Weiter zum Inhalt
Konto erstellen
 oder
anmelden
Das Logo der Stripe-Dokumentation
/
Konto erstellen
Anmelden
Übersicht
Für Ihr Unternehmen nutzen
Geld verwalten
In Ihre Plattform einbetten
Karten ausstellen

Betrugsbekämpfung mit den Kontrollen und Tools von Stripe durchführen

Erfahren Sie, wie sich Transaktionsbetrug auf Ihr Issuing-Programm auswirken kann und wie Sie dagegen vorgehen können.

Als Zahlungsvermittlerprodukt birgt Issuing von Natur aus potenzielle Betrugsrisiken und Haftungen sowohl für Unternehmen als auch für Aussteller. Sie müssen verstehen, was Transaktionsbetrug ist, wer im Betrugsfall haftet und wie Sie Betrug mit den von Stripe verfügbaren Ressourcen am besten überwachen und verhindern können. Indem Sie Ihre Rollen und Verantwortlichkeiten verstehen und die Ressourcen von Stripe effektiv nutzen, können Sie diese Risiken auf ein Niveau reduzieren, das für Ihr Unternehmen vertretbar ist.

Bei der Entscheidung über Ihren Ansatz für das Betrugsmanagement ist Folgendes zu beachten:

  • Mit diesem Umfang an Betrug sollten Sie rechnen: Das durchschnittliche monatliche Betrugsvolumen schwankt erheblich je nach Branche, geografischer Lage, Geschäftsmodell und anderen Faktoren. Die meisten Nutzer/innen reichen Anfechtungen aufgrund von Betrug für 0,1 % oder weniger ihres Transaktionsvolumens ein, aber das kann je nach Ihrer Issuing-Aktivität stark variieren. Es ist ungewöhnlich, dass Betrugsfälle überhaupt nicht auftreten, außer bei seltenen Geschäftsmodellen oder bei geringem Transaktionsvolumen.
  • Definition einer Zahlungsanfechtung: Eine angefochtene Zahlung kommt dann zustande, wenn ein/e Kontoinhaber/in eine Abbuchung auf seiner/ihrer Kartenabrechnung bei seinem/ihrem Kartenaussteller anficht. Der Grund für die Zahlungsanfechtung ist unterschiedlich. Beispielsweise könnte der/die Kontoinhaber/in die Zahlung nicht erkennen, sie als betrügerisch wahrnehmen oder mit den gekauften Waren oder Dienstleistungen unzufrieden sein. Zahlungsanfechtungen können Ausstellern helfen, Gelder im Falle betrügerischer Aktivitäten zurückzuerhalten.

Transaktionsbetrug

Es gibt drei Hauptformen von Zahlungsbetrug:

  • Transaktionsbetrug: Die unbefugte Verwendung einer Zahlungskarte, um auf betrügerische Weise an Geld oder Eigentum zu gelangen.
  • Geschäftlicher Betrug: Eine Person erstellt ein betrügerisches Konto (häufig mit einer gestohlenen Identität), um einen Betrug zu begehen.
  • Betrug durch Kontoübernahme (Account Takeover – ATO): Ein nicht autorisierter Dritter kompromittiert die Anmeldung eines/einer legitimen Kontoinhabers/Kontoinhaberin und greift dann auf sein/ihr Konto zu.

Geschäftlicher Betrug und ATO-Betrug können zwar in Issuing vorkommen, Transaktionsbetrug stellt jedoch häufig ein größeres Risiko dar.

Bei Stripe Issuing sehen wir Transaktionsbetrug als nicht autorisierte Abbuchungen von einer von Stripe ausgestellten Karte. Transaktionsbetrug kann zu jedem Zeitpunkt im Lebenszyklus eines/einer Karteninhaber/in auftreten. Auch bei Einkäufen bei legitimen Unternehmen kann es zu Transaktionsbetrug kommen. Eine ausgestellte Karte kann durch Folgendes kompromittiert werden:

  • Physischer Diebstahl
  • Verlust des/der Karteninhabers/in
  • Anmeldeinformationen, die durch Taktiken wie die folgenden kompromittiert wurden:
    • Phishing
    • Spyware
    • Nicht sichere Bezahlvorgänge
    • Externe Verstöße

Verlusthaftung

Die Verlusthaftung ergibt sich aus einem Problem mit einer Transaktion, das zu einem finanziellen Verlust für eine Partei führt. Die Haftung ergibt sich in der Regel entweder aus Transaktionsbetrug oder aus einem Unternehmen, das seinen Verpflichtungen aus einem Kauf nicht nachkommt.

Die Verlusthaftung liegt entweder beim Unternehmen (Anbieter der Dienstleistung oder der gekauften Waren), bei Ihnen als Nutzer/in von Stripe Issuing oder (in seltenen Fällen) beim/bei der Karteninhaber/in. Das bedeutet, dass Sie verantwortlich sind, wenn die Haftung für Verluste dem Aussteller zugewiesen wird, sofern keine Ausnahme vorliegt. Weitere Informationen zu Fällen, in denen der Aussteller für betrügerische Transaktionen haftet, finden Sie unter Haftungsverlagerung.

Mit Stripe Issuing können Sie Ihr Betrugsüberwachungssystem entwerfen und Ihre eigene Geschäftslogik und Transaktionsentscheidungen treffen. Obwohl Stripe möglicherweise Unterstützung bei der Betrugsprävention für Transaktionen anbietet, sind Sie dennoch für alle Verluste verantwortlich, bei denen der Aussteller haftbar gemacht wird. Sie müssen also ausreichende Kontrollen zur Überwachung, Verwaltung und Verhinderung von Betrug einrichten.

Haftungsverlagerung

In vielen Fällen übernimmt das Unternehmen die Haftung für betrügerische Transaktionen. Es gibt jedoch einige Faktoren, die dazu führen können, dass die Haftung auf Sie, den/die ausstellende/n Nutzer/in, übergeht:

  • Transaktionen mit vorhandener Karte: Wenn die Karte oder eine mobile Wallet wie Apple Pay und Google Pay während der Transaktion vorhanden ist, haftet der Kartenaussteller in der Regel für Betrug, mit wenigen Ausnahmen:
    • Karten und Wallets müssen überall dort, wo sie verfügbar sind, elektronisch gelesen werden, indem die Chipschnittstelle mit oder ohne Kontakt verwendet oder der Magnetstreifen durchgezogen wird. Für manuell eingegebene Kartennummern, wie z. B. bei Versand- oder Telefonbestellungen, liegt die Haftung beim Unternehmen.
    • Wird eine chipfähige Karte an einem Terminal verwendet, das nur Magnetstreifenzahlungen unterstützt, geht die Haftung auf das Unternehmen über.
    • Wenn das vom Unternehmen verwendete Terminal in der Regel Chip-Transaktionen unterstützt, für eine Transaktion jedoch der Magnetstreifen verwendet wird, verbleibt die Haftung bei Ihnen als ausstellendem Nutzer.
  • Distanzzahlungen: Wenn die Karte bei der Transaktion (d. h. beim Online-Handel) nicht vorhanden ist, wird die Haftung in erster Linie durch 3D Secure (3DS) bestimmt. Die zusätzliche Verifizierungsebene von 3DS löst eine „Haftungsverlagerung“ aus, bei der die Betrugshaftung unabhängig von den Umständen vom Unternehmen auf den Kartenaussteller übergeht. Wenn ein Unternehmen im Zusammenhang mit Stripe Issuing 3DS auslöst, geht die Betrugshaftung in der Regel automatisch auf Sie als ausstellende/n Nutzer/in über, unabhängig davon, ob Sie 3DS für Ihre Karten aktiviert haben. Dementsprechend können Sie mit aktiviertem 3DS das Risiko einer finanziellen Haftung für betrügerische Transaktionen verringern. Weitere Informationen erhalten Sie unter 3DS für Stripe Issuing.
  • Transaktionen mit Digital Wallets: Unabhängig von Überlegungen rund um 3DS verlagert die Verwendung einer Stripe Issuing-Karte in einer Apple Pay- oder Google Pay-Wallet für eine Card-not-present-Transaktion auch die Haftung auf den Aussteller.

Kontrollen und Tools für Transaktionen

Angesichts des Risikos, das durch Haftungstransaktionsbetrug entstehen kann, müssen Sie proaktive Maßnahmen ergreifen, um ihn zu überwachen und zu verhindern. Im Folgenden finden Sie Kontrollen und Tools, die Sie zu Ihrem Stripe Issuing-Programm hinzufügen können. Verwenden Sie so viele Kontrollen und Tools wie möglich, um das Betrugsrisiko Ihres Programms zu begrenzen.

Proaktive Kontrollen zum Schutz vor Betrug

Stripe bietet die folgenden Kontrollen zur Betrugsvorbeugung:

KYC/KYB

Know Your Customer (KYC) oder Know Your Business (KYB) ist ein obligatorischer Ablauf zur Erfassung und Verifizierung von Informationen über das Unternehmen oder die Person, die die Karten verwenden wird. Zu diesen Informationen gehören die juristische Person und persönliche Daten über den/die Vertreter/in des Unternehmens sowie über diejenigen, die das Unternehmen besitzen oder kontrollieren. Der einfachste Weg zur Verwaltung von KYC/KYB ist die Integration von Connect Onboarding. Dabei übernimmt Stripe den Aufwand rund um die grundlegenden Verpflichtungen.

Weitere Informationen zur Verwendung von Connect zur Verwaltung von KYC/KYB finden Sie unter Risikomanagement mit Connect.

Ausgabenkontrollen

Mit Ausgabenkontrollen können Sie bestimmte Länder oder Händlerkategorien (zum Beispiel Casinos) blockieren und Ausgabenlimits pro Autorisierung (zum Beispiel 100 USD) oder pro Monat (zum Beispiel 3000 USD pro Monat) festlegen. Sie können diese Kontrollen entweder auf einzelne Karten oder auf Karteninhaber/innen anwenden. Sie sind am effektivsten, wenn das erwartete Ausgabenmuster bekannt ist.

Wir empfehlen die Implementierung einer Kombination aus Ausgabelimits und Händlerkategoriekontrollen, um das Risiko im Falle einer unbefugten Nutzung einzudämmen. Weitere Informationen zum Festlegen von Regeln für Karten und Karteninhaber/innen zur Kontrolle der Ausgaben finden Sie unter Ausgabenkontrollen.

3D Secure

3D Secure (3DS) ist eine zusätzliche Authentifizierungsebene, die von Unternehmen verwendet wird, um sicherzustellen, dass ein Online-Kauf von einem legitimen Karteninhaber erfolgt. 3DS wird für Online-Transaktionen verwendet und funktioniert nur, wenn das Unternehmen dies verlangt und Sie die Funktion für Ihr Issuing-Programm aktiviert haben. Der zusätzliche 3DS-Schritt erfolgt beim Bezahlvorgang, bei dem die Karteninhaber/innen eine Authentifizierungsseite sehen und aufgefordert werden, einen Verifizierungscode einzugeben, der an ihr Telefon oder ihre E-Mail gesendet wird.

Wir empfehlen, 3DS zu aktivieren, um das Risiko von Betrug bei Online-Transaktionen zu reduzieren. Weitere Informationen zu 3DS und seiner Aktivierung finden Sie unter Authentifizierung von Karteninhabern/Karteninhaberinnen mit 3D Secure.

Kontrollen zur Betrugsvorbeugung in Echtzeit

Stripe bietet die folgenden Kontrollen zur Betrugsvorbeugung in Echtzeit:

Stripe Defense Layer

Standardmäßig bietet Stripe mehrere automatische Kontrollen, um Ihr Betrugsrisiko zu reduzieren, ohne die Verlusthaftung zu ändern. Unter anderem versucht Stripe, Autorisierungen zu blockieren, bei denen es sich scheinbar um Kartentests handelt oder die wir basierend auf unseren eigenen Risikomodellen als extrem riskant einschätzen.

Diese Schutzmaßnahmen betreffen in der Regel nur eine sehr kleine Teilmenge (weniger als 0,5 %) der Autorisierungen und sind rein additiv. Sie sollten diese automatischen Kontrollen nicht als Ersatz für Ihr eigenes Risikomanagementprogramm betrachten. Letztendlich müssen Sie die ideale Balance zwischen Benutzererfahrung und Risikomanagement finden, die für die speziellen Merkmale Ihres Programms am besten geeignet ist. Der Stripe Defense Layer hat keinen Einfluss auf die Haftung.

Echtzeit-Webhook

Sie können Autorisierungsanfragen in Echtzeit basierend auf den Daten, die Ihnen zum Zeitpunkt der Autorisierung zur Verfügung stehen, genehmigen oder ablehnen. So behalten Sie die Kontrolle über die Autorisierungsergebnisse und können Ihre eigene Betrugspräventionslogik implementieren. Verwenden Sie den Echtzeit-Webhook von Stripe, um ein bestimmtes Betrugsmuster zu bekämpfen und gleichzeitig die Auswirkungen auf anderes Ausgabeverhalten zu minimieren. Beispielsweise können Sie Autorisierungsdaten zum Standort der Autorisierung verwenden, um bestimmte Regionen, Währungen und Unternehmen zu sperren.

Weitere Informationen zum Echtzeit-Webhook und seiner Funktionsweise finden Sie unter Echtzeitautorisierungen.

Fraud Challenges

Betrugs-Challenges bieten eine zusätzliche Verifizierungsebene für Nutzer/innen, um Einkäufe per SMS zu bestätigen. Dies hilft, versehentliche Blockierungen legitimer Käufe zu minimieren, die auf den ersten Blick als hochriskant erscheinen könnten. Nachdem der Kauf bestätigt wurde, kann der Karteninhaber/die Karteninhaberin die Transaktion wiederholen.

Weitere Informationen zur Verwendung von Herausforderungen, um Betrug zu verwalten finden Sie unter Betrugs-Challenges.

Vergleich von Verifizierungsdaten

Für jede Autorisierung, die stattfindet, vergleichen wir die während des Bezahlvorgangs bereitgestellten Werte mit den hinterlegten Werten. Wir benachrichtigen Sie, wenn wir eine Nichtübereinstimmung bei Folgendem feststellen:

  • CVV2 (oder Sicherheitscode)
  • Ablaufdatum der Karte
  • Rechnungsadresse
  • Postleitzahl der Rechnungsadresse
  • PIN-Nummer (bei Eingabe)

Wenn Sie eine Diskrepanz zwischen den hinterlegten Kartendaten und den beim Bezahlvorgang eingegebenen Kartendaten feststellen, können Sie möglicherweise betrügerische Aktivitäten erkennen. Beispielsweise kann eine Abweichung zwischen der Postleitzahl der Karteninhaberin/des Karteninhabers und der beim Bezahlvorgang angegebenen Postleitzahl auf eine gestohlene Karte hinweisen, mit der ein betrügerischer Akteur, der die Postleitzahl der Karteninhaberin/des Karteninhabers nicht kennt, einen Einkauf zu tätigen versucht. Eine Nichtübereinstimmung zwischen der gespeicherten CVV2 und der an beim Bezahlvorgang eingegebenen CVV2 könnte eine betrügerische Person darstellen, die die Kartennummern durchläuft, um eine zu finden, die funktioniert, ohne die damit verbundene CVV zu kennen.

Abhängig von Ihrer Risikotoleranz und den Merkmalen der Autorisierung, zum Beispiel persönlich oder online, können Sie Autorisierungen ablehnen, wenn in den Verifizierungsdatenwerten Unstimmigkeiten festgestellt werden.

Tools für Transaktionen nach Betrug

Stripe bietet die folgenden Tools für Transaktionen nach Betrug:

Token-Verwaltung

Verwalten Sie Token für Digital Wallets über die Tokens API, um Digital Wallet-Karten, die mit betrügerischen Aktivitäten in Verbindung gebracht wurden, schnell zu deaktivieren.

Weitere Informationen zur Verwaltung von Netzwerk-Token auf Ihren Karten finden Sie unter Verwaltung von Token.

Kartenverwaltung

Wenn Sie oder Ihr/e Karteninhaber/in nicht autorisierte Aktivitäten vermuten, können Sie eine Karte vorübergehend über das Dashboard oder die Issuing API deaktivieren, um die weitere unbefugte Nutzung während der Ermittlungen zu sperren. Wenn die Aktivität autorisiert wurde, können Sie die Anmeldedaten der Karte beibehalten und sie wieder aktivieren. Wenn Sie die unbefugte Verwendung bestätigen, sperren Sie die Karte sofort.

Informationen zum Deaktivieren einer Karte mithilfe der Issuing API finden Sie unter Deaktivieren von Karten.

Anfechtungen

Wenn betrügerische Transaktionen stattfinden, können Sie diese Transaktionen bei Visa oder Mastercard über das Dashboard oder die API mit dem Grund ‘Fraudulent’ einreichen. In einigen Fällen, je nachdem, welche Verifizierung am Point of Sale durchgeführt wird, kann der/die Händler/in für die betrügerische Transaktion haftbar gemacht werden. Es kann nicht garantiert werden, dass Zahlungsanfechtungen zurückgefordert werden, und es kann einige Zeit dauern, bis sie beigelegt werden.

Weitere Informationen zum Umgang mit Zahlungsanfechtungen finden Sie unter Anfechtungen in Issuing.

Kontrollen und Informationen für Nutzer/innen

Sie können verschiedene Aspekte der Betrugskontrollen von Stripe anpassen und Ihre Karteninhaber/innen darüber informieren, wie oft sie benötigt werden.

Nutzerkonfigurationen

Je nach Anwendungsszenario und Workflow können Sie Anpassungen an den Standardkontrollen von Stripe anfordern, zum Beispiel:

Stripe kann diese Anfragen zwar auf individueller Basis bearbeiten, letztendlich sind Sie jedoch für erhöhte Risiken oder Haftungsverluste verantwortlich, die sich aus solchen Anfragen ergeben.

Informieren Sie Ihre Karteninhaber/innen

Informieren Sie Ihre Karteninhaber/innen darüber, wie sie ihre Kartendaten sicher aufbewahren können. Bringen Sie ihnen bei, die Aktivitäten auf ihren Konten genau zu beobachten, um die Wahrscheinlichkeit zu erhöhen, dass sie – ebenso wie Sie selbst – betrügerische Aktivitäten frühzeitig bemerken. Weisen Sie Ihre Karteninhaber/innen auf die folgenden Präventivmaßnahmen hin:

  • Prüfen Sie in Geschäften auf Karten-Skimmer: Vergewissern Sie sich, dass keine Kameras oder Skimming-Geräte am Zahlungsterminal vorhanden sind. Überprüfen Sie, ob irgendetwas in den Kartenleser, die Anschlüsse, das Display oder das Tastenfeld eingesteckt oder daran befestigt ist.
  • Transaktionen mit vertrauenswürdigen Unternehmen: Geben Sie Ihre Kartendaten nur an Unternehmen weiter, die Sie kennen und denen Sie vertrauen.
  • Sperren einer Karte, sobald sie verloren gegangen ist oder gestohlen wurde: Ergreifen Sie sofortige Maßnahmen, um eine unbefugte Nutzung zu verhindern, bevor ein betrügerischer Akteur in der Lage ist, Ihre Kartendaten in Erfahrung zu bringen. Wenn Sie weiterhin Ausgaben tätigen möchten, erstellen Sie eine neue Karte, nachdem Sie die verloren gegangene oder gestohlene Karte gesperrt haben.

Metriken überwachen

Wir empfehlen, die folgenden Metriken zu überwachen, um Betrug in Ihren Issuing-Konten zu erkennen und zu messen.

Frühindikatoren

Frühindikatoren sind Metriken, die Ihnen helfen können, potenziellen Betrug in einem frühen Stadium zu erkennen.

  • Die Autorisierung wird aufgrund falscher Verifizierungsdaten (CVC2, Ablaufdatum) in einem bestimmten Zeitraum abgelehnt.
  • Autorisierungsquote in einem bestimmten Zeitraum.
  • Autorisierungen außerhalb des geografischen Fußabdrucks in einem bestimmten Zeitraum.
  • Autorisierungen nach Land des Übernahmeunternehmens in einem bestimmten Zeitraum.
  • Autorisierungen nach Geschäftskategoriecode in einem bestimmten Zeitraum.
  • Erzwungene Erfassungen in einem bestimmten Zeitraum.

Spätindikatoren

Spätindikatoren sind Kennzahlen, anhand derer Sie beurteilen können, wie stark sich betrügerische Aktivitäten auf Ihr Issuing-Programm ausgewirkt haben:

  • Prozentsatz der Gesamtausgaben, die in einem bestimmten Zeitraum wegen Betrugs angefochten wurden.
  • Gewinn-Verlust-Quote der angefochtenen Zahlungen in einem bestimmten Zeitraum.
  • Absolute Verluste aufgrund von angefochtenen Zahlungen in einem bestimmten Zeitraum.
  • Übernahme von Unternehmen mit dem höchsten Prozentsatz angefochtener Transaktionen.

Siehe auch

War diese Seite hilfreich?
JaNein