Fraude opsporen blijft (deels) mensenwerk

Online fraude kun je grotendeels geautomatiseerd opsporen met nieuwe technologieën maar toch blijven handmatige controles noodzakelijk. De wiskundige logica van kunstmatige intelligentie is niet ingesteld op nuances, de menselijke geest wel.

Elke webshop herkent het scenario wel: er komt een bestelling binnen die wordt betaald per creditcard, de order wordt verstuurd en de transactie komt op het overzicht van de kaarthouder te staan. Die herkent de aankoop niet, belt zijn bank en krijgt zijn geld teruggestort, de zogeheten chargebacks.

De merchant is zowel de verstuurde producten als het geld kwijt en betaalt ook nog eens de afhandeltoeslag die de bank rekent voor de chargeback. Webshops die regelmatig slachtoffer zijn van fraudeurs en daardoor veel van die chargebacks hebben, kunnen ook nog eens door de creditcardmaatschappij op een zwarte lijst worden gezet. En dat betekent weer dat de merchant die betaalmethode niet meer kan aanbieden, wat ten koste gaat van de customer experience.

Hoog risico afwijzen

Alle reden dus om fraude zo goed en snel mogelijk in de kiem te smoren. De opzet is voor elke merchant in de basis hetzelfde: het fraudedetectiesysteem wordt zo ingeregeld dat alle transacties met een hoog risico automatisch worden afgewezen. De bestellingen met een laag risico vinden direct doorgang. Deze selectie wordt gedaan met behulp van machine-learning, gedragsinformatie en business rules. Op basis van bepaalde criteria velt het systeem een oordeel. Gevallen die niet direct worden afgewezen of toegestaan, worden handmatig gecontroleerd. Dat kan de merchant zelf doen of uitbesteden aan de payment service provider (PSP).

Hoe bepaal je nu of een transactie dubieus is? Er is een groot aantal rode vlaggen die per merchant verschillend kunnen zijn. Bij een webwinkel die normaliter alleen in de Benelux verkoopt en plotseling allemaal orders uit India binnenkrijgt, zullen die buitenlandse bestellingen aan een nadere controle worden onderworpen. Dat wil niet zeggen dat de transacties daadwerkelijk dubieus zijn, alleen dat dat door een mens moet worden beoordeeld. Het algoritme weet niet dat er net een Indiase influencer enthousiast over het product heeft geschreven, een mens komt daar wel achter. Machines maken gebruik van wiskundige logica. Het e-mailadres mickeymouse@gmail.com zal bij een mens op zijn minst opvallen, terwijl een algoritme het niet zo snel als afwijkend zal beoordelen.

Over welke informatie beschik je?

In algemene zin kijk je allereerst of de bestelling is gedaan door een geregistreerde gebruiker. Heeft hij of zij eerder iets besteld? Is de naam op de betaalkaart dezelfde als die van het verzendadres? Is de klant telefonisch bereikbaar? Zijn er eerder betalingen mislukt en zo ja, waarom?

De kaart die wordt gebruikt geeft je ook veel bruikbare informatie. Is de locatie van het IP-adres bijvoorbeeld hetzelfde als het land waar de kaart is uitgegeven? Komt de naam van de klant overeen met diens nationaliteit? Zijn er eerder bestellingen gedaan met deze kaart en waren die afkomstig van een en dezelfde persoon?

Verder kijk je naar het e-mailadres – is dat een random combinatie van letters (skhjkse@hotmail.com) dan is dat een aanwijzing dat er iets niet klopt. Maar onderzoek ook of er een social media account aan kan worden gekoppeld en of het adres lijkt op de naam van de klant.

Het afleveradres onderzoek je op Google Maps om te zien of het echt een woning is. Verder kan het een rode vlag zijn als iemand aandringt op snelle aflevering. Het device waarop de bestelling is geplaatst kun je voorzien van een fingerprint. Worden cookies geaccepteerd, is Java-script geblokkeerd, zijn de creditcardgegevens juist?

En dit zijn nog niet eens alle controlepunten die we gebruiken om fraude op te sporen. Het is een behoorlijke klus, al krijg je er in de loop der tijd wel handigheid in. Bovendien ontdek je patronen in de transacties en leer je je klanten beter kennen.

Maximaal 5 procent van de orders

Belangrijk is natuurlijk dat het aantal transacties dat moet worden gecontroleerd niet te groot is. Afhankelijk van het bedrijf streven we naar maximaal 3 tot 5 procent van de orders. Als het er te veel zijn kun je niet grondig te werk gaan, als het er te weinig zijn, kan dat duiden op te soepele business rules.

Het is overigens niet zo dat handmatige controles de user experience benadelen. Je kunt het zo inregelen dat de klant er niets van merkt, tenzij er sprake is van fraude natuurlijk. Dit hangt wel af van het bedrijf – bij online gaming is het lastig om een transactie later in te trekken dus daar zal de gebruiker er wel iets van merken als er een handmatige controle plaats moet vinden. Maar zolang je daar transparant in bent, hoeft het niet als negatief ervaren te worden door de consument.

Daar komt bij dat transacties die anders automatisch afgewezen zouden worden, bijvoorbeeld omdat het IP-adres wijst op een geblokkeerde locatie, doorgang kunnen hebben omdat bij de handmatige controle blijkt dat het een vaste klant is die vanaf zijn vakantieadres een order plaatst.

Let wel, de perfecte wereld bestaat niet. Je moet de beschikbare tools zo goed mogelijk combineren en afwegen welke investering opweegt tegen het afdekken van risico. Gebruik 3D-Secure authenticatiemethoden en blijf meten en onderzoeken – als een goedgekeurde transactie leidt tot een chargeback, waar ligt dat dan aan? Fraudeurs zitten niet stil dus je moet blijven bijsturen zodat je niet alleen de financiële risico’s maar ook de kans op reputatieschade beperkt.

Dit artikel is tot stand gekomen in samenwerking met Laurent Auerbach, team lead Risk & Fraud consultant bij Ingenico.