebruik van botbeveiliging en stimuleer een beter beheer van inloggegevens om het aantal aanvallen te verminderen nog voordat ze plaatsvinden. Deze maatregelen verminderen het aantal aanvallen, maar nemen het risico niet volledig weg.

Tijdens het inloggen: risico beoordelen

Pas risicogebaseerde authenticatie toe door signalen met betrekking tot apparaten, locaties en gedrag te evalueren, en activeer alleen een strengere verificatie wanneer die signalen wijzen op een verhoogd risico. Houd de consistentie van apparaten en sessies bij om afwijkingen vroegtijdig te signaleren. 

Het doel is niet om de toegang volledig te blokkeren. Het is om de toegang ter discussie te stellen wanneer iets niet klopt.

Na het inloggen: gedrag volgen

In deze fase vinden de meeste ongeautoriseerde transacties plaats.

Zodra toegang is verleend, wordt de sessie als betrouwbaar beschouwd. Vanaf dat moment gaat fraude niet langer over het valideren van betalingen. Het wordt een gedragsprobleem.

Houd wijzigingen in accounts in de gaten, volg transactiegedrag en voeg verificatie toe voor gevoelige handelingen. Breng gedrag tussen verschillende sessies met elkaar in verband, want fraude komt zelden op zichzelf voor. Het verloopt volgens een bepaald patroon.

Vaak heeft de handelaar wel een succesvolle aanmelding, een voltooide transactie en een leveringsbevestiging, maar geen duidelijk bewijs dat de daadwerkelijke kaarthouder de aankoop heeft geautoriseerd. Dit zijn de gevallen die het vaakst uitmonden in verloren geschillen.

Wat te doen bij een frauduleuze transactie

Wanneer er een ongeautoriseerde transactie plaatsvindt, verliest de handelaar de controle.

De klant meldt de afschrijving, waarna de uitgevende bank het onderzoek overneemt. Vanaf dat moment hangt de uitkomst minder af van de transactie zelf en meer van de manier waarop deze wordt geïnterpreteerd.

Voor handelaren mondt de zaak meestal uit in een geschil. Het geld wordt teruggestort, er wordt een terugvordering ingediend en de bewijslast ligt dan bij de handelaar, die moet aantonen dat de transactie was geautoriseerd.

Daar wordt de uitdaging duidelijk.

Zelfs als de transactie legitiem lijkt, de rekening geldig is, de betaalmethode in het systeem staat en de bestelling wordt uitgevoerd, is er vaak geen definitief bewijs dat de daadwerkelijke klant de aankoop heeft goedgekeurd.

Als u het bedrag van de transactie vroegtijdig terugstort, kunt u soms een terugvordering voorkomen, maar alleen voordat het geschil is ingediend. Zodra het geschil bij de kaartuitgever is ingediend, ligt de beslissing niet langer in handen van de handelaar.

Ongeautoriseerde transacties en terugboekingen

Bij ongeautoriseerde transacties ontstaat er meestal niet meteen een conflict. De gevolgen worden pas later duidelijk, wanneer de klant de afschrijving opmerkt. 

‍

In de meeste gevallen verloopt het proces vrij eenvoudig. De transactie wordt afgerond, de bestelling wordt uitgevoerd en pas daarna meldt de klant de afschrijving en dient hij een geschil in.

Vanaf dat moment komt de transactie in het terugboekingsproces terecht en verandert de manier waarop deze wordt beoordeeld. 

Vanuit het perspectief van het systeem ziet alles er correct uit. Het account is echt, de betaalmethode is geregistreerd en de transactie is succesvol geautoriseerd.

Vanuit het oogpunt van de uitgever is de situatie eenvoudiger: de kaarthouder betwist de afschrijving.

Daar ontstaat de kloof. Het systeem valideert de transactie, maar de uitgever beoordeelt het resultaat.

Wat intern als een legitieme transactie wordt beschouwd, wordt extern als ongeoorloofd behandeld. Zonder duidelijk bewijs dat de kaarthouder aan de aankoop koppelt, zijn deze geschillen moeilijk op te lossen via een terugvordering. 

Voor verkopers is het resultaat altijd hetzelfde. Ze lopen inkomsten mis na de afhandeling van de bestelling, het geschil heeft invloed op het percentage terugboekingen en ze besteden tijd aan het afhandelen van zaken waarbij de kans op terugvordering klein is.

De fout treedt niet op bij het afrekenen. Het gebeurt eerder, wanneer toegang wordt verleend zonder voldoende controle.

Het voorkomen van ongeoorloofde transacties is effectiever dan proberen deze achteraf terug te vorderen. Handelaars die het gedrag gedurende de gehele levenscyclus in de gaten houden, voorkomen geschillen voordat deze ontstaan en vermijden verliezen die niet meer kunnen worden goedgemaakt.

Samengevat

Ongeautoriseerde transacties mislukken niet pas bij het afrekenen. Ze mislukken al eerder, wanneer toegang wordt verleend zonder voldoende controle. De gevolgen komen pas later aan het licht in de vorm van geschillen en terugboekingen.

Als u al te maken heeft met geschillen rond fraude, is de echte vraag niet hoe deze ontstaan, maar hoe ze worden afgehandeld zodra ze tot verliezen leiden.

Ontdek hoe Chargeflow winkeliers helpt om inkomsten uit ongeautoriseerde transacties terug te vorderen en de afhandeling van terugboekingen te automatiseren.