Weiter zum Inhalt
Konto erstellen
 oder
anmelden
Das Logo der Stripe-Dokumentation
/
Konto erstellen
Anmelden
Übersicht
Produkte
Treasury

Leitfaden zur Betrugsprävention mit Treasury

Lernen Sie die Best Practices für das Betrugsmanagement als Treasury-Plattform kennen.

Stripe Treasury ist eine Banking-as-a-Service-API, mit der Sie Finanzdienstleistungen in Ihre Plattformprodukte integrieren können. Mit Stripe Treasury (über unsere Partnerschaften mit inländischen US-Banken) können Sie Ihren verbundenen Konten ein einfaches Konto für gespeicherte Werte anbieten, das direkt in Ihre Anwendung integriert ist. So können diese finanzielle Aktionen durchführen und dadurch Gelder (über ACH-Überweisungen) senden und empfangen, Erträge erzielen und Kartenzahlungen tätigen.

Stripe Treasury verwendet die gleichen Workflows wie Stripe Connect, um verbundene Konten einzurichten, einschließlich verschiedener KYC- und Konformitätsanforderungen. Sie können unsere API verwenden, um Ihr Betrugsrisikomanagement anzupassen und Komplikationen für Ihre verbundenen Konten zu reduzieren.

Lesen Sie die folgende allgemeine Anleitung zur Überwachung und Minimierung von Betrug bei der Verwendung von Stripe Treasury. Da Sie für Verluste aufgrund von Betrug und Zahlungsanfechtungen durch Ihre verbundenen Konten haften, ist dies für Sie von großer Wichtigkeit. In diesem Leitfaden wird Betrug in drei Hauptkategorien unterteilt:

  • Geschäftlicher Betrug: Eine Person erstellt ein betrügerisches verbundenes Konto (häufig mit einer gestohlenen Identität), um einen Betrug zu begehen.
  • Transaktionsbetrug: Die Karten- oder Finanzinformationen eines legitimen verbundenen Kontos werden gestohlen oder kompromittiert, was zu nicht autorisierten Aktivitäten führt.
  • Betrug bei Kontoübernahme: Die Anmeldung eines/einer legitimen Inhabers/in eines verbundenen Kontos wird von Dritten kompromittiert, und es werden nicht autorisierte Aktionen in Bezug auf ihr Konto durchgeführt.

Beispiele für geschäftlichen Betrug

Die bekanntesten Arten von geschäftlichem Betrug in der Finanzdienstleistungsbranche sind First-Party-Betrug, Third-Party-Betrug und Betrug durch erzwungene Erfassung oder Übererfassung.

Beispiel für First-Party-Betrug (ACH-Lastschrift)

  1. Eine böswillige Person eröffnet mithilfe einer kompromittierten oder künstlichen Identität ein Finanzkonto (Finanzinstitut A).
  2. Die böswillige Person meldet sich beim Finanzinstitut A an und initiiert eine ACH-Lastschrift in Höhe von 10.000 USD, um Gelder von einem anderen Finanzkonto abzubuchen, dessen Inhaber sie ebenfalls ist (Finanzinstitut B). In diesem Fall ist das Finanzinstitut A der Aussteller der Lastschrift (ODFI) und das Finanzinstitut B der Empfänger der Lastschrift (RDFI).
  3. Wenn die abgebuchten Gelder bei Finanzinstitut A verfügbar werden, gibt die böswillige Person die Gelder sofort aus oder überweist sie.
  4. Die böswillige Person wendet sich dann an das Finanzinstitut B und behauptet, die vom Finanzinstitut A initiierte ACH-Lastschrift sei nicht autorisiert worden.
  5. Finanzinstitut B leitet eine ACH-Rückgabe mit der Begründung ein, dass die Lastschrift nicht autorisiert war, und zieht den gesamten Lastschriftbetrag ein.
  6. Bei Finanzinstitut A verbleibt ein Negativsaldo.

Beispiel für Third-Party-Betrug (ACH-Lastschrift)

  1. Eine böswillige Person eröffnet mithilfe einer kompromittierten oder künstlichen Identität ein Finanzkonto (Finanzinstitut A).
  2. Die böswillige Person meldet sich beim Finanzinstitut A an und initiiert eine ACH-Lastschrift in Höhe von 10.000 USD, um Gelder von einem anderen Finanzkonto abzubuchen, dessen Inhaber sie nicht ist, für das sie jedoch Konto- und Routingnummern bei Finanzinstitut B besitzt. In diesem Fall ist Finanzinstitut A der Aussteller der Lastschrift (ODFI) und Finanzinstitut B der Lastschriftempfänger (RDFI).
  3. Wenn die abgebuchten Gelder bei Finanzinstitut A verfügbar werden, gibt die böswillige Person die Gelder sofort aus oder überweist sie.
  4. Der/die Kontoinhaber/in bei Finanzinstituts B bemerkt dann die fehlerhafte Abbuchung von seinem/ihrem Konto und meldet dem Finanzinstitut, dass die von dem Finanzinstitut A veranlasste Abbuchung nicht autorisiert wurde.
  5. Finanzinstitut B leitet eine ACH-Rückgabe mit der Begründung ein, dass die Lastschrift nicht autorisiert war, und zieht den gesamten Lastschriftbetrag ein.
  6. Bei Finanzinstitut A verbleibt ein Negativsaldo.

Beispiel für Third-Party-Betrug (ACH oder Überweisung)

  1. Eine böswillige Person eröffnet mithilfe einer kompromittierten oder künstlichen Identität ein Finanzkonto (Finanzinstitut A).
  2. Die böswillige Person verwendet entweder kompromittierte Anmeldedaten für ihr Finanzkonto oder andere Mittel, um eine ACH-Lastschrift oder eine Überweisung von einem anderen Finanzkonto an das Finanzinstitut A zu initiieren.
  3. Wenn die gutgeschriebenen Gelder bei Finanzinstitut A verfügbar werden, gibt die böswillige Person die Gelder sofort aus oder überweist sie.
  4. Das Finanzinstitut A ist hier möglicherweise nicht in einer Verlustposition, da nur das ursprüngliche Finanzinstitut die eingehende Überweisung unter bestimmten Umständen zurückrufen kann. Trotzdem hat Finanzinstitut über sein Konto betrügerische Aktivitäten ermöglicht, was sich auf die Konformität und den Ruf von Stripe und unseren Finanzpartnern auswirkt.

Beispiel für Betrug durch erzwungene Erfassung oder Übererfassung

  1. Eine böswillige Person eröffnet mithilfe einer kompromittierten oder künstlichen Identität ein Finanzkonto mit beigefügter Karte (Finanzinstitut A).
  2. Die böswillige Person erstellt ein separates Konto oder kompromittiert eines bei einem anderen Acquirer (mittels Kontoübernahme oder ATO).
  3. Die betrügerische Person verwendet das Konto, um Autorisierungen für die vom Finanzinstitut A ausgestellte Karte zu erstellen, die keine Anfechtungsrechte des Ausstellers haben – zum Beispiel Card-Present-Transaktionen bei einer Chipkarte oder Card-Not-Present-Transaktionen, die versuchen, 3D Secure (3DS) oder Visa Secure zu nutzen.
  4. Die böswillige Person erzwingt dann Erfassungen oder Übererfassungen früherer Autorisierungen.
  5. Die böswillige Person wird dann vom Acquirer über das Geschäftskonto ausgezahlt.
  6. Die böswillige Person reicht dann Zahlungsanfechtungen aufgrund von Betrug über die vom Finanzinstitut A ausgestellte Karte ein. Finanzinstitut A kann jedoch aufgrund fehlender Anfechtungsrechte keine Zahlungsanfechtungen gegen den Acquirer einreichen und verliert die Anfechtungen.
  7. Auf dem Finanzkonto verbleibt ein Negativsaldo in Höhe der übererfassten oder zwangsweise erfassten Gelder.

Vor Betrug im Zusammenhang mit Treasury schützen Sie sich am besten, indem Sie sicherstellen, dass die verbundenen Konten, die sich für den Zugriff auf das Treasury-Produkt registrieren, legitim sind. Es empfiehlt sich, das Risikoprofil neuer Konten ganzheitlich zu bewerten. Generell gilt: Je besser Sie Ihre Kundinnen und Kunden sowie deren Geschäft verstehen, desto besser können Sie Ihr Risiko einschätzen und steuern.

Strategien zur Eindämmung des Betrugsrisikos

Verwenden Sie die folgenden Strategien zur Eindämmung von Risiken, um sich in den verschiedenen Phasen der Geschäftstätigkeit zu schützen.

Beim Onboarding

  • Überwachung des Anmeldevolumens: Unerwarteter Anstieg des Anmeldevolumens kann darauf hindeuten, dass Ihre Plattform von böswilligen Akteuren entdeckt und ausgenutzt wird. Es ist auch üblich, dass nach einer Marketingankündigung ein Anstieg von Betrug verzeichnet wird. Achten Sie in diesen Fällen besonders auf die Anmeldungen.
  • Zugriff auf schnellere Auszahlungen einschränken: Wenn Ihre verbundenen Konten auch Stripe für Zahlungen nutzen, sollten Sie einschränken, welchen Konten Sie Zugriff auf schnellere Auszahlungen auf ihre Treasury-Konten gewähren. Beschränken Sie schnellere Auszahlungen auf vertrauenswürdige verbundene Konten. Sie können auch in Erwägung ziehen, Kriterien einzuführen, anhand derer verbundene Konten ihre gute Absicht unter Beweis stellen. So können sie sich schnellere Auszahlungen sichern (z. B. durch eine bestimmte Anzahl problemloser Monate oder einen bestimmten Mindestbetrag an verarbeitetem Volumen).
  • ACH-Lastschriftkontrollen: ACH-Lastschriften bergen ein erhöhtes Betrugsrisiko, da es sich um eine Zahlungsmethode handelt, bei der Zahlungen eingezogen (Pull-Methode) werden. Angesichts dieses erhöhten Risikos ist es wichtig, ein angemessenes Maß an Betrugsschutz und Kontrollen für diese Einzahlungsmethode vorzusehen. Dabei sollte diese Funktion auch nur auf vertrauenswürdige Konten beschränkt werden.
  • Zusätzliche Identitätsprüfung: Obwohl das Treasury-Produkt standardmäßige Connect KYC für Ihre verbundenen Konten beinhaltet, konzentriert sich dieser Prozess auf die Identitätsvalidierung (ob die bei der Anmeldung angegebenen Informationen gültig sind) und nicht auf die Identitätsprüfung (ob die Person oder das Unternehmen, die/das die Informationen bei der Anmeldung angibt, auch tatsächlich die Person bzw. das Unternehmen ist, die/das sie/es vorgibt zu sein). Sie können optional Stripe Identity verwenden, ein Produkt zur Identitätsprüfung, das die Identität von Kundinnen/Kunden programmgestützt bestätigt. So können Sie Angriffe von böswilligen Akteuren erheblich reduzieren und gleichzeitig Komplikationen für legitime Transaktionen minimieren.
  • Branchenrelevante Informationen bei der Anmeldung erfassen:
    • Wenn Ihre verbundenen Konten Kleinunternehmen sind, sollten Sie erwägen, URLs und relevante Informationen aus sozialen Medien wie Linkedin, Facebook und X (ehemals Twitter) zu erfassen.
    • Wenn Ihre verbundenen Konten Auftragnehmer/innen oder Kreative sind, sollten Sie erwägen, relevante Informationen aus den sozialen Medien wie Facebook, X, TikTok, YouTube oder Instagram zu erfassen.
    • Wenn Ihre verbundenen Konten Unternehmen aus einer Branche sind, für die eine Lizenz erforderlich ist, sollten Sie diese bei der Registrierung beantragen.
  • Domain-Verifizierung: Bestätigen Sie die E-Mail-Adresse des Inhabers/der Inhaberin eines verbundenen Kontos, wenn sie mit seiner/ihrer geschäftlichen Domain verknüpft ist (senden Sie zum Beispiel eine E-Mail an eine Adresse dieser Domain und verlangen Sie eine Antwort von dieser).
  • Duplikaterkennung: Führen Sie Überprüfungen auf doppelte Kontoinformationen durch, die mit zuvor betrügerischen, verbundenen Konten in Verbindung stehen, wie z. B. Finanzkontoinformationen, Name mit Geburtsdatum und Steuerinformationen. Sie können auch schwache Verbindungen zwischen Konten in Betracht ziehen, wie z. B. mehrere Konten, die von derselben IP-Adresse, demselben Gerät usw. eingerichtet wurden.

Während des gesamten Lebenszyklus eines Kontos

  • Ganzheitliche Überprüfung auf Betrug: Führen Sie zu einem bestimmten Zeitpunkt im Lebenszyklus eines neuen verbundenen Kontos eine manuelle Überprüfung auf Betrug durch. Abhängig von der Anzahl Ihrer verbundenen Konten, Ihrem Geschäftsmodell und Ihrer Risikobereitschaft kann es sinnvoll sein, dies bei der Registrierung, bei bestimmten Zu- und Abflüssen von Geldbeträgen oder ähnlichen Bedingungen zu tun.
  • Ungewöhnliche Aktivitäten melden: Melden Sie Unternehmen, die auffälliges Verhalten aufweisen, damit diese manuell überprüft werden können. Dies kann unter anderem auch Unternehmen mit mehr als einer bestimmten Anzahl von Transaktionen umfassen, für die keine Autorisierung (erzwungene Erfassung) vorliegt oder eine Erfassung, die den Autorisierungsbetrag übersteigt (Übererfassung), eine große Überweisung oder Abhebung auf ein Konto, eine große internationale Abhebung von einem Konto, Kartentransaktionen im Ausland oder eine Rückbuchung einer ACH-Lastschrift auf das Konto. Ermutigen Sie außerdem Ihre Nutzer/innen dazu, aufmerksam zu sein, da diese oftmals am besten einschätzen können, ob es sich um ungewöhnliche Aktivitäten handelt und Ihnen diese melden können.

Wenn Sie vermuten, dass das Unternehmen betrügerisch ist, legen Sie die Funktion outbound_flows auf restricted fest, bis Sie das Konto überprüfen und eine Entscheidung treffen können. Beispiele für Informationen, die Sie bei dieser manuellen Überprüfung von Ihren verbundenen Konten anfordern möchten, hängen von Ihrer Branche ab, können aber auch Social-Media-Profile, Geschäftsunterlagen, Fotos des Bestands, Sendungsverfolgungsnummern, Geschäftslizenzen usw. umfassen.

Wenn Sie sicher sind, dass ein Unternehmen betrügerisch ist, legen Sie die Funktionen outbound_flows und inbound_flows auf restricted fest. Wenn das Konto einen Nullsaldo aufweist, schließen Sie das Konto. Wenn der Kontosaldo ungleich null ist, können Sie das Konto nicht schließen, aber Sie können die aufgeführten Funktionen deaktivieren.

Transaktionsbetrug

Transaktionsbetrug ist die nicht autorisierte Verwendung einer Kreditkarte oder eines Finanzkontos, um Geld oder Eigentum in betrügerischer Weise zu erlangen. Bei Stripe manifestieren sich betrügerische Transaktionen als nicht autorisierte Abbuchung von einer von Stripe ausgestellten Karte oder als nicht autorisierte Abbuchung von einem von Stripe ausgestellten Finanzkonto. Karten können entweder durch physischen Diebstahl oder eine verlorene Karte kompromittiert werden, oder durch Zugangsdaten, die durch Phishing, Spyware, unsichere Bezahlvorgänge, externe Sicherheitslücken usw. kompromittiert wurden. Finanzkonten können kompromittiert werden, wenn eine böswillige Person Kenntnis von den Konto- und Routingnummern Ihres Finanzkontos erhält.

Im Gegensatz zum oben beschriebenen Betrug tritt Transaktionsbetrug bei legitimen Kundinnen und Kunden auf. Dies kann zu jedem Zeitpunkt im kundenseitigen Lebenszyklus passieren. Ein verbundenes Konto Ihrer Plattform hat das Treasury-Produkt möglicherweise bereits monate- oder jahrelang verlässlich genutzt, bevor seine Karte oder sein Finanzkonto kompromittiert wird.

Derzeit bietet Issuing einen Betrugsschutz, der sich auf die kartengebundenen Produkte innerhalb von Treasury erstreckt. Sie müssen aber trotzdem auf Transaktionsbetrug achten. Am wirksamsten bekämpfen Sie Transaktionsbetrug, wenn Ihre verbundenen Konten wissen, dass sie ihre Karten- und Finanzkontoinformationen sorgfältig schützen müssen. Auch die Aktivitäten in ihrem Treasury-Konto müssen sie genau im Blick behalten. Benachrichtigungen per Textnachricht oder E-Mail über Kontoaktivitäten können dazu beitragen, die Transparenz zu erhöhen. Die schnelle Identifizierung von betrügerischen Transaktionen gibt Ihren verbundenen Konten die besten Chancen, Zahlungsanfechtungen einzureichen.

Bei Kartenanfechtungen kommt eine Transaktion nur dann infrage, wenn seit der Erfassung der Transaktion weniger als 110 Tage vergangen sind. Zahlungsanfechtungen werden über das Dashboard oder die API bearbeitet. Weitere Informationen zur Einreichung von Zahlungsanfechtungen in Issuing finden Sie im Leitfaden Angefochtene Zahlungen in Issuing.

Bei ACH-Lastschriftanfechtungen (Rückgaben) ist eine Anfechtung für eine Transaktion nur dann möglich, wenn Sie Stripe mindestens 24 Stunden vor dem Abwicklungsdatum der Transaktion über die Rückgabeanfrage informieren. Anfechtungen von ACH-Lastschriften werden derzeit manuell per E-Mail bearbeitet. Erfahren Sie mehr über die Einreichung von ACH-Lastschriftanfechtungen.

Wenn die Karten- oder Finanzkontonummer Ihres verbundenen Kontos kompromittiert wird und zu nicht autorisierten Transaktionen führt, haben Sie mehrere Optionen. Sie sollten nicht nur die berechtigten Transaktionen anfechten, sondern auch erwägen, die Karte zu sperren und neu auszugeben und ein neues Connect- und Finanzkonto eröffnen, um zukünftige Betrugsfälle zu verhindern.

Sie können auch proaktive Maßnahmen ergreifen, um betrügerische Transaktionen auf Ihrer Plattform zu bekämpfen. Nachfolgend finden Sie einige Beispiele für Kontrollen, die Sie einführen können:

Strategien zur Eindämmung von Betrug im Zusammenhang mit Kartentransaktionen

  • Bei 3DS registrieren: 3DS ist ein zusätzlicher Authentifizierungsschritt, mit dem Unternehmen sicherstellen können, dass Käufe von legitimen Karteninhaberinnen und Karteninhabern stammen. Beim zusätzlichen Schritt mit 3DS wird Karteninhaberinnen und Karteninhabern in der Regel während dem Bezahlvorgang eine Authentifizierungsseite auf der Website ihres Finanzinstituts angezeigt, auf der sie zur Eingabe eines an ihr Mobilgerät oder ihre E-Mail-Adresse gesendeten Verifizierungscodes aufgefordert werden. 3DS wird nur für Online-Transaktionen verwendet und funktioniert nur, wenn sowohl das Unternehmen als auch der Kartenaussteller diese Option unterstützen. Wenn ein Unternehmen 3DS aktiviert hat, geht die Haftung für Anfechtungen aufgrund von Betrug automatisch auf den Aussteller über, unabhängig davon, ob der Aussteller 3DS aktiviert. Wir empfehlen Ihnen, 3DS zu aktivieren.
  • Ausgabenkontrollen: Legen Sie Ausgabekontrollen fest, um Händlerkategorien zu sperren (z. B. Bäckereien) oder um Ausgabelimits wie 100 USD pro Autorisierung oder 3.000 USD pro Monat festzulegen. Sie können sie sowohl auf Karten als auch auf Karteninhaber/innen anwenden, indem Sie entweder deren spending_controls-Felder bei der Erstellung festlegen oder sie später aktualisieren. Die Einrichtung von Ausgabenkontrollen ist besonders effektiv, wenn eine Karte oder ein/e Karteninhaber/in ein erwartetes Ausgabemuster aufweist und es wahrscheinlich ist, dass anomale Ausgaben nicht autorisiert werden. Erfahren Sie mehr über Ausgabenkontrollen und deren Konfiguration.
  • VAA-Score: Stripe verfügt über bestimmte Betrugsschutzmaßnahmen für Issuing-Transaktionen, zu denen in einigen Fällen die automatische Blockierung von verdächtig erscheinenden Autorisierungen unter Verwendung des Visa Advanced Authorization (VAA)-Scores gehört. Wenn Sie möchten, dass wir Ihnen diesen Score über die API zugänglich machen, wenden Sie sich an treasury-support@stripe.com.
  • Transaktionen mit hohem Risiko zur Überprüfung an die Karteninhaber/innen melden: In einigen Situationen ist es ratsam, Kartentransaktionen, die Ihren verbundenen Konten als hochriskant erscheinen, diesen zu melden. Die Konten sollen dann überprüfen, ob die Transaktion autorisiert wurde. Einige Aspekte, worauf Sie achten sollten, sind:
    • Transaktionen, die sich auf große oder gerundete Beträge beziehen
    • Transaktionen, die den durchschnittlichen Zahlungsbetrag für den/die Karteninhaber/in deutlich überschreiten
    • Transaktionen bei Einzelhändlern, bei denen häufig Geschenkkarten verkauft werden (z. B. Lebensmittelgeschäfte)
    • Erzwungene Erfassungen
    • Übererfassungen
    • Transaktionen von Unternehmen mit Sitz außerhalb des Landes, in dem der/die Karteninhaber/in ansässig ist

Strategien zur Eindämmung von Betrug im Zusammenhang mit ACH-Lastschrifttransaktionen

  • Transaktionen mit hohem Risiko zur Überprüfung an die Kontoinhaber/innen melden: In einigen Situationen ist es ratsam, ACH-Lastschrifttransaktionen, die Ihren verbundenen Konten als hochriskant erscheinen, diesen zu melden. Die Konten sollen dann überprüfen, ob die Transaktion autorisiert wurde. Einige Arten von Lastschriften, bei denen Vorsicht geboten ist, sind:
    • Abbuchungen von hohen Beträgen oder von Beträgen, die nahe an den geltend gemachten Grenzwerten liegen
    • Lastschriften in Verbindung mit einem neuen Absender
    • Abbuchungsversuche, obwohl das Konto nicht ausreichend gedeckt ist

Dieser Schritt ist besonders wichtig, wenn Sie Grund zu der Annahme haben, dass die Kontodaten eines/einer Kontoinhaber/in kompromittiert wurden, da diese besonders anfällig für ACH-Lastschriftbetrug sind.

Wenn bei einer empfangenen ACH-Transaktion der Verdacht besteht, dass es sich um eine nicht autorisierte Aktivität handelt, empfehlen wir den sofortigen DebitReversal. Dies kann über das Stripe-Dashboard oder über die API erfolgen. Mit einem Lastschriftstorno können Sie eine Transaktion rückgängig machen. Dies muss jedoch innerhalb von zwei Werktagen nach Eingang der Transaktion abgeschlossen sein. Dieses kurze Zeitfenster unterstreicht, wie wichtig es ist, bei ACH-Lastschriften wachsam zu sein. Weitere Informationen zu DebitReversals und wie diese effektiv angewendet werden, finden Sie unter Gelder mit Treasury mit DebitReversal-Objekten transferieren.

Um dieses Risiko weiter zu mindern, sollten Sie Ihren Nutzerinnen und Nutzern die Vorteile von „Push-Finanzierungsmethoden“ wie OutboundTransfers deutlich machen. Außerdem sollten Sie bei Transaktionen, die Sie mit einem hohen Risiko einstufen, die automatische Verarbeitung von Stornierungen in Betracht ziehen. Wenn Sie Stornierungen einzelner Finanzkonten automatisieren möchten, können Sie auch den Zugriff auf die API-basierte Deaktivierung von ReceivedDebits anfordern.

Betrug durch Kontoübernahme (ATO)

Betrug durch Kontoübernahmen liegt dann vor, wenn sich Dritte Zugang zu Ihrem verbundenen Konto verschaffen. In der Regel führen Angreifer unbefugte Handlungen auf dem Konto aus, um sich finanziell zu bereichern. Bei den häufigsten Aktionen auf einem Treasury-Konto, überweisen oder transferieren die Angreifer Gelder auf externe Finanzkonten, sie stellen neue Karten aus, verschaffen sich Einsicht in die PAN-Rohdaten von bestehenden Karten und führen nicht autorisierte Transaktionen mit einer Karte durch.

Der Schutz vor Kontoübernahmen hängt davon ab, ob Ihre Plattform oder Stripe für die Anmeldung und die Verifizierung für Ihre verbundenen Konten zuständig ist.

Im Folgenden finden Sie einige Beispiele für Kontrollen, die Sie vor Kontoübernahmen schützen können:

  • Implementieren Sie 2FA auf allen verbundenen Konten.
  • Klären Sie verbundene Konten über Phishing und die Nichtweitergabe ihrer 2FA-Codes auf.
  • Erzwingen Sie die Einhaltung eindeutiger Passwortrichtlinien.
  • Erfassen Sie Geräte- und IP-Adressinformationen, um nachzuverfolgen, ob Aktionen mit hohem Risiko (z. B. Passwortaktualisierungen, Aktualisierungen von 2FA-Methoden, Erstellen einer neuen Karte, Senden von Geldern auf ein neues externes Finanzkonto) von veralteten Geräten oder IP-Adressen aus durchgeführt werden.
  • Überwachen Sie die IP-Aktivität für Anmeldungen von zuvor unbekannten Standorten oder Hosting-Anbietern.
  • Implementieren Sie Abfragen für Aktionen mit hohem Risiko, z. B. welche die Anforderung eines 2FA-Codes erfordern, um eine Überweisung an ein neues Konto zu senden.
  • Überwachen Sie verbundene Konten auf ungewöhnliche Aktivitäten. Beispiele hierfür sind Transfers oder Überweisungen, die den gesamten Treasury-Saldo auf Null setzen, oder internationale Kartenausgaben.

Wenn Sie vermuten, dass eine Kontoübernahme stattgefunden hat, setzen Sie die Funktionen outbound_flows und inbound_flows auf restricted, lassen bestehende Anmeldesitzungen ablaufen und deaktivieren die Anmeldung. Nachdem Sie die Einschränkung für das Konto eingerichtet haben, überprüfen Sie die Identität der ursprünglichen Kontoinhaber/innen und stellen den Zugang zu dem Konto wieder her. Die Sanierung erfolgt in der Regel durch Anruf bei der Telefonnummer, die den Kundinnen/Kunden zugeordnet ist (vor der Übernahme) und die Überprüfung verschiedener personenbezogener Kundendaten (PII). Nachdem Sie die Identität bestätigt haben, können Sie den Kundinnen/Kunden beim Zurücksetzen des Passworts oder des 2FA-Geräts (sofern es während der Übernahme geändert wurde), der erneuten Aktivierung der Anmeldung und der erneuten Aktivierung der zuvor auf „Eingeschränkt“ gesetzten Treasury-Funktionen unterstützen. Die finanzielle Entschädigung für alle während der Übernahme verlorenen Gelder hängt von Ihren internen Richtlinien ab.

Weitere Überlegungen zur Risikominderung

Zusätzlich zu den bereits beschriebenen Überlegungen sollten Sie auch die folgenden Überlegungen zur Risikominderung berücksichtigen.

Schnellere Auszahlungskontrollen

Das Anbieten von schnelleren Auszahlungen an neue Unternehmen birgt ein Risiko, das mit Bedacht angegangen werden sollte. Um dieses Risiko zu mindern, empfehlen wir Ihnen, Kontrollen einzuführen, um die schnellere Verfügbarkeit von Auszahlungen zu deaktivieren, wenn Sie eine Zunahme der Betrugsfälle feststellen.

Bieten Sie verbundenen Konten schnellere Auszahlungen erst an, nachdem sie eine bestimmte Vertrauensstufe erreicht haben. Beispiel:

  • Mehr als 60 Tage Bearbeitung
  • Über 2.000 USD Gesamtvolumen seit Vertragsbeginn
  • Weniger als 3 % Rückbuchungs- oder Retourenquote
  • Bieten Sie verbundenen Konten schnellere T+1 Auszahlungen an, bevor Sie sie auf schnellere T+0 Auszahlungen umstellen.
  • Die Begrenzung schnellerer Auszahlungen für vertrauenswürdige, verbundene Konten trägt zwar dazu bei, Betrug bei der Registrierung einzudämmen, die Möglichkeit von Betrug bei Kontoübernahmen (ATO) oder Good-Merchant-Gone-Bad (GMGB)-Konten wird dadurch jedoch nicht ausgeschlossen. Es ist wichtig, Warnungen für Unternehmen auszulösen, deren Zahlungsmuster in der Regel auf ATO oder GMGB hinweisen (ein Anstieg des Verarbeitungsvolumens oder eine Änderung des durchschnittlichen Transaktionsvolumens, manchmal verbunden mit einer Änderung des Bankkontos oder der Anmeldung).

ACH-Lastschriftkontrollen

Bei ACH-Lastschriften (über Treasury InboundTransfers) besteht ein erhöhtes Betrugsrisiko, da es sich um Zahlungen handelt, die eingezogen (Pull-Methode) werden. Dies bedeutet, dass Treasury-Kontoinhaber/innen Kundendaten eingeben und Gelder vom Kundenkonto einziehen, anstatt dass die Kundinnen/Kunden die Gelder von Ihren eigenen Konten überweisen. Aufgrund des erhöhten Risikoprofils schlagen wir eine Reihe von Maßnahmen zur Risikominderung für entstandene ACH-Lastschriften vor:

  • Stellen Sie sicher, dass das betreffende Unternehmen berechtigt ist, Gelder von einem Bankkonto abzubuchen, und dass das Konto verifiziert ist. Erfahren Sie mehr über die Autorisierung und Verifizierung von ACH-Lastschriften.
  • Bei ACH-Lastschriften können die Gelder aus verschiedenen Gründen zurückgegeben werden, von Betrug bis hin zu unzureichender Deckung. Die meisten Fehler (zum Beispiel aufgrund unzureichender Deckung oder eines ungültigen Kontos) treten innerhalb von 4 Werktagen nach der Veröffentlichung auf. Es ist daher wichtig, sicherzustellen, dass verbundenen Konten, die sich noch nicht als legitim erwiesen haben, keine Gelder ausgezahlt werden, bevor dieser erste Abrechnungszeitraum abgelaufen ist.
  • Angesichts des erhöhten Risikoprofils von ACH-Lastschriften müssen Sie entweder den Zugriff auf vertrauenswürdige verbundene Konten beschränken oder strenge Beschränkungen festlegen und die Nutzung überwachen, um betrügerische Akteurinnen und Akteure zu identifizieren. Für neue Konten könnte die ACH-Lastschrift zunächst auf eine Transaktionsgröße von 2.000 USD und ein wöchentliches Limit von 5.000 USD beschränkt werden. Wenn das Vertrauen der verbundenen Konten wächst, können Sie diese Limits mit dem Wachstum ihres Geschäfts erhöhen.

Checkliste zur Betrugsbekämpfung

Bei Verdacht auf Betrug ist es äußerst wichtig, die entsprechenden Maßnahmen zu ergreifen, um finanzielle Verluste und weitere betrügerische Aktivitäten zu minimieren. Sie können sich die Betrugsbekämpfung als zwei Hauptschritte vorstellen:

  1. Stoppen Sie den unmittelbaren Schaden.
  2. Entwickeln Sie langfristige Lösungen, um zukünftigem Missbrauch vorzubeugen. Einige wichtige Schritte, die Sie unternehmen können, wenn Sie einen Betrug erkennen, sind die folgenden:
    • Stellen Sie sicher, dass alle Geldbewegungen und Geldübertragungen für das betreffende Konto blockiert sind. Legen Sie beispielsweise die Funktionen outbound_flows und inbound_flows auf restricted fest.
    • Ermitteln Sie, warum das betreffende Konto von den Betrugs- und Risikokontrollen nicht identifiziert wurde, und stellen Sie sicher, dass zusätzliche Kontrollen eingerichtet werden. Wenn Betrüger/innen eine Lücke in den Risikosystemen entdecken, versuchen sie diese so lange auszunutzen, bis sie erfolgreich geschlossen wird.
    • Identifizieren Sie alle anderen Konten, bei denen ähnliche Betrugsversuche auftreten. Wie bereits erwähnt, werden betrügerische Akteurinnen und Akteure Lücken so lange ausnutzen, wie diese bestehen. Dabei sind Chancen in großem Umfang besonders beliebt, um den Gewinn zu maximieren. Wenn Sie einen Betrugsfall bemerken, müssen Sie unbedingt sicherstellen, dass die gleiche Art von Betrug nicht auch bei anderen Konten auftritt und dass die Täter/innen nicht einfach ein neues Konto erstellen und die gleichen Aktionen wiederholen. Auf diese Weise können Sie möglicherweise verzögerten Signalen wie Zahlungsanfechtungen einen Schritt voraus sein und betrügerische Akteurinnen und Akteure davon abhalten, es mit den gleichen Methoden erneut zu versuchen, da Sie deren Gewinne minimieren.

Vorgeschlagene Überwachung von Metriken

Im Folgenden finden Sie einige Metriken, deren Überwachung wir empfehlen, um die Identifizierung und Messung von Betrug bei Ihren Treasury-Kundinnen und Kunden zu unterstützen. Bei den folgenden Metriken wird davon ausgegangen, dass Ihre verbundenen Konten sowohl unsere Treasury- als auch unsere Payments-Produkte nutzen. Wenn dies nicht der Fall ist, können Sie die Einstellungen entsprechend ändern.

Spätindikatoren

  • Ablehnungsquote bei Treasury-Konten im Vergleich zu anderen Konten im Zeitverlauf
  • Absolute Acquiring-Verluste bei Treasury-fähigen Konten
  • Anteil verlustbehafteter Konten mit Treasury
  • Absoluter Verlust pro Konto auf Konten mit Treasury im Vergleich zu anderen Konten
  • Zeit bis zur Erfassung von Verlusten bei Konten mit Treasury im Vergleich zu anderen Konten

Frühindikatoren

  • Registrierquote für Konten mit Treasury im Laufe der Zeit im Vergleich zu anderen Konten
  • Anomalien des Überweisungsbetrags: Neue verbundene Konten mit hohem Volumen an ReceivedTransfers (ohne Acquiring-Auszahlungen) in den ersten 30 Tagen
  • Anomalien des Überweisungsbetrags: Geringes Acquiring-Bearbeitungsvolumen bei hohem Aufkommen an ReceivedTransfers (ohne Acquiring-Auszahlungen)
  • Liste der Konten mit wesentlichen ReceivedTransfers, gefolgt von OutboundTransfers, wodurch der Treasury-Saldo auf null sinkt
  • Liste der Konten, die bestimmte Gesamtbeträge bei internationalen Kartenausgaben oder OutboundTransfers überschreiten
War diese Seite hilfreich?
JaNein
Benötigen Sie Hilfe? Kontaktieren Sie den Kundensupport.
Nehmen Sie an unserem Programm für frühzeitigen Zugriff teil.
Schauen Sie sich unseren Produkt-Changelog an.
Fragen? Sales-Team kontaktieren.
Unterstützt von Markdoc
Auf dieser Seite
Beispiele für geschäftlichen Betrug
Strategien zur Eindämmung des Betrugsrisikos
Transaktionsbetrug
Betrug durch Kontoübernahme (ATO)
Weitere Überlegungen zur Risikominderung
Schnellere Auszahlungskontrollen
ACH-Lastschriftkontrollen
Checkliste zur Betrugsbekämpfung
Vorgeschlagene Überwachung von Metriken
Spätindikatoren
Frühindikatoren
Verwendete Produkte
Treasury
Connect
Issuing