PSD2-Richtlinie: So gehen Onlinehändler jetzt am besten gegen Milliardenbetrüger vor

In Folge der strengen PSD2-Richtlinie sind große Reibungsverluste entstanden. Aufgrund dessen hängen derzeit Transaktionen im Wert von 12 Milliarden Euro in der Schwebe, wie die Untersuchung weiterhin ergab. Zusammen mit der Threat-Intelligence-Plattform IntSights hat Riskified im neuen „Dark Side of PSD2“-Report einen Blick in die Tiefen des Dark Web geworfen. Dabei haben sie herausgefunden, welche betrügerischen Methoden angewandt werden, um die neue Zahlungsrichtlinie zu umgehen.

Die Methoden der Betrüger

Neben zahlreichen bekannten Betrugsmaschen konzentriert sich der Bericht vor allem auf die drei wichtigsten Methoden, die Betrüger verwenden, um trotz der neuen Authentifizierungsanforderungen ans Ziel zu gelangen. Dazu gehören der unberechtigte Zugriff, Social Engineering und der SIM-Austausch. Die Ergebnisse der Analyse sind ein klarer Hinweis darauf, dass SCA keinesfalls betrugssicher ist. Für den Report wurden zum Einen reale Beispiele aus Riskifieds Transaktionsdatenpool untersucht. Dabei hebt der Report das Risiko hervor, sich zu sehr auf das 3DS-Protokoll als Mittel zum Schutz vor Betrug zu verlassen. Andererseits hat Riskified auch die Qualität und Effektivität der Methoden analysiert, die von Onlinehändler zur Betrugserkennung verwenden.

Die gute Nachricht ist: Während Betrüger damit beschäftigt sind, Wege zur Umgehung von SCA zu finden, arbeiten vorausschauende Händler bereits daran, ihre Strategien zur Betrugsprävention zu verbessern, um die Auswirkungen der PSD2-Richtlinie auszugleichen. Dabei profitieren sie von den klaren Anreizen, die die Verordnung für Händler mit niedrigen Betrugsraten setzt.

PSD2-Richtlinie: Dringender Handlungsbedarf

Riskified zeigt deutlich auf, dass zwischen den regulatorischen Schwellenwerten, die Händler von einer Transaktionsrisikoanalyse (TRA) befreit, und dem tatsächlichen Risikoprofilmuster von Transaktionen im E-Commerce eine große Diskrepanz besteht. Der „Dark Side Of PSD2“-Report ruft dementsprechend zu einer Reaktion der zuständigen politischen Entscheidungsträger auf. Laut der Analyse von Riskified und IntSight sind aktuell Umsätze im Wert von 12 Milliarden Euro gefährdet. Das ist die Folge der übermäßigen Barrieren im CNP-Bereich, die aus den strengen, von den Regulierungsbehörden festgelegten TRA-Schwellenwerten resultieren.

„SCA ist definitiv das Element, das sich am stärksten auf den europäischen E-Commerce auswirkt. Viele Unternehmen sind noch immer dabei, die Auswirkungen in vollem Umfang zu erfassen“, kommentiert Doron Weitz. Doron Witz ist als Head of PSD2 Product Marketing bei Riskified tätig. „Unsere Analyse zeigt, dass Betrüger eifrig damit beschäftigt sind, nach Schlupflöchern in den Authentifizierungs- und Zahlungsprozessen zu suchen. Onlinehändler müssen jetzt alles daran setzen, weiterhin ein erstklassiges Kundenerlebnis zu bieten. Somit stellen sie sicher, dass sie gut aufgestellt sind und die negativen Auswirkungen von der PSD2-Richtlinie kompensieren können. Gleichzeitig müssen sie die Transaktionen sicher gestalten und die Betrugsrate so gering wie möglich halten. Angesichts der klaren regulatorischen Anreize unter der PSD2-Richtlinie wird die Betrugsrate eines Händlers zu einem entscheidenden kommerziellen Faktor werden. Ganz gleich, ob hoch oder niedrig.“

„Onlinehändler können gewonnene Daten nutzen, um mehr Klarheit über die Sicherheit ihrer Zahlungstransaktionen zu gewinnen“

Christopher Strand, Chief Compliance Officer bei IntSights Cyber Threat Intelligence, betont außerdem die Notwendigkeit eines operativeren Ansatzes bei der Bewertung des Risikos für Zahlungssysteme. Dies ist der Fall, wenn die PSD2-Richtlinie von Händlern angenommen und umgesetzt wird. „Als Reaktion auf SCA haben die jüngsten Aktivitäten von Betrügern im Dark Web Angriffsmuster gezeigt. Gemäß dieser suchen sie nach Möglichkeiten, um die Komponenten des Zahlungsprozesses entweder auszunutzen oder zu umgehen. Techniken, die auf Schwachstellen innerhalb der Kernfunktionen des Zahlungsauthentifizierungsprozesses abzielen, werden im Laufe des Jahres weiter eskalieren, da sich die Händler PSD2 anpassen. Gleiches gilt für solche Techniken, die nicht unter die PSD2-Richtlinie fallen. Diese sind beispielsweise das Anvisieren von Nicht-EU-Kreditkarten und die anschließende Umgehung von SCA. Gleichzeitig bedeutet dies zusätzlichen Stress für die Händler, da sie ihr Sicherheitsbestreben mit den Erwartungen des Kunden in Einklang bringen müssen“, fügt er hinzu.

„Auf der anderen Seite gibt es für Händler, die einen Sanity-Check für die Sicherheit ihrer Zahlungsprozesse unter der PSD2-Richtlinie implementieren wollen, bereits viele Sicherheits-Baseline-Frameworks und Vorschriften. Diese beziehen sich auf den Einzelhandel und können dazu beitragen, die Bedrohung für ihre Systeme zu messen und zu entschärfen. Onlinehändler, deren Systeme unter einen der Standards des PCI SSC (Payment Card Industry Security Standards Council) fallen, können die während der Risikobewertungsphase gewonnenen Daten nutzen und diese zusammen mit anderen Sicherheitslösungen anwenden. Somit gewinnen sie mehr Klarheit über die Sicherheit ihrer Zahlungstransaktionen.“

Lesen Sie auch: Cyberangriffe auf Einzelhändler – 4 Schritte zur IT-Sicherheitsstrategie.