Die Einführung der starken Kundenauthentifizierung (SCA) wird in Europa mit hoher Geschwindigkeit vorangetrieben. Riskified, Anbieter von Lösungen zur Betrugsprävention, deckt in seinem neuen „Dark Side Of PSD2“-Report jetzt auf, wie sich dies auf das Verhalten von Online-Betrügern ausgewirkt hat. Aufgrund der großen Reibungsverluste, die in Folge der strengen Richtlinien entstanden sind, hängen derzeit Transaktionen im Wert von 12 Milliarden Euro in der Schwebe, wie die Untersuchung weiterhin ergab.
Die Methoden der Betrüger
Zusammen mit der Threat-Intelligence-Plattform IntSight hat Riskified einen Blick in die Tiefen des Dark Web geworfen und so herausgefunden, welche betrügerischen Methoden angewandt werden, um die neue Zahlungsrichtlinie zu umgehen. Neben zahlreichen bekannten Betrugsmaschen konzentriert sich der Bericht vor allem auf die drei wichtigsten Methoden, die von Betrügern verwendet werden, um trotz der neuen Authentifizierungsanforderungen ans Ziel zu gelangen: Dazu gehören der unberechtigte Zugriff, Social Engineering und der SIM-Austausch. Die Ergebnisse der Analyse sind ein klarer Hinweis darauf, dass SCA keinesfalls betrugssicher ist. Für den Report wurden einerseits reale Beispiele aus Riskifieds Transaktionsdatenpool untersucht. Andererseits hat Riskified auch die Qualität und Effektivität der Methoden analysiert, die von Online-Händlern zur Betrugserkennung verwendet werden, und hebt dabei das Risiko hervor, sich zu sehr auf das 3DS-Protokoll als Mittel zum Schutz vor Betrug zu verlassen.
Die gute Nachricht ist: Während Betrüger damit beschäftigt sind, Wege zur Umgehung von SCA zu finden, arbeiten vorausschauende Händler bereits daran, ihre Strategien zur Betrugsprävention zu verbessern, um die Auswirkungen von PSD2 auszugleichen. Dabei profitieren sie von den klaren Anreizen, die die Verordnung für Händler mit niedrigen Betrugsraten setzt.
Dringender Handlungsbedarf
Riskified zeigt deutlich auf, dass zwischen den regulatorischen Schwellenwerten, die Händler von einer Transaktionsrisikoanalyse (TRA) befreit, und dem tatsächlichen Risikoprofilmuster von Transaktionen im E-Commerce eine große Diskrepanz besteht. Der „Dark Side Of PSD2“-Report ruft dementsprechend zu einer Reaktion der zuständigen politischen Entscheidungsträger auf. Laut der Analyse von Riskified und IntSight sind aktuell Umsätze im Wert von 12 Milliarden Euro gefährdet. Das ist die Folge der übermäßigen Barrieren im CNP-Bereich, die aus den strengen, von den Regulierungsbehörden festgelegten TRA-Schwellenwerten resultieren.
„SCA ist definitiv das Element, das sich am stärksten auf den europäischen E-Commerce auswirkt. Viele Unternehmen sind noch immer dabei, die Auswirkungen in vollem Umfang zu erfassen“, kommentiert Doron Weitz, der als Head of PSD2 Product Marketing bei Riskified tätig ist. „Unsere Analyse zeigt, dass Betrüger eifrig damit beschäftigt sind, nach Schlupflöchern in den Authentifizierungs- und Zahlungsprozessen zu suchen. Um sicherzustellen, dass sie gut aufgestellt sind und die negativen Auswirkungen von PSD2 kompensieren können, müssen Online-Händler jetzt alles daransetzen, weiterhin ein erstklassiges Kundenerlebnis zu bieten, während sie gleichzeitig die Transaktionen sicher gestalten und die Betrugsrate so gering wie möglich halten. Angesichts der klaren regulatorischen Anreize unter PSD2 wird die Betrugsrate eines Händlers – ob hoch oder niedrig – zu einem entscheidenden kommerziellen Faktor werden.“
Christopher Strand, Chief Compliance Officer bei IntSights Cyber Threat Intelligence, betont außerdem die Notwendigkeit eines operativeren Ansatzes bei der Bewertung des Risikos für Zahlungssysteme, wenn PSD2 von Händlern angenommen und umgesetzt wird. „Als Reaktion auf SCA haben die jüngsten Aktivitäten von Betrügern im Dark Web Angriffsmuster gezeigt, die nach Möglichkeiten suchen, um die Komponenten des Zahlungsprozesses entweder auszunutzen oder zu umgehen. Techniken, die auf Schwachstellen innerhalb der Kernfunktionen des Zahlungsauthentifizierungsprozesses abzielen oder solche, die nicht unter PSD2 fallen (wie beispielsweise das Anvisieren von Nicht-EU-Kreditkarten und die anschließende Umgehung von SCA), werden im Laufe des Jahres weiter eskalieren, da sich die Händler PSD2 anpassen. Gleichzeitig bedeutet dies zusätzlichen Stress für die Händler, da sie ihr Sicherheitsbestreben mit den Erwartungen des Kunden in Einklang bringen müssen“, fügt er hinzu. „Auf der anderen Seite gibt es für Händler, die einen Sanity-Check für die Sicherheit ihrer Zahlungsprozesse unter PSD2 implementieren wollen, bereits viele Sicherheits-Baseline-Frameworks und Vorschriften, die sich auf den Einzelhandel beziehen und dazu beitragen können, die Bedrohung für ihre Systeme zu messen und zu entschärfen. Online-Händler, deren Systeme unter einen der Standards des PCI SSC (Payment Card Industry Security Standards Council) fallen, können die während der Risikobewertungsphase gewonnenen Daten nutzen und diese zusammen mit anderen Sicherheitslösungen anwenden, um mehr Klarheit über die Sicherheit ihrer Zahlungstransaktionen zu gewinnen.“