Zo krijg je een gratis iPhone (en bescherm je je webshop tegen fraudeurs)

Wat doe je als je een nieuwe iPhone wil? Je zou ervoor kunnen sparen en hem netjes in de winkel kopen, maar niet iedereen is zo goedhartig. Zo worden er jaarlijks duizenden smartphones gestolen, maar dat is niet zo’n eenvoudig werkje. Je moet kijken waar de beveiligingscamera’s hangen, het toestel loskoppelen van het alarmsysteem, de smartphone ongezien in je jaszak laten glijden en de poortjes aan de uitgang vermijden. Een moeilijke klus dus - en als je pech hebt zitten de dure items achter slot en grendel. Gelukkig is dat online wel even anders: daar kan je al fluitend met je nieuwe iPhone naar buiten wandelen.

Vraag dat maar aan Cyril Hendriks, die Solution Analyst bij Axxes is. Voordien werkte hij onder andere voor een grote retailer. Op de Re:factor Conference vertelde Cyril hoe de webshops van die winkels zich zo goed mogelijk proberen wapenen tegen mensen met slechte bedoelingen.

Drie soorten online fraude

‘Over het algemeen kampen webshops vrij weinig met fraude. Van alle transacties is minder dan 1 procent frauduleus, maar wanneer je dagelijks duizenden items verkoopt kan het totaalbedrag uiteraard al snel aantikken’, zegt Cyril. ‘Er zijn verschillende types online fraude. Batch processing is zeer effectief maar zodanig ingewikkeld dat het vooral voor echte professionals is weggelegd. Zij werken met gegevens van gestolen kredietkaarten en kopen voor kleine bedragen producten aan om te zien wat werkt. Iets eenvoudiger is fraude met cadeaubonnen. Die koopt men aan met gestolen kredietkaarten, om ze daarna door te verkopen.’

Dan is er nog een derde categorie, die Cyril productfraude noemt. ‘Eigenlijk is die zeer eenvoudig. Als je het zelf zou willen proberen - en dat raad ik niet aan - hoef je vier stappen te volgen. Je koopt het gewenste product en kiest voor een thuisbezorging. Wanneer je het product krijgt vraag je je geld terug door te zeggen dat je het niet ontvangen hebt, terwijl je het product alsnog houdt. In tegenstelling tot de twee andere categorieën van fraude wordt dit vaak met Europese kredietkaarten gedaan.’

Kinderspel dus, al lijken veel webshops er niet wakker van te liggen. ‘Veel winkeliers denken dat zoiets bij hen niet kan, of dat een ander zich er wel mee bezig zal houden. Ze gaan er soms verkeerdelijk van uit dat de verantwoordelijkheid bij de betaalverwerker ligt. Het probleem is dat ze meestal niet kunnen bewijzen dat een klant een product wél ontvangen heeft. Alle vormen van fraude hebben een impact op de winst van een webshop, want ook mislukte transacties kosten hun geld.’

Hoe betalen je klanten?

Cyril ziet drie verschillende stappen die online winkeliers moeten nemen om zich te beveiligen. De eerste is een zeer eenvoudige: herbekijk je betaalmethodes. ‘Niet bij iedere betaalmethode kan je zomaar je geld terugclaimen. Heb je alleen klanten uit Nederland en België, en zijn het vooral particuliere consumenten? Kies dan enkel voor Bancontact, iDeal en een afterpay methode waarbij het risico niet bij jou ligt. Fraudeurs kiezen voor een betaalmethode waarbij het voor winkeliers zo moeilijk mogelijk is om te bewijzen dat ze het product niet geleverd hebben. Ze gaan er dus sowieso voor kiezen om hun product niet op te halen in een winkel of pakketautomaat, maar geven de voorkeur aan een thuislevering of een ophaling in een pick up point waar ze geen handtekening hoeven zetten.’

Bij vermeende fraude zal een bank namelijk aan de webwinkel vragen om te bewijzen dat het product bezorgd is. ‘Dat is zeer moeilijk, want een track & trace-code of een foto zijn niet voldoende. Nee, je hebt een handtekening nodig en in sommige gevallen zelfs een kopie van het paspoort of de identiteitskaart. Als webwinkel verlies je de zaak in 99% van de gevallen.’

Een tweede stap die je kan nemen is het opstellen van risicoprofielen. In welke markt zit je? Sommige sectoren lopen namelijk meer risico. Denk bijvoorbeeld aan elektronica, duurdere fashion en exclusieve items. Hoeveel risico loop je op fraudeurs, en is het je waard om extra in beveiliging te investeren? In sommige landen is er meer fraude dan andere, doordat men bepaalde betaalsystemen gebruikt die frauderen makkelijker maken dan Bancontact bij ons.

Cyril: ‘Kijk ook zeker naar je contracten met betaalplatformen. Wat is het maximale chargeback percentage? En wordt er iets verteld over de verantwoordelijkheden? Zo staat er in contracten vaak neergeschreven welke koerierdiensten je wel en niet mag gebruiken.’

De anti-fraude tools

Als derde middel noemt Cyril de anti-fraude tools. Die komen in drie varianten: reactieve, proactieve en zogenaamde fraudeanalisten.

‘Veel betaalproviders bieden gratis of goedkope reactieve tools aan. Ze werken met blacklists of greylists en gaan accounts van fraudeurs blokkeren zodat ze het niet nog een keer kunnen doen. Daarnaast zullen ze batch processing vermijden door mensen een maximum aantal transacties per dag te laten uitvoeren. Zoiets is vrij goedkoop, maar niet efficiënt. Je wil namelijk geen false positives door transacties die wel oké zijn af te keuren. Er zit wel een loophole in: die tools zijn vooral reactief. Dat betekent dat een fraudeur vaak pas op de blacklist komt als hij al eens gefraudeerd heeft. De meesten zijn helaas wel zo slim om altijd andere mailadressen en creditcard te gebruiken, dus heel effectief is het blacklisten niet.’

Bij proactieve tools maak je gebruik van externe systemen die iedere transactie een score tussen 0 en 100 geven. Die drukt uit hoe groot de kans is dat er iets aan de hand is. ‘Doorheen de tijd leren de systemen goed wat de factoren zijn om een transactie als risicovol te beschouwen. Denk bijvoorbeeld aan het adres van de koper, het type kredietkaart, de bank waar iemand bij zit… Als ontwikkelaar kun je die score vervolgens omzet in regels. Zo’n extern systeem kost doorgaans een paar cent per transactie.’

Wie nog een stap verder wil gaan, huurt zogenaamde fraudeanalisten in. ‘Dit zijn bedrijven die de strijd tegen fraudeurs voor je overnemen en alle verantwoordelijkheid op zich nemen. Op basis van risicoprofielen gaan zij handmatig ingrijpen wanneer een transactie verdacht lijkt. Giganten als Coolblue en Bol kunnen het zich permitteren om zelf zo’n fraudeteams op te zetten’, klinkt het.

Het blijft een moeilijke balans, want fraudebestrijding mag niet duurder zijn dan de schade die je kan oplopen. Al kan je volgens Cyril beter voorkomen dan genezen. ‘Van zodra het pakket de deur uit is, ben je te laat en ligt het lot niet langer in jouw handen.’