Zeven tips om betaalfraude te voorkomen

Betaalfraude is iets waar webwinkels altijd alert op moeten zijn. Zeker nu nieuwe betaalmethodes zoals wallets steeds vaker worden gebruikt. Wij zetten op een rijtje wat er speelt op fraudegebied en hoe je daar als e-commerce ondernemer het beste mee om kunt gaan.

Eerst het goede nieuws: Nederland scoort relatief laag als het gaat om fraude met betaalkaarten. Bijna zeventien miljoen inwoners betaalden in 2015 met 30,4 miljoen kaarten 100,3 miljard euro. De schade van fraude bedroeg 41,9 miljoen euro, blijkt uit cijfers van Payments Cards & Mobile (PCM). Dit komt neer op een frauderatio van 0,028 procent, waar de EU in zijn geheel 0,038 procent scoort en Frankrijk bijvoorbeeld 0,071 procent. Volgens PCM is de lage score van Nederland te danken aan het feit dat creditcards hier (nog) niet veel worden gebruikt en de online autorisatieprocedure altijd wordt gecombineerd met het ingeven van een pincode, een zogeheten ‘3D secure betaling’.

Dit neemt niet weg dat met het toenemende elektronische betalingsverkeer de noodzaak om betalingen beter te beveiligen en fraude strenger te bestrijden blijft bestaan. Als eigenaar van een webwinkel zijn er met name risico’s verbonden aan het accepteren van creditcards vanwege de chargebacks. Wanneer er fraude is gepleegd, kan de kaarthouder zijn geld vrijwel altijd terugkrijgen. Vaak heb je als webshop dan al goederen geleverd en kun je naar de omzet fluiten.

Het zijn niet alleen de kleinere webshops die de dupe worden van kwaadwillende klanten. Zo werd Zalando in de eerste helft van 2015 voor 18,5 miljoen euro opgelicht. Het internetwarenhuis biedt geselecteerde klanten de mogelijkheid om op rekening te betalen. Door een verandering in het algoritme kwamen veel meer klanten in aanmerking voor deze betaalmogelijkheid en steeg de online fraude aanzienlijk. De bestelde kleren en schoenen werden wel geleverd, maar niet betaald. Zalando heeft vervolgens het selectiesysteem weer aangepast, maar toen was het kwaad natuurlijk al geschied.

Trends in betaalfraude

Identiteitsfraude is het meest voorkomende probleem. PCM merkt op dat betaalfraude steeds vaker een aangelegenheid is van de georganiseerde misdaad en niet meer zozeer van kleine oplichters. Het onderzoeksbureau ziet twee scenario’s die veel voorkomen:

• Virus: Een gespecialiseerd fraudeteam hackt een retailer of bank met een zwak fraudecontrolesysteem. Een Trojaanspaard-achtig virus wordt gebruikt om betaaldata te stelen. Die gegevens worden vervolgens online doorverkocht aan andere criminelen. Zij kopen grote aantallen elektronische producten, de kaarthouder betwist de transactie en de winkelier is zijn geld en handel kwijt.

• Phishing: consumenten worden verleid om gevoelige informatie, zoals gebruikersnamen, wachtwoorden en creditcardgegevens aan criminelen te geven, die net doen alsof ze een bonafide instelling zijn, zoals een bank. De gestolen data worden vervolgens gebruikt om in het buitenland producten te kopen.

In 2015 leverde phishing in Nederland een schadepost op van 3 miljoen euro, meldt de Nederlandse Vereniging van Banken. Vrijwel alles werd terugbetaald aan de gedupeerde klanten.

Tips om fraude te voorkomen

De markt is volop in beweging met het ontwikkelen van nieuwe betaalmethoden, zoals wallets en online machtigingen. Het fraudecircuit helaas ook. Retailers spelen een rol in het opsporen en voorkomen van betaalfraude. Zeven tips om de schade te beperken:

 1. Blijf op de hoogte van de verschillende manieren van fraude plegen. Ook dit soort misdaad is aan trends onderhevig. Zo werden Amerikaanse klanten van Starbucks bestolen via de app van de koffiebarketen. Starbucks heeft in die app het loyaliteitsprogramma gecombineerd met een wallet.De klant downloadt de app, registreert zich en vult zijn bank- of creditcardgegevens in om een tegoed te starten. Vervolgens kan hij bij Starbucks zijn koffie betalen door een barcode op zijn smartphone te laten scannen bij de kassa, waarna het verschuldigde bedrag van het tegoed wordt afgetrokken.

Vorig jaar bleek echter dat hackers redelijk eenvoudig de app van individuele klanten konden kraken en koffietegoed overzetten naar hun eigen account. Een typisch voorbeeld van een nieuwe ontwikkeling die door (kleine) criminelen wordt ‘benut’.

 2. Schat het risico in. Niet alle webwinkels zijn even gevoelig voor fraude dus niet iedereen hoeft hetzelfde niveau van maatregelen te treffen. Elektronicawinkels zijn een populairder doelwit dan verkopers van sokken. Wanneer jouw type webshop interessant is voor criminelen, overweeg dan om fraudebeperkende maatregelen te treffen, zoals een limiet aan het bedrag per bestelling.

3. Manage het risico door bestellingen te controleren. Is het logisch dat iemand drie iPads bestelt? Ook is het handig om een interne zwarte lijst op te stellen en te raadplegen. Dit soort gegevens mogen overigens niet worden uitgewisseld met andere webwinkels, vanwege de privacywetgeving.

Kijk naar het IP-adres – is het logisch dat meneer De Vries vanuit Hongkong iets bij jou bestelt? Het afleveradres controleren is ook de moeite waard. Bestaat het adres überhaupt? Komt de naam van de besteller overeen met de bewonersnaam?

Het is daarnaast mogelijk om op de website van de politie na te gaan of er meldingen zijn gedaan over een koper. Je kunt hier het IBAN-nummer, e-mailadres of telefoonnummer invullen van de potentiële klant en vervolgens zie je of het een bekende van de politie is. Dit wil natuurlijk niet zeggen dat als er niets uit de zoekopdracht komt, alle risico is uitgebannen. Een nieuwe bankrekening, e-mailadres en telefoonnummer zijn zo aangevraagd.

Te veel werk? Er zijn tools die automatisch bestellingen controleren op ‘fraudegevoelige’ punten. En een goede payment provider is alert op nieuwe oplichtingsmethoden.

 4. Accepteer zwakke wachtwoorden niet. In het Starbucks-voorbeeld hierboven waren het vooral klanten met gemakkelijke te kraken wachtwoorden die werden bestolen. Help identiteitsdiefstal te voorkomen door hoge eisen te stellen aan het wachtwoord dat de klant aanmaakt voor zijn account. Het spreekt voor zich dat je in dit verband ook geen gevoelige data moet opslaan, een veilige SSL-verbinding gebruikt en regelmatig de beveiliging van je website updatet.

 5. Stimuleer indien nodig betaalmethoden met relatief beperkte fraudemogelijkheden, zoals iDEAL. Zoals bekend wordt bij iDEAL de betaling verricht binnen de internetbankieromgeving. Dit staat gelijk aan pinnen in de fysieke winkel. De klant kan de betaling dan ook niet meer terugdraaien.

 6. Voer bij creditcardbetalingen extra checks uit of laat dat doen door je betaalprovider. Is de kaart gestolen of verlopen? Past de transactie binnen het kooppatroon van de kaarthouder?Wees wel realistisch: te strenge controles betekenen dat er transacties worden afgewezen die bonafide zijn. Dan loop je omzet mis. Hetzelfde geldt voor de persoonsgegevens die je vraagt aan je klant. Hoe meer data de klant moet invullen bij de bestelling, des te sneller kun je een ongebruikelijke transactie opsporen. Maar dan moet je natuurlijk wel de afweging maken in hoeverre de klant dit accepteert en wat het effect is op de conversie.

 7. Zorg ervoor dat je als webshop compliant te werk gaat, oftewel voldoet aan de Nederlandse wetgeving. Het gaat hierbij vooral om de Wet financieel toezicht die is bedoeld om de transparantie, veiligheid en efficiëntie van het elektronische betalingsverkeer te waarborgen. De Nederlandsche Bank houdt toezicht op de naleving van deze wet. Mocht een klant bijvoorbeeld ten onrechte een chargeback aanvragen, dan kun je als compliant webwinkel aantonen dat je correct hebt gehandeld.

Betaalfraude is nooit helemaal uit te bannen, maar met de juiste preventietools en een dosis gezond verstand kun je de schade zeker beperken.