解决 410 亿美元的问题:如何保护您的在线商店免受电子商务欺诈

已发表: 2023-05-16
电子商务欺诈
关注@Cloudways

如果您经营一家在线商店,您很有可能成为欺诈者的目标。

电子商务欺诈越来越多,越来越难跟上黑客欺骗系统的新方法。 2022 年,电子商务所有者因欺诈损失了近 410 亿美元,这不仅仅是北美的问题。

仅电子商务欺诈一项,拉丁美洲的在线商家就损失了约 3% 的总收入,紧随其后的是亚太地区的商家。

在本文中,我们将介绍电子商务欺诈的类型、实施方式、预防措施以及可用于保护在线业务的工具。

目录
  • 什么是电子商务欺诈?
  • 为什么要防止电子商务欺诈?
  • 欺诈攻击来源排名
  • 电子商务欺诈的类型
  • 其他预防措施
  • 电子商务欺诈预防工具

什么是电子商务欺诈?

电子商务欺诈是非法拦截在线支付或滥用运行在线店面的系统,导致受害者的经济和声誉损失。

2022 年全球电子商务市场价值 16.6 万亿美元,预计未来五年将增长 27.43%——这意味着犯罪分子将有比以往更多的攻击机会。

imarc 电子商务市场统计

– 资料来源:IMARC 集团

大多数攻击都与支付有关,而有些则侧重于网络钓鱼和身份盗用。 另一种是拒付欺诈,也称为友好欺诈。 无论采用何种方法,对小企业的后果总是毁灭性的。

为什么要防止电子商务欺诈?

防止电子商务欺诈对在线商家和消费者都至关重要。 欺诈交易会造成经济损失,损害个人信息安全,并损害对网上购物的信任。

以下是防止电子商务欺诈的几个原因:

  • 通过降低因欺诈交易导致的退单、退款和财务损失的风险,保护企业的财务健康。
  • 保护客户的个人信息,例如他们的信用卡号码、地址和联系方式,以免落入坏人之手。
  • 通过确保安全可靠的购物体验来建立和维护客户信任。
  • 遵守与数据隐私和安全相关的法律和法规要求。
  • 避免因欺诈相关事件导致的负面宣传和对品牌声誉的损害。
  • 避免因欺诈活动(例如订单取消、库存管理不善和运输问题)而导致的业务运营中断。

通过防止欺诈活动,电子商务行业可以确保安全可靠的购物体验,从而提高销售额和客户满意度。

欺诈攻击来源排名

Chargebacks911 的电子商务欺诈攻击排名为了解影响电子商务行业的不同类型的欺诈活动以及对这些活动负责的来源提供了宝贵的见解。

按来源划分的欺诈攻击排名

– 来源:Chargebacks911

电子商务欺诈的类型

以下是最常见的电子商务欺诈类型以及您可以采取的应对措施:

欺诈类型描述预防技巧
身份盗用欺诈性使用某人的个人信息使用双因素身份验证,监控可疑活动
卡片测试测试被盗信用卡信息的行为限制交易数量,使用欺诈检测工具
帐户接管未经授权访问客户帐户实施强密码策略,监控登录活动
网络钓鱼诈骗诱骗客户泄露个人信息的骗局培训员工和客户识别网络钓鱼企图
拒付欺诈客户发出的虚假拒付以获取退款提供详细的产品说明和客户服务
WooCommerce 欺诈专门针对 WooCommerce 用户的欺诈活动实施欺诈保护插件并监控可疑活动


现在让我们详细了解它们以了解这些类型的欺诈并采取适当的措施来防止它们。

1.身份盗用

身份盗窃是通过冒充他人身份进行犯罪活动的过程。 这是通过收集受害者的个人身份信息 (PII) 来完成的,例如 SSN、信用卡、医疗报告、地址、年龄和就业文件。

例如,如果犯罪分子掌握了受害者的信用卡信息,他们可以使用它从您的在线商店向他们的地址下大笔订单。 发现骗局后,受害人可能会向银行提出拒付,从而使他们损失金钱和货物。

在商业方面,犯罪分子可以通过接管真实的商户账户并使用交易洗钱来实施商户欺诈。

根据 FTC 2022 年的数据,信用卡欺诈是最常见的身份盗用类型,其次是银行和贷款欺诈。

美国联邦贸易委员会身份盗窃报告

– 资料来源:联邦贸易委员会

身份盗窃之所以如此有效,是因为犯罪分子可以通过多种方式窃取不同类型的 PII。 一旦他们进行了模仿,他们就可以访问更多关键信息。

以下是防止身份盗窃影响您的业务的最佳方法:

  • 通过记录和仔细检查客户的真实性、常用设备和位置来改进您的“了解您的客户”(KYC) 流程。
  • 通过将社交媒体帐户设为私有并遵循安全最佳做法来保护您的个人信息。
  • 查找异常情况,例如新信用卡注册、异常大的订单、不熟悉的位置和帐户详细信息不匹配。

2. 卡片测试

让我们假设黑客掌握了一堆信用卡——要么通过身份盗用和肩窥,要么直接从暗网上购买。 他们需要通过进行小额交易或试验来测试这些卡的合法性,然后才能瞄准大额交易。 这称为卡测试。

这对电子商务所有者来说是一场噩梦。 黑客经常通过下非常小的订单来自动进行数十和数百次卡测试,但是当受害者发现欺诈行为时,他们会要求退款。

如果您迟到了,您可能会支付额外的退款费用并丢失您的产品。 最重要的是,不寻常的卡授权尝试可能会迫使您的支付处理商增加您的费用或暂时停用您的帐户。

防止卡测试是一项艰巨的任务。 但这里有一些方法可以让您保持领先:

  • 每天监控交易并使用验证码来停止脚本。
  • 为特定 IP 地址和最低付款接受率添加速率限制,并确保流量不是来自异常位置。
  • 经常对您的业务安全进行审计并堵塞漏洞。

3. 帐户接管

犯罪分子可能不会使用支付系统,而是通过帐户接管 (ATO) 欺诈寻求访问用户帐户。

从银行到电子邮件、社交媒体、商务电话服务和电子商务——任何包含敏感信息的帐户都可能成为攻击目标。 根据 Sift 的说法,到 2022 年,ATO 比上一年增长了 131%。

筛选欺诈报告

– 资料来源:筛选

黑客尝试各种方式(例如网络钓鱼、SIM 卡交换、MitM 攻击和恶意软件注入)来窃取对在线安全不敏感的用户的登录凭据。

很难立即检测到帐户接管,因为犯罪分子隐藏在熟悉的登录模式和在线行为背后,但仔细阅读就会发现他们。

作为在线商家,您可以采取以下步骤来防止 ATO 影响您的业务:

  • 使用基于 AI 的欺诈监控和检测工具实时捕获 ATO 企图。 Web 应用程序防火墙还可以保护您免受未知和恶意流量的侵害。
  • 让客户使用他们只知道且与他们的帐户无关的 MFA 登录提示。
  • 如果您或您的员工是 ATO 的受害者,请快速更改密码,提醒 IT 团队和银行,并对受影响的账户进行沙盒处理。

4. 网络钓鱼诈骗

网络钓鱼是网络犯罪分子手册中最古老的伎俩之一,也是当今电子商务欺诈的核心。 网络钓鱼涉及冒充受信任的实体或发件人来操纵受害者共享机密信息。

这可以是要求您登录帐户的紧急电子邮件,也可以是要求您共享 MFA 代码的短信。 无论哪种方式,目标都是通过模仿您信任的人并窃取您的数据来获得您的信任。

如果执行不当,它只是烦人的垃圾邮件文本,但如果执行得当,它可能是一次精心策划的社会工程攻击,甚至可以欺骗最有安全意识的人。

根据互联网犯罪投诉中心的数据,仅 2022 年就登记了超过 300,000 份网络钓鱼报告。 这种骗局破坏了人身安全,损害了与受害者相关的任何业务。

ic3 互联网犯罪报告

– 资料来源:IC3

但是你可以做一些事情:

  • 在公司内部使用 MFA,并强制要求客户使用 MFA 验证其身份。 但请确保您不会成为 MFA 疲劳攻击的牺牲品。
  • 保持固定的沟通渠道,并就此对客户进行教育。 建立难以模仿的 IP 和品牌标志非常重要。
  • 在网上寻找品牌模仿者。 无论是社交媒体帐户还是垃圾邮件链接——监控您的在线状态并对恶意代理采取措施。
  • 检查邮箱地址有效性,判断邮箱地址是否与真实的公司域名相关联。
  • 此外,就您而言,只选择受信任的电子邮件服务提供商。

5.退款欺诈

拒付欺诈是指持卡人在未将商品退还给商家的情况下撤销付款。 这是一个对消费者友好的步骤,最初旨在灌输对信用卡和借记卡的信心。 但就像任何好东西一样,它也可能被滥用——尤其是对于无卡 (CNP) 交易。

退款(或友好欺诈)的发生有两个原因:客户在他们的对帐单中发现未知订单并请求退款,或者客户尽管收到了产品仍提出退款。 在第二种情况下,持卡人滥用系统,但在这两种情况下,商家都蒙受了损失。

根据 Chargebacks911 的数据,到今年年底,60% 的退款将是友好欺诈,平均退款成本预计为 190 美元。 拒付的行业标准最高为 1%。 理想情况下,您希望将其保持在尽可能低的水平。

chargebacks911 报告

– 来源:Chargebacks911

如果客户是金融欺诈的受害者,他们会在意识到这一点时要求退款。 如果犯罪分子可以访问受害人的银行账户,他们可能会自己提出拒付以取出额外的现金。

最重要的是,如果客户同时提出退单和退款请求,而您不够小心,您最终可能会支付两次费用。 考虑到处理费、退单费、营销成本、收入损失和其他因素,电子商务所有者可能支付几乎是订单价值 2 倍的费用。

以下是您可以采取的降低拒付欺诈风险的步骤:

  • 密切关注信用卡欺诈,以确保犯罪分子不会滥用该系统。 这包括监控工具和对每笔交易使用授权工具(AVS、CVV、3DS2、VAU 等)。
  • 地址验证服务 (AVS) 将银行帐户的地址和邮政编码与购买时输入的数据进行匹配。 另一方面,卡片验证值 (CVV) 依赖于卡片处理器来指示买家是否输入了正确的 CVV。
  • 3D 安全是另一个安全层,它通过在小窗口中要求一次性密码来保护商家来完成交易。
  • 改善您的客户服务并立即与客户沟通。 这包括订单确认电子邮件、定期付款提醒、订单跟踪和易于理解的交易详细信息。
  • 调整您的营销以降低“物品与描述不符”退货的风险。
  • 记录您的客户对话,以获得订单争议期间所需的所有证据。
  • 在您的网站上明确定义运输和退货政策。 鼓励买家在提出拒付之前就订单问题与您联系。

6. WooCommerce 欺诈

WooCommerce 是数百万在线商店使用的流行电子商务平台,但它也无法避免欺诈。 在线商家必须了解潜在威胁并采取必要措施防止欺诈。

WooCommerce 欺诈的一种常见形式是 ATO,当欺诈者变得虚弱或重复使用客户的帐户密码并进行未经授权的购买时,就会发生这种情况。 为防止这种情况,店主应鼓励顾客使用强而独特的密码并实施双因素身份验证。

付款欺诈是 WooCommerce 欺诈的另一种形式,欺诈者使用偷来的信用卡进行未经授权的购买。 在线商家应使用欺诈检测工具来识别可疑交易,例如购买高价值物品或从单个 IP 地址或账单地址进行多次交易。

欺诈性拒付也是使用 WooCommerce 的在线商家关注的问题,客户声称他们没有授权购买或没有收到产品。 商家应提供明确的退款和退货政策,以防止拒付并维护详细的客户互动和交易记录。

在实施欺诈检测工具、鼓励使用强密码和双因素身份验证、维护详细的交易记录并使用可靠的托管服务提供商之后,使用 WooCommerce 的在线商家可以帮助保护他们的企业和客户免受电子商务欺诈。

试用 Cloudways 以获得安全可靠的电子商务解决方案。

凭借高级安全功能、实时监控和 24/7 支持,Cloudways 提供可靠的电子商务欺诈保护,并确保您的业务保持安全。

免费试用 3 天

其他预防措施

除了上述所有步骤外,您还可以尝试一些更多的预防措施,以尽可能多地节省资金。

1. 生物认证

大多数智能手机和笔记本电脑都内置了某种生物识别安全功能(指纹、面部识别等),以确保设备安全。 您可以使用相同的工具来确保只有真正的客户从您的企业订购。 生物识别技术是无缝的,可以提高客户满意度,而且由于它们是独一无二的,因此您不太可能与欺诈者打交道。

2.双因素身份验证

实施双因素身份验证 (2FA) 可以为您的电子商务交易增加更多安全性。 2FA 要求用户在完成购买之前提供两种形式的身份验证,例如密码和发送到手机的一次性代码。

这显着降低了未经授权访问和欺诈交易的风险,因为黑客需要访问两种形式的身份才能完成交易。 通过实施 2FA,在线商家可以帮助防止欺诈并保护客户的敏感信息。

3.加密和令牌化的使用

作为在线业务,您应该使用加密和令牌化。 它们不仅有助于遵守 PCI DSS,还有助于防止数据泄露。

支付认证时加密和token化都会屏蔽卡的详细信息,但在应用上有所区别。 通过令牌化,您可以将随机令牌分配给数据并使用它们来验证付款,而加密会重新排列值并需要解密密钥才能访问正确的数据。 根据 Visa 的一项研究,代币化可以减少 28% 的欺诈行为。

4、员工培训教育

电子商务欺诈是一场持续不断的战斗,您的员工是对抗它的最佳选择。 培训您的团队安全地处理客户支持数据并在他们的个人设备上设置 VPN 和 MFA。

经常举办研讨会,让他们了解新的欺诈技术,帮助他们识别可能的网络钓鱼企图,并鼓励他们养成安全卫生习惯,以确保业务安全。 当人们知道风险时,他们更有可能注意预防措施。

电子商务欺诈预防工具

如果您已经走到这一步,您可能已经推断出打击电子商务欺诈需要您正确审查您的客户、留意异常活动并采用最佳支付实践。 您可能还意识到没有监控工具就无法进行战斗。

这里有五种电子商务欺诈预防工具,可帮助您领先于犯罪分子:

1.灵气

光环主页

– 资料来源:光环

如果您想解决身份盗用和金融欺诈问题,最安全的选择是 Aura。 这是一项设计巧妙的信用监控、在线隐私和身份保护服务,可在后台运行并实时提醒您任何异常活动。 除此之外,它还扩展为 VPN、密码管理器和访问管理服务。

Aura 与三个征信机构(Experian、TransUnion 和 Equifax)合作调查信用查询和可疑活动。 它还可以浏览暗网以确保您的详细信息不被泄露,并在出现异常情况时帮助您锁定信用卡。 它是 SMB 员工的理想选择,可以帮助您的企业银行账户保持安全。 Aura 最好的部分是其跨设备的简化用户界面和 100 万美元的身份盗窃保险。

2.过筛

筛选主页

– 资料来源:筛选

Sift 为电子商务商家提供全面的防欺诈套件。 它通过限制拒付欺诈和账户接管尝试来解决争议管理、支付保护和账户防御中可能存在的风险。 它还将数据整理到风险管理仪表板中,并帮助您做出更好的决策。 Sift 的工作涉及金融科技、零售、市场和数字商品行业,因此每个人都能找到适合自己的东西。

3.螺栓

螺栓主页

– 资料来源:博尔特

如果您在客户转化方面苦苦挣扎,并且在退款和结账阶段摸索不前,那么您必须看看 Bolt。 这是一种为客户提供的一键式结账体验,需要更少的时间来遵循,但保持相同的安全级别。 Bolt 声称可以帮助您从第一天起识别 17% 的客人购物者,它甚至可以帮助处理退款和拒付请求。 它的 ML 使用 200 个信号来构建购物车风险概况,并让您更深入地了解结帐指标。

4.指纹

指纹主页

– 来源:指纹

指纹可用于检测和减轻帐户接管欺诈。 它会主动寻找凭据填充、网络钓鱼攻击和帐户共享指标,以实时确定访问者的身份。 经过适当审查的潜在客户和客户可降低拒付欺诈的风险。 如果您在线经营基于订阅的业务,您会喜欢 Fingerprint 的帐户共享预防功能。

5. 表示

指定主页

– 来源:Signifyd

Signifyd 是在线企业最好的欺诈保护和退款恢复平台之一。 根据 Signifyd 的说法,您可以比行业标准多赢得 50% 的争议,并且通过正确验证客户 ID,它可以帮助您多获得 5-9% 的订单。 Signifyd 的许多服务都是自动化部署的,因此几乎不需要修改,而且庞大的商家网络支持其决策模型。 就像 Aura 一样,它也有漂亮的用户界面。

概括

电子商务欺诈不是按一下按钮就会消失的事情。 犯罪分子将不断尝试新的方法来破坏电子商务商店、其客户及其支付系统的安全。 保持领先和安全的唯一方法是仔细执行上述步骤并使用电子商务欺诈预防工具来防止欺诈企图。

注意:本文是与Aura的增长负责人和ONSAAS的创始人Irina Maltseva 合作发表的 在过去的七年里,她一直在帮助 SaaS 公司通过集客营销来增加收入。 在她之前的公司 Hunter,Irina 帮助 3M 营销人员建立重要的业务联系。 现在,在 Aura,Irina 正致力于为每个人创造一个更安全的互联网。 要取得联系,请在LinkedIn上关注她