Leitfaden zur Betrugsprävention mit Treasury
Stripe Treasury ist eine Banking-as-a-Service-API, mit der Sie Finanzdienstleistungen in Ihre Plattformprodukte einbetten können. Mit Stripe Treasury (über unsere Partnerschaften mit inländischen US-Banken) können Sie Ihren Nutzer/innen ein einfaches Stored-Value-Konto anbieten, über das sie Gelder senden und empfangen (über ACH-Überweisungen), Erträge erzielen und Geld über eine Karte ausgeben können sowie vieles mehr – alles direkt in Ihre Anwendung integriert.
Stripe Treasury verwendet die gleichen Workflows wie Stripe Connect, um die Nutzer/innen einzurichten, einschließlich verschiedener KYC- und Konformitätsanforderungen. Sie können unsere API verwenden, um Ihr Betrugsrisikomanagement anzupassen und Komplikationen für Ihre Nutzer/innen zu reduzieren.
Lesen Sie die folgende allgemeine Anleitung zur Überwachung und Minimierung von Betrug bei der Verwendung von Stripe Treasury, da Sie für Verluste aufgrund von Betrug und Zahlungsanfechtungen durch Ihre Nutzer/innen haften. In diesem Leitfaden wird Betrug in drei Hauptkategorien unterteilt:
- Geschäftlicher Betrug: Eine Person erstellt ein betrügerisches verbundenes Konto (häufig mit einer gestohlenen Identität), um einen Betrug zu begehen.
- Transaktionsbetrug: Die Karten- oder Finanzinformationen eines legitimen verbundenen Kontos werden gestohlen oder kompromittiert, was zu nicht autorisierten Aktivitäten führt.
- Betrug bei Kontoübernahme: Die Anmeldung eines/einer legitimen Inhabers/in eines verbundenen Kontos wird von Dritten kompromittiert, und es werden nicht autorisierte Aktionen in Bezug auf ihr Konto durchgeführt.
Beispiele für geschäftlichen Betrug
Die bekanntesten Arten von geschäftlichem Betrug in der Finanzdienstleistungsbranche sind First-Party-Betrug, Third-Party-Betrug und Betrug durch erzwungene Erfassung oder Übererfassung.
Beispiel für First-Party-Betrug (ACH-Lastschrift)
- Eine böswillige Person eröffnet mithilfe einer kompromittierten oder künstlichen Identität ein Finanzkonto (Finanzinstitut A).
- Die böswillige Person meldet sich beim Finanzinstitut A an und initiiert eine ACH-Lastschrift in Höhe von 10.000 USD, um Gelder von einem anderen Finanzkonto abzubuchen, dessen Inhaber sie ebenfalls ist (Finanzinstitut B). In diesem Fall ist das Finanzinstitut A der Aussteller der Lastschrift (ODFI) und das Finanzinstitut B der Empfänger der Lastschrift (RDFI).
- Wenn die abgebuchten Gelder bei Finanzinstitut A verfügbar werden, gibt die böswillige Person die Gelder sofort aus oder überweist sie.
- Die böswillige Person wendet sich dann an das Finanzinstitut B und behauptet, die vom Finanzinstitut A initiierte ACH-Lastschrift sei nicht autorisiert worden.
- Finanzinstitut B leitet eine ACH-Rückgabe mit der Begründung ein, dass die Lastschrift nicht autorisiert war, und zieht den gesamten Lastschriftbetrag ein.
- Bei Finanzinstitut A verbleibt ein Negativsaldo.
Beispiel für Third-Party-Betrug (ACH-Lastschrift)
- Eine böswillige Person eröffnet mithilfe einer kompromittierten oder künstlichen Identität ein Finanzkonto (Finanzinstitut A).
- Die böswillige Person meldet sich beim Finanzinstitut A an und initiiert eine ACH-Lastschrift in Höhe von 10.000 USD, um Gelder von einem anderen Finanzkonto abzubuchen, dessen Inhaber sie nicht ist, für das sie jedoch Konto- und Routingnummern bei Finanzinstitut B besitzt. In diesem Fall ist Finanzinstitut A der Aussteller der Lastschrift (ODFI) und Finanzinstitut B der Lastschriftempfänger (RDFI).
- Wenn die abgebuchten Gelder bei Finanzinstitut A verfügbar werden, gibt die böswillige Person die Gelder sofort aus oder überweist sie.
- Der/die Kontoinhaber/in bei Finanzinstituts B bemerkt dann die fehlerhafte Abbuchung von seinem/ihrem Konto und meldet dem Finanzinstitut, dass die von dem Finanzinstitut A veranlasste Abbuchung nicht autorisiert wurde.
- Finanzinstitut B leitet eine ACH-Rückgabe mit der Begründung ein, dass die Lastschrift nicht autorisiert war, und zieht den gesamten Lastschriftbetrag ein.
- Bei Finanzinstitut A verbleibt ein Negativsaldo.
Beispiel für Third-Party-Betrug (ACH oder Überweisung)
- Eine böswillige Person eröffnet mithilfe einer kompromittierten oder künstlichen Identität ein Finanzkonto (Finanzinstitut A).
- Die böswillige Person verwendet entweder kompromittierte Anmeldedaten für ihr Finanzkonto oder andere Mittel, um eine ACH-Lastschrift oder eine Überweisung von einem anderen Finanzkonto an das Finanzinstitut A zu initiieren.
- Wenn die gutgeschriebenen Gelder bei Finanzinstitut A verfügbar werden, gibt die böswillige Person die Gelder sofort aus oder überweist sie.
- Das Finanzinstitut A ist hier möglicherweise nicht in einer Verlustposition, da nur das ursprüngliche Finanzinstitut die eingehende Überweisung unter bestimmten Umständen zurückrufen kann. Trotzdem hat Finanzinstitut über sein Konto betrügerische Aktivitäten ermöglicht, was sich auf die Konformität und den Ruf von Stripe und unseren Finanzpartnern auswirkt.
Beispiel für Betrug durch erzwungene Erfassung oder Übererfassung
- Eine böswillige Person eröffnet mithilfe einer kompromittierten oder künstlichen Identität ein Finanzkonto mit beigefügter Karte (Finanzinstitut A).
- Die böswillige Person erstellt ein separates Konto oder kompromittiert eines bei einem anderen Acquirer (mittels Kontoübernahme oder ATO).
- Die betrügerische Person verwendet das Konto, um Autorisierungen für die vom Finanzinstitut A ausgestellte Karte zu erstellen, die keine Anfechtungsrechte des Ausstellers haben – zum Beispiel Card-Present-Transaktionen bei einer Chipkarte oder Card-Not-Present-Transaktionen, die versuchen, 3D Secure (3DS) oder Visa Secure zu nutzen.
- Die böswillige Person erzwingt dann Erfassungen oder Übererfassungen früherer Autorisierungen.
- Die böswillige Person wird dann vom Acquirer über das Geschäftskonto ausgezahlt.
- Die böswillige Person reicht dann Zahlungsanfechtungen aufgrund von Betrug über die vom Finanzinstitut A ausgestellte Karte ein. Finanzinstitut A kann jedoch aufgrund fehlender Anfechtungsrechte keine Zahlungsanfechtungen gegen den Acquirer einreichen und verliert die Anfechtungen.
- Auf dem Finanzkonto verbleibt ein Negativsaldo in Höhe der übererfassten oder zwangsweise erfassten Gelder.
Der beste Weg, sich vor Betrug im Zusammenhang mit Treasury zu schützen, besteht darin, sicherzustellen, dass die Kund/innen, die sich für den Zugriff auf das Treasury-Produkt registrieren, legitim sind. Es empfiehlt sich, das Risikoprofil neuer Kund/innen ganzheitlich zu bewerten. Generell gilt: Je besser Sie Ihre Kund/innen und deren Geschäft verstehen, desto besser können Sie Ihr Risiko einschätzen und steuern.
Strategien zur Eindämmung des Betrugsrisikos
Verwenden Sie die folgenden Strategien zur Eindämmung von Risiken, um sich in den verschiedenen Phasen der Geschäftstätigkeit zu schützen.
Beim Onboarding
- Überwachung des Anmeldevolumens: Unerwarteter Anstieg des Anmeldevolumens kann darauf hindeuten, dass Ihre Plattform von böswilligen Akteuren entdeckt und ausgenutzt wird. Es ist auch üblich, dass nach einer Marketingankündigung ein Anstieg von Betrug verzeichnet wird. Achten Sie in diesen Fällen besonders auf die Anmeldungen.
- Zugriff auf schnellere Auszahlungen einschränken: Wenn Ihre Kund/innen auch Stripe für Zahlungen nutzen, empfehlen wir, einzuschränken, welche Kund/innen Zugriff auf schnellere Auszahlungen auf ihre Treasury-Konten haben. Beschränken Sie schnellere Auszahlungen auf vertrauenswürdige Kund/innen. Sie können auch in Erwägung ziehen, Kriterien einzuführen, anhand derer Nutzer/innen ihre gute Absicht unter Beweis stellen und schnellere Auszahlungen „verdienen“ können (zum Beispiel eine bestimmte Anzahl von Monaten ohne Probleme oder ein bestimmter Dollar-Betrag an verarbeitetem Volumen).
- ** ACH-Lastschriftkontrollen:** ACH-Lastschriften bergen ein erhöhtes Betrugsrisiko, da es sich um eine Zahlungsmethode handelt, bei der Zahlungen eingezogen (Pull-Methode) werden. Angesichts dieses erhöhten Risikos ist es wichtig, ein angemessenes Maß an Betrugsschutz und Kontrollen für diese Einzahlungsmethode vorzusehen, einschließlich der Beschränkung dieser Funktion auf vertrauenswürdige Nutzer/innen.
- Zusätzliche Identitätsprüfung: Obwohl das Treasury-Produkt standardmäßige Connect KYC für Ihre verbundenen Konten beinhaltet, konzentriert sich dieser Prozess auf die Identitätsvalidierung (ob die bei der Anmeldung angegebenen Informationen sind gültig) und nicht auf die Identitätsprüfung (ob die Person oder das Unternehmen, die/das die Informationen bei der Anmeldung angibt, die Person bzw. das Unternehmen ist, die/das sie/es vorgibt zu sein). Sie können optional Stripe Identity verwenden, ein Produkt zur Identitätsprüfung, das die Identität von Kund/innen programmgesteuert bestätigt. So können Sie Angriffe von böswilligen Akteuren erheblich reduzieren und gleichzeitig Komplikationen für legitime Kund/innen minimieren.
- Branchenrelevante Informationen bei der Anmeldung erfassen:
- Wenn Ihre Kund/innen kleine Unternehmen sind, sollten Sie erwägen, URLs und relevante Informationen aus sozialen Medien wie Linkedin, Facebook und Twitter zu erfassen.
- Wenn Ihre Kund/innen Auftragnehmer/innen oder Kreative sind, sollten Sie erwägen, relevante Informationen aus den sozialen Medien wie Facebook, Twitter, TikTok, YouTube oder Instagram zu erfassen.
- Wenn Ihre Kund/innen Unternehmen aus einer Branche sind, für die eine Lizenz erforderlich ist, sollten Sie diese bei der Anmeldung beantragen.
- Domain-Verifizierung: Bestätigen Sie die E-Mail-Adresse des Inhabers/der Inhaberin eines verbundenen Kontos, wenn sie mit seiner/ihrer geschäftlichen Domain verknüpft ist (senden Sie zum Beispiel eine E-Mail an eine Adresse dieser Domain und verlangen Sie eine Antwort von dieser).
- Duplikaterkennung: Führen Sie Überprüfungen auf doppelte Kontoinformationen durch, die mit zuvor betrügerischen Kund/innen in Verbindung stehen, wie z. B. Finanzkontoinformationen, Name mit Geburtsdatum und Steuerinformationen. Sie können auch schwache Verbindungen zwischen Konten in Betracht ziehen, wie z. B. mehrere Konten, die von derselben IP, demselben Gerät usw. eingerichtet wurden.
Während des gesamten Lebenszyklus eines Kontos
- Ganzheitliche Überprüfung auf Betrug: Führen Sie zu einem bestimmten Zeitpunkt im Lebenszyklus eines/einer neuen Kund/in eine manuelle Überprüfung auf Betrug durch. Abhängig von der Anzahl Ihrer Kund/innen, Ihrem Geschäftsmodell und Ihrer Risikobereitschaft kann es sinnvoll sein, dies bei der Anmeldung, bei bestimmten Zu- und Abflüssen von Geldbeträgen oder ähnlichen Bedingungen zu tun.
- Anormale Aktivitäten melden: Markieren Sie Unternehmen, die auffälliges Verhalten feststellen, zur manuellen Überprüfung. Dies kann unter anderem auch Unternehmen mit mehr als einer bestimmten Anzahl von Transaktionen umfassen, für die keine Autorisierung (erzwungene Erfassung) vorliegt oder eine Erfassung, die den Autorisierungsbetrag übersteigt (Übererfassung), eine große Überweisung oder Überweisung auf ein Konto, eine große internationale Überweisung von einem Konto, Kartentransaktionen im Ausland oder eine Rückbuchung einer ACH-Lastschrift auf das Konto.
Wenn Sie vermuten, dass das Unternehmen betrügerisch ist, legen Sie die Funktion outbound_flows
auf restricted
fest, bis Sie das Konto überprüfen und eine Entscheidung treffen können. Beispiele für Informationen, die Sie bei dieser manuellen Überprüfung von Ihren Kund/innen anfordern möchten, hängen von Ihrer Branche ab, können aber auch Social-Media-Profile, Geschäftsunterlagen, Fotos des Bestands, Sendungsverfolgungsnummern, Geschäftslizenzen usw. umfassen.
Wenn Sie sicher sind, dass ein Unternehmen betrügerisch ist, legen Sie die Funktionen outbound_flows
und inbound_flows
auf restricted
fest. Wenn das Konto einen Nullsaldo aufweist, schließen Sie das Konto. Wenn der Kontosaldo ungleich null ist, können Sie das Konto nicht schließen, aber Sie können die aufgeführten Funktionen deaktivieren.
Transaktionsbetrug
Transaktionsbetrug ist die nicht autorisierte Verwendung einer Kreditkarte oder eines Finanzkontos, um Geld oder Eigentum in betrügerischer Weise zu erlangen. Bei Stripe manifestieren sich betrügerische Transaktionen als nicht autorisierte Abbuchung von einer von Stripe ausgestellten Karte oder als nicht autorisierte Abbuchung von einem von Stripe ausgestellten Finanzkonto. Karten können entweder durch physischen Diebstahl oder eine verlorene Karte kompromittiert werden, oder durch Zugangsdaten, die durch Phishing, Spyware, unsichere Bezahlvorgänge, externe Sicherheitslücken usw. kompromittiert wurden. Finanzkonten können kompromittiert werden, wenn eine böswillige Person Kenntnis von den Konto- und Routingnummern Ihres Finanzkontos erhält.
Im Gegensatz zum oben beschriebenen Betrug tritt Transaktionsbetrug bei guten Kund/innen auf und ksnn zu jedem Zeitpunkt im Lebenszyklus eines/einer Kund/in auftreten. Kund/innen Ihrer Plattform können das Treasury-Produkt monate- oder jahrelang problemlos nutzen, bevor ihre Karte oder ihr Finanzkonto kompromittiert wird.
Derzeit bietet Issuing einen Betrugsschutz, der sich auf die kartengebundenen Produkte innerhalb von Treasury erstreckt. Sie sollten jedoch trotzdem auf Transaktionsbetrug achten. Die wirksamsten Methoden zur Bekämpfung von Transaktionsbetrug bestehen darin, Ihre Kund/innen zu befähigen, ihre Karten- und Finanzkontoinformationen sorgfältig zu schützen, und die Kund/innen dazu zu bringen, die Aktivitäten auf ihrem Treasury-Konto genau zu beobachten. Benachrichtigungen per Textnachricht oder E-Mail über Kontoaktivitäten können dazu beitragen, die Transparenz zu erhöhen. Die schnelle Identifizierung von betrügerischen Transaktionen gibt Ihren Kund/innen die besten Chancen, Zahlungsanfechtungen einzureichen.
Bei Kartenanfechtungen kommt eine Transaktion nur dann infrage, wenn seit der Erfassung der Transaktion weniger als 110 Tage vergangen sind. Zahlungsanfechtungen werden über das Dashboard oder die API bearbeitet. Weitere Informationen zur Einreichung von Zahlungsanfechtungen in Issuing finden Sie im Leitfaden Angefochtene Zahlungen in Issuing.
Bei ACH-Lastschriftanfechtungen (Rückgaben) ist eine Transaktion nur dann für eine Anfechtung geeignet, wenn Sie Stripe mindestens 24 Stunden vor dem Abwicklungsdatum der Transaktion übereine Rückgabeanfrage informieren. Anfechtungen von ACH-Lastschriften werden derzeit manuell per E-Mail bearbeitet. Erfahren Sie mehr über die Einreichung von ACH-Lastschriftanfechtungen.
Wenn die Karten- oder Finanzkontonummer Ihres/Ihrer Kund/in kompromittiert wird und zu nicht autorisierten Transaktionen führt, sollten Sie nicht nur die berechtigten Transaktionen anfechten, sondern auch erwägen, die Karte zu sperren und neu auszugeben und ein neues Connect- und Finanzkonto eröffnen, um zukünftige Betrugsfälle zu verhindern.
Sie können auch proaktive Maßnahmen ergreifen, um betrügerische Transaktionen auf Ihrer Plattform zu bekämpfen. Nachfolgend finden Sie einige Beispiele für Kontrollen, die Sie einführen können:
Strategien zur Eindämmung von Betrug im Zusammenhang mit Kartentransaktionen
- Bei 3DS registrieren: 3DS ist eine zusätzliche Authentifizierungsebene, die von Unternehmen verwendet wird, um sicherzustellen, dass ein Kauf bei einem/einer legitimen Karteninhaber/in erfolgt. Beim zusätzlichen 3DS-Schritt beim Bezahlvorgang wird den Karteninhaber/innen in der Regel eine Authentifizierungsseite auf der Website ihres Finanzinstituts angezeigt, auf der sie zur Eingabe eines an ihr Telefon oder per E-Mail gesendeten Verifizierungscodes aufgefordert werden. 3DS wird nur für Online-Transaktionen verwendet und funktioniert nur, wenn das Unternehmen und der Aussteller dies unterstützen. Wenn ein Unternehmen 3DS aktiviert hat, geht die Haftung für Anfechtungen aufgrund von Betrug automatisch auf den Aussteller über, unabhängig davon, ob der Aussteller 3DS aktiviert. Aktivieren Sie 3DS, um Betrug bei Online-Transaktionen zu einzudämmen. Lesen Sie mehr über 3DS und wie es aktiviert wird.
- Ausgabenkontrollen: Legen Sie Ausgabekontrollen fest, um Händlerkategorien zu sperren (z. B. Bäckereien) oder um Ausgabelimits wie 100 USD pro Autorisierung oder 3.000 USD pro Monat festzulegen. Sie können sie sowohl auf Karten als auch auf Karteninhaber/innen anwenden, indem Sie entweder deren
spending_controls
-Felder bei der Erstellung festlegen oder sie später aktualisieren. Die Einrichtung von Ausgabenkontrollen ist besonders effektiv, wenn eine Karte oder ein/e Karteninhaber/in ein erwartetes Ausgabemuster aufweist und es wahrscheinlich ist, dass anomale Ausgaben nicht autorisiert sind. Erfahren Sie mehr über Ausgabenkontrollen und deren Konfiguration. - VAA-Score: Stripe verfügt über bestimmte Betrugsschutzmaßnahmen für Issuing-Transaktionen, zu denen in einigen Fällen die automatische Blockierung von verdächtig erscheinenden Autorisierungen unter Verwendung des Visa Advanced Authorization (VAA)-Scores gehört. Wenn Sie möchten, dass wir Ihnen diesen Score über die API zugänglich machen, wenden Sie sich an treasury-support@stripe.com.
- Transaktionen mit hohem Risiko zur Überprüfung durch die Karteninhaber/innen kennzeichnen: In einigen Situationen möchten Sie möglicherweise Kartentransaktionen, die für Ihre Kund/innen als hochriskant erscheinen, kennzeichnen und sie bitten, zu bestätigen, ob die Transaktion autorisiert ist. Einige Aspekte, worauf Sie achten sollten:
- Transaktionen, die sich auf große oder gerundete Beträge beziehen
- Transaktionen, die den durchschnittlichen Zahlungsbetrag für den/die Karteninhaber/in deutlich überschreiten
- Transaktionen bei Einzelhändlern, bei denen häufig Geschenkkarten verkauft werden (z. B. Lebensmittelgeschäfte)
- Erzwungene Erfassungen
- Übererfassungen
- Transaktionen von Unternehmen mit Sitz außerhalb des Landes, in dem der/die Karteninhaber/in ansässig ist
Strategien zur Eindämmung von Betrug im Zusammenhang mit ACH-Lastschrifttransaktionen
- Transaktionen mit hohem Risiko zur Überprüfung durch die Kontoinhaber/innen kennzeichnen: In einigen Situationen möchten Sie möglicherweise ACH-Lastschrifttransaktionen, die Ihren Kund/innen als hochriskant erscheinen, kennzeichnen und sie bitten, zu bestätigen, ob die Transaktion autorisiert ist. Einige Arten von Lastschriften, auf die Sie achten sollten:
- Abbuchungen von hohen Beträgen oder von Beträgen, die nahe an den geltend gemachten Grenzwerten liegen
- Lastschriften in Verbindung mit einem neuen Absender
- Abbuchungsversuche, obwohl das Konto nicht ausreichend gedeckt ist
Betrug durch Kontoübernahme (ATO)
Betrug durch Kontoübernahmen liegt dann vor, wenn sich ein Dritter Zugang zum Konto Ihres/Ihrer Kund/in verschafft. In der Regel führt der Angreifer unbefugte Handlungen auf dem Konto aus, um finanziellen Gewinn zu erzielen. Die häufigsten Aktionen, die Angreifer auf einem Treasury-Konto durchführen, sind die Überweisung oder der Transfer von Geldern auf ein externes Finanzkonto und die Ausstellung einer neuen Karte oder die Einsicht in die PAN-Rohdaten einer bestehenden Karte und die Durchführung nicht autorisierter Transaktionen mit der Karte.
Der Schutz vor Kontoübernahmen hängt davon ab, ob Ihre Plattform oder Stripe für die Anmeldung Ihrer Kund/innen zuständig ist.
Im Folgenden finden Sie einige Beispiele für Kontrollen, die Sie vor Kontoübernahmen schützen können:
- Implementieren Sie 2FA auf allen verbundenen Konten.
- Klären Sie Ihre Nutzer/innen über Phishing und die Nichtweitergabe ihrer 2FA-Codes auf.
- Erzwingen Sie die Einhaltung eindeutiger Passwortrichtlinien.
- Erfassen Sie Geräte- und IP-Adressinformationen, um nachzuverfolgen, ob Aktionen mit hohem Risiko (z. B. Passwortaktualisierungen, Aktualisierungen von 2FA-Methoden, Erstellen einer neuen Karte, Senden von Geldern auf ein neues externes Finanzkonto) von veralteten Geräten oder IP-Adressen aus durchgeführt werden.
- Überwachen Sie die IP-Aktivität für Anmeldungen von zuvor unbekannten Standorten oder Hosting-Anbietern.
- Implementieren Sie Abfragen für Nutzeraktionen mit hohem Risiko, z. B. die Anforderung eines 2FA-Codes erfordern, um eine Überweisung an ein neues Konto zu senden.
- Überwachen Sie verbundene Konten auf ungewöhnliche Aktivitäten. Beispiele hierfür sind Transfers oder Überweisungen, die den gesamten Treasury-Saldo auf Null setzen, oder internationale Kartenausgaben.
Wenn Sie vermuten, dass ein Konto übernommen wurde, setzen Sie die Funktionen outbound_flows
und inbound_flows
auf restricted
, lassen bestehende Anmeldesitzungen ablaufen und deaktivieren die Anmeldung. Nachdem Sie die Einschränkung für das Konto eingerichtet haben, überprüfen Sie die Identität des/der ursprünglichen Kontoinhabers/in und stellen den Zugang zu dem Konto wieder her. Die Sanierung erfolgt in der Regel durch Anruf bei der Telefonnummer, die dem/der Kund/in zugeordnet ist (vor der Übernahme) und die Überprüfung verschiedener personenbezogener Daten (PII) des/der Kund/in. Nachdem Sie die Identität des/der Kund/in bestätigt haben, können Sie ihn/sie beim Zurücksetzen seines Passworts oder des 2FA-Geräts (sofern es während der Übernahme geändert wurde), der erneuten Aktivierung der Anmeldung und der erneuten Aktivierung der zuvor auf „Eingeschränkt“ gesetzten Treasury-Funktionen unterstützen. Die finanzielle Entschädigung für alle während der Übernahme verlorenen Gelder hängt von Ihren internen Richtlinien ab.
Weitere Überlegungen zur Risikominderung
Zusätzlich zu den bereits beschriebenen Überlegungen sollten Sie auch die folgenden Überlegungen zur Risikominderung berücksichtigen.
Schnellere Auszahlungskontrollen
Das Anbieten von schnelleren Auszahlungen an neue Unternehmen birgt ein Risiko, das mit Bedacht angegangen werden sollte. Um das Risiko zu mindern, empfehlen wir Ihnen, Kontrollen einzuführen, um die schnellere Verfügbarkeit von Auszahlungen zu deaktivieren, wenn Sie eine Zunahme von Betrug feststellen.
Bieten Sie Nutzer/innen schnellere Auszahlungen erst an, nachdem sie eine bestimmte Vertrauensstufe erreicht haben. Beispiel:
- Mehr als 60 Tage Bearbeitung
- Über 2.000 USD Gesamtvolumen seit Vertragsbeginn
- Weniger als 3 % Rückbuchungs- oder Retourenquote
- Bieten Sie Nutzer/innen schnellere T+1 Auszahlungen an, bevor Sie sie auf schnellere T+0 Auszahlungen umstellen
- Die Begrenzung schnellerer Auszahlungen für vertrauenswürdige Nutzer/innen trägt zwar dazu bei, Betrug bei der Anmeldung einzudämmen, die Möglichkeit von Betrug bei Kontoübernahmen (ATO) oder Good-Merchant-Gone-Bad (GMGB)-Konten wird dadurch jedoch nicht ausgeschlossen. Es ist wichtig, Warnungen für Unternehmen auszulösen, deren Zahlungsmuster in der Regel auf ATO oder GMGB hinweisen (ein Anstieg des Verarbeitungsvolumens oder eine Änderung des durchschnittlichen Transaktionsvolumens, manchmal verbunden mit einer Änderung des Bankkontos oder der Anmeldung).
ACH-Lastschriftkontrollen
Bei ACH-Lastschriften (über Treasury InboundTransfers
) besteht ein erhöhtes Betrugsrisiko, da es sich um eine Zahlungsmethode handelt, bei der Zahlungen eingezogen (Pull-Methode) werden. Dies bedeutet, dass Treasury-Kontoinhaber/innen Kundendaten eingeben und Gelder vom Konto des/der Kund/in einziehen, anstatt dass der/die Kund/in Gelder überweist, wie es bei vielen anderen Zahlungsmethoden der Fall ist. Aufgrund des erhöhten Risikoprofils schlagen wir eine Reihe von Maßnahmen zur Risikominderung für entstandene ACH-Lastschriften vor:
- Stellen Sie sicher, dass das betreffende Unternehmen berechtigt ist, Gelder von einem Bankkonto abzubuchen, und dass das Konto verifiziert ist. Erfahren Sie mehr über die Autorisierung und Verifizierung von ACH-Lastschriften.
- Bei ACH-Lastschriften können die Gelder aus verschiedenen Gründen zurückgegeben werden, von Betrug bis hin zu unzureichender Deckung. Die meisten Fehler (zum Beispiel aufgrund unzureichender Deckung oder eines ungültigen Kontos) treten innerhalb von 4 Werktagen nach der Veröffentlichung auf. Es ist daher wichtig, sicherzustellen, dass Nutzer/innen, die noch kein Vertrauen aufgebaut haben, keine Gelder ausgezahlt werden, bevor dieser erste Abrechnungszeitraum abgelaufen ist.
- Angesichts des erhöhten Risikoprofils von ACH-Lastschriften ist es wichtig, dass Sie entweder den Zugang zu dieser Einzahlungsmethode entweder auf vertrauenswürdige Nutzer/innen beschränken oder strenge Grenzwerte festlegen und die Nutzung überwachen, um sicherzustellen, dass Betrüger die Produktfunktion ausnutzen. Für neue Nutzer/innen könnte die ACH-Lastschrift beispielsweise zunächst auf eine Transaktionsgröße von 2.000 USD und ein wöchentliches Limit von 5.000 USD beschränkt werden. Wenn das Vertrauen der Nutzer/innen wächst und ihre Legitimität und ihr Geschäftszweck besser verstanden werden, können Sie diese Limits mit dem Wachstum ihres Geschäfts erhöhen.
Checkliste zur Betrugsbekämpfung
Bei Verdacht auf Betrug ist es äußerst wichtig, die entsprechenden Maßnahmen zu ergreifen, um finanzielle Verluste und weitere betrügerische Aktivitäten zu minimieren. Sie können sich die Betrugsbekämpfung als zwei Hauptschritte vorstellen:
- Stoppen Sie den unmittelbaren Schaden.
- Entwickeln Sie langfristige Lösungen, um zukünftigem Missbrauch vorzubeugen. Einige wichtige Schritte, die Sie unternehmen können, wenn Sie einen Betrug erkennen, sind die folgenden:
- Stellen Sie sicher, dass alle Geldflüsse und Geldbewegungen für das betreffende Konto gesperrt sind. Legen Sie beispielsweise die Funktionen
outbound_flows
undinbound_flows
aufrestricted
fest. - Ermitteln Sie, warum das betreffende Konto von den Betrugs- und Risikokontrollen nicht identifiziert wurde, und stellen Sie sicher, dass zusätzliche Kontrollen eingerichtet werden. Wenn Betrüger/innen eine Lücke in den Risikosystemen entdecken, versuchen sie diese so lange auszunutzen, bis sie erfolgreich geschlossen wird.
- Identifizieren Sie alle anderen Konten, die ähnliche Betrugsversuche unternehmen. Wie bereits erwähnt, werden Betrüger solange Lücken ausnutzen, wie sie bestehen, und zwar in großem Umfang, um ihren Gewinn zu maximieren. Wenn Sie einen Betrugsfall feststellen, müssen Sie sicherstellen, dass die gleiche Art von Betrug nicht bei anderen Konten auftritt und dass der/die Betrüger/in nicht einfach ein neues Konto erstellt und die gleichen Aktionen wiederholt. Auf diese Weise können Sie verzögernden Signalen, wie z. B. Zahlungsanfechtungen zuvorkommen und den Gewinn für Betrüger minimieren, um ihre Rückkehr zu verhindern.
- Stellen Sie sicher, dass alle Geldflüsse und Geldbewegungen für das betreffende Konto gesperrt sind. Legen Sie beispielsweise die Funktionen
Vorgeschlagene Überwachung von Metriken
Im Folgenden finden Sie einige Metriken, deren Überwachung wir empfehlen, um die Identifizierung und Messung von Betrug bei Ihren Treasury-fähigen Kund/innen zu unterstützen. Bei den folgenden Metriken wird davon ausgegangen, dass Ihre Kund/innen sowohl unsere Treasury- als auch unsere Payments-Produkte nutzen. Wenn dies nicht der Fall ist, können Sie sie entsprechend ändern.
Spätindikatoren
- Ablehnungsquote bei Treasury-Konten im Vergleich zu anderen Konten im Zeitverlauf
- Absolute Acquiring-Verluste bei Treasury-fähigen Konten
- Anteil verlustbehafteter Konten mit bzw. ohne Treasury
- Absoluter Verlust pro Konto auf Treasury-fähigen Konten im Vergleich zu Konten ohne Treasury
- Zeit bis zur Erfassung von Verlusten bei Treasury-fähigen Konten im Vergleich zu Konten ohne Treasury
Frühindikatoren
- Anmeldequote im Laufe der Zeit, mit oder ohne Treasury
- Anomalie des Überweisungsbetrags: Neue Nutzer/innen mit hohem Volumen an
ReceivedTransfers
(ohne Acquiring-Auszahlungen) in den ersten 30 Tagen - Anomalie des Überweisungsbetrags: Geringes Acquiring-Bearbeitungsvolumen bei hohem Aufkommen an
ReceivedTransfers
(ohne Acquiring-Auszahlungen) - Liste der Konten mit wesentlichen
ReceivedTransfers
, gefolgt vonOutboundTransfers
, wodurch der Treasury-Saldo auf null sinkt - Liste der Konten, deren internationale Kartenausgaben mindestens X Dollar betragen, oder
OutboundTransfers