So schützen Sie Ihren WooCommerce-Shop vor Betrug

Veröffentlicht: 2023-02-17

Vor einigen Wochen hob WPTavern den jüngsten Anstieg des Zahlungsbetrugs über Stripe auf WooCommerce-Websites hervor. Obwohl dieses Problem an sich nicht neu ist, wurde dieser Beitrag durch eine Diskussion in der Advanced WordPress Facebook-Gruppe von mehreren Entwicklern ausgelöst, die bemerkten, dass die Websites ihrer Kunden von ähnlichen Vorfällen betroffen waren.

Und sie sind nicht allein.

Laut von Statista analysierten Daten haben sich die Verluste im E-Commerce durch Online-Zahlungsbetrug weltweit von 20 Milliarden US-Dollar im Jahr 2021 auf 41 Milliarden US-Dollar im Jahr 2022 verdoppelt. Basierend auf diesen Trends schätzen aktuelle Hochrechnungen die Zahl auf satte 48 Milliarden US-Dollar im Jahr 2023.

Zahlungsbetrug verstehen

Zahlungsbetrug verstehen

Einfach ausgedrückt bedeutet „Betrug“, dass Sie etwas stehlen, was Ihnen nicht gehört. Online-Zahlungsbetrug ist jedoch alles andere als einfach.

Was ist Zahlungsbetrug?

Wenn eine Zahlung über eine nicht autorisierte Transaktion erfolgt, dh ohne die Zustimmung des Inhabers der Karte oder des Bankkontos, wird dies als Zahlungsbetrug bezeichnet.

Häufige Arten von Zahlungsbetrug

Es gibt verschiedene Arten von Zahlungsbetrug, die so reibungslos ausgeführt werden, dass es eine Weile dauert, bis die Opfer überhaupt bemerken, dass sie ausgetrickst wurden.

Kartentest

Ein Betrüger mit gestohlenen Debit- oder Kreditkartendaten tätigt einige kleine Einkäufe, um zu bestätigen, dass die Kartendaten gültig sind. Dies wird normalerweise als Kartentest oder Kartenknacken bezeichnet.

Betrüger suchen häufig nach Websites, auf denen Sie beliebige Beträge zahlen können (Pay-what-you-want), oder nach gemeinnützigen Websites, die kleine Beträge als Spende akzeptieren. Andernfalls identifizieren sie die Website eines beliebigen ahnungslosen Händlers und kaufen billige Artikel, um zu bestätigen, dass die gestohlene Karte noch aktiv ist.

Wenn der Betrüger technisch versiert genug ist, um automatisierte Skripte oder Bots dafür zu verwenden, kann es zu diesem Durcheinander in sehr kurzer Zeit zu einer großen Anzahl solcher Transaktionen kommen. Meistens ist es bereits zu spät, wenn der betroffene Händler und der eigentliche Karteninhaber diese abnormalen Transaktionen bemerken und versuchen, sie zu stoppen.

Dreiecksbetrug

Diese Art von Betrug kann ein absoluter Albtraum sein, da es wirklich schwierig ist, diese Kette zu verfolgen. So geht es meistens:

  • Ein Betrüger stellt auf einem Marktplatz (z. B. e-Bay oder Amazon) eine Schein-Ladenfront komplett mit Produkten ein.
  • Ein echter Kunde besucht das Geschäft des Betrügers und kauft ein Produkt.
  • Der Betrüger verwendet dann eine gestohlene Kreditkarte und bestellt dieses Produkt bei einem legitimen Händler mit der Lieferadresse des Kunden.
  • Jetzt merkt der Kunde nichts Auffälliges, weil er mit seinen echten Kartendaten genau das bekommt, was er bestellt hat.
  • Wenn der Besitzer der gestohlenen Karte die Belastung auf seiner Rechnung sieht und einen Zahlungseinspruch erhebt, ist es der ahnungslose Händler, der die Strafe für die Rückbuchung zahlen muss. Da die Ware bereits an jemanden geliefert wurde, der das Produkt tatsächlich bezahlt hat (allerdings an den Betrüger), hat der Händler keine Möglichkeit, den gelieferten Artikel oder die ihm dafür geschuldete Zahlung zurückzuerhalten. Außerdem zahlt er am Ende auch die Strafgebühr für die Rückbuchung.
  • Wenn der echte Händler sein Spiel nicht verbessert und solche betrügerischen Transaktionen verhindert, können die Verluste ziemlich schnell steigen.

Freundlicher Betrug

Freundlicher Betrug (auch bekannt als falsche Rückbuchung) liegt vor, wenn ein Kunde etwas mit seiner eigenen gültigen Karte bei einem Online-Händler kauft, aber später eine Rückbuchung bei seiner Bank veranlasst und eine Rückerstattung verlangt. Dies kann entweder auf die Reue des Käufers oder auf das Zögern zurückzuführen sein, den Händler zu kontaktieren und das Problem gütlich zu lösen.

Alternative Rückerstattungen

Dies ist der Fall, wenn ein Betrüger mit einer gestohlenen Karte einen großen Betrag an eine Website (normalerweise eine gemeinnützige Organisation oder eine Website, die Pay-what-you-want-Spenden akzeptiert) zahlt. Dann wenden sie sich an die Website und behaupten, mehr als beabsichtigt überwiesen zu haben, und fordern eine teilweise Rückerstattung auf eine alternative Karte (seine eigene) an, wobei sie wiederum fälschlicherweise behaupten, dass die für die ursprüngliche Zahlung verwendete Karte abgelaufen sei.

Einfache Maßnahmen zur Verhinderung von Hacking und Zahlungsbetrug

Fairerweise muss man sagen, dass Zahlungs-Gateway-Prozessoren ihr Bestes geben, um böswillige Akteure fernzuhalten, aber das reicht einfach nicht aus.

Tatsächlich hat Stripe eine Notiz veröffentlicht, in der seine Reaktion auf diese jüngste Zunahme von Kartentestangriffen detailliert beschrieben wird. Dies mag zwar dazu beigetragen haben, Betrug zu reduzieren, ist aber immer noch nur eine kleine Delle, wenn man das Ausmaß solcher betrügerischen Versuche betrachtet, die erfolgreich sind.

Daher ist es am besten, wenn Sie die Verantwortung für die Sicherheit Ihrer WordPress-Website übernehmen und alles tun, was Sie können.

Hier sind 5 einfache Möglichkeiten, dies zu tun!

1. Erzwingen Sie einen starken Anmeldeprozess

Eine Website kann nur so sicher sein wie ihr schwächstes Passwort. Das Erzwingen starker Passwörter ist das Mindeste, was Sie tun können, um zu verhindern, dass Hacker Zugriff auf Ihre Website erhalten. Wenn das Passwort jedoch für Menschen zu komplex ist, um es sich zu merken, werden sie möglicherweise faul und schreiben es an einem unsicheren Ort auf. Oder wenn es für sie leicht genug ist, sich daran zu erinnern, ist es wahrscheinlich, dass es auch leicht ist, gehackt zu werden.

Anstatt sich nur auf ein starkes Passwort zu verlassen, wird dringend empfohlen, dass Sie sich für eine zusätzliche Sicherheitsebene entscheiden, indem Sie dem Anmeldevorgang einen weiteren Schritt hinzufügen. Einige der Möglichkeiten, dies zu tun –

  • Erzwingen Sie die Zwei-Faktor-Authentifizierung mit einem WordPress-Plugin
  • Aktivieren Sie Biometrics Passkeys, um Passwörter vollständig zu vermeiden

2. Zahlungen regelmäßig überwachen

Achten Sie auf ungewöhnliche Kundenmuster, ungerade E-Mail-IDs, nicht übereinstimmende Rechnungsadressen und IP-Adressen usw. Sie können dies manuell tun oder ein WooCommerce-Zahlungs-Plugin wie die unten aufgeführten verwenden.

Hier sind einige WooCommerce-WordPress-Plugins, die speziell zur Betrugsprävention entwickelt wurden

SyncTrack automatisch Paypal hinzufügen

SyncTrack automatisch Paypal hinzufügen

Infos & Download

Dies ist ein relativ weniger bekanntes kostenloses Plugin, das im Mai 2022 veröffentlicht wurde. Das Ziel ist brillant – es lässt sich in Paypal integrieren und gibt Informationen zur Zahlungsverfolgung weiter, sodass Sie vor Streitigkeiten und Rückbuchungen im Zusammenhang mit betrügerischen Bestellungen geschützt sind.

Dieses Plugin wurde jedoch seit seiner Veröffentlichung nicht aktualisiert und mit den neuesten WordPress-Versionen getestet, daher sollte es mit Vorsicht verwendet werden.

WooCommerce Eye4Fraud

Eye4Fraud Online-Betrugsschutzsoftware

Infos & Download

Es garantiert buchstäblich den Rückbuchungsschutz, indem es verspricht, Sie vollständig zu erstatten, wenn ein Kunde erfolgreich eine Rückbuchung auf einem von Eye4Fraud genehmigten Konto veranlasst. Besser geht es nicht, denke ich.

Eye4Fraud

Sie benötigen jedoch ein Eye4Fraud-Konto, damit dies funktioniert, und sie berechnen einen Prozentsatz Ihres Bestellbetrags als Provision. Es gibt keine Preisinformationen auf ihrer Website, Sie können sich an sie wenden, um ein persönliches Angebot zu erhalten.

YITH WooCommerce Betrugsbekämpfung

YITH WooCommerce Betrugsbekämpfung

Info & DownloadDemo ansehen

Dieses Plugin erkennt automatisch verdächtiges Verhalten während des Bezahlvorgangs und blockiert Bestellungen. Zum Beispiel jegliche Nichtübereinstimmung von Parametern wie IP-Adresse, geografischer Standort usw.

Außerdem können Sie Regeln zum Blockieren von Bestellungen basierend auf Bedingungen wie Risikoschwelle, E-Mails von verdächtigen Domänen, ungewöhnlich hohen Bestellmengen (Sie können die Menge angeben) und mehr konfigurieren.

Woocommerce Betrugsbekämpfung von OPMC

Woocommerce Betrugsbekämpfung von OPMC

Infos & Download

Mit diesem beliebten WordPress-Plugin zur Betrugsbekämpfung können Sie verschiedene Regeln und Warnungen basierend auf Ihrem erwarteten Kundenverhalten einrichten. Bestellungen, die dem nicht entsprechen, werden hervorgehoben, damit Sie sie dann genauer untersuchen können.

Dieses Plugin auch:

  • Bewertet das mit jeder Zahlung verbundene Risiko und warnt Sie vor Zahlungen mit hohem Risiko
  • Bietet Schutz vor Geschwindigkeitsangriffen mit reCAPTCHA
  • Integriert sich in QuickEmailVerification, um E-Mail-Adressen zu validieren

3. Gastbestellungen deaktivieren (ohne Kundenregistrierung)

Erwägen Sie, Benutzer zu zwingen, sich auf Ihrer Website zu registrieren, bevor sie eine Bestellung aufgeben. Sie können auch eine zusätzliche Prüfung hinzufügen, indem Sie neue Benutzer zwingen, ihre E-Mail-Adresse zu validieren, oder indem Sie ein Captcha in das Registrierungsformular einfügen (oder beides).

Und wenn Sie dies nicht getan haben, sollten Sie auch ein Captcha zu Ihrer Checkout-Seite hinzufügen. Auch wenn das Ihre echten Kunden ärgern könnte, die ein schnelles und reibungsloses Check-out-Erlebnis wünschen, könnte es sich dennoch lohnen.

Dies könnte jedoch dazu beitragen, die Wahrscheinlichkeit von Kartentestangriffen zu verringern, bei denen mehrere Bestellungen für kleine Beträge unter Verwendung zufälliger, nicht vorhandener Mail-IDs von Bots aufgegeben werden.

4. Aktivieren Sie die Ratenbegrenzung

Das WooCommerce Anti-Betrugs-Plugin von YITH ermöglicht es Ihnen, die Anzahl der Bestellungen pro Benutzer innerhalb eines bestimmten Zeitraums zu kontrollieren. Dies verhindert, dass Betrüger automatisch eine große Anzahl von Bestellungen mit derselben Kundennummer aufgeben. Nicht, dass dies es natürlich vollständig verhindert, aber jedes bisschen hilft.

5. Nutzen Sie, was Sie bereits haben

Sie sollten Ihr Bestes geben, um alle Ressourcen zu nutzen, die Sie möglicherweise bereits verwenden, z. B. Ihr Hosting, Cloudflare (oder ähnliche Sicherheitsanbieter).

Zum Beispiel:

  • Sie können den Bot-Fight-Modus von Cloudflare aktivieren, sodass Cloudflare blockiert, wenn typische Bot-Traffic-Muster bemerkt werden.
  • Erkundigen Sie sich auch bei Ihrem Hosting-Provider, ob er Tools oder Firewalls bereitstellt, die Ihnen bei der Bewältigung solcher Versuche helfen könnten.

Wenn Sie das WooCommerce Payments-Plug-in bereits verwenden, hebt es außerdem die für jede Transaktion bewertete Risikostufe als „Normal“ oder „Erhöht“ hervor – dies basiert auf der Integration mit dem RADAR-Betrugspräventionstool von Stripe.

Obwohl Sie auf jeden Fall alle möglichen Mittel einsetzen sollten, um Betrug zu verhindern, ist es möglich, dass Sie immer noch sehen, dass einige betrügerische Bestellungen durchkommen.

Der beste Weg, Schäden so gering wie möglich zu halten, besteht darin, wachsam zu bleiben und schnell auf ungewöhnliche Kaufmuster auf Ihrer Website zu reagieren.

Wenn Sie mehrere Transaktionen für kleine Beträge kurz hintereinander sehen, sollten Sie die Details überprüfen und diese sofort blockieren, bis Sie die Transaktionen untersucht haben.

Bleiben Sie wachsam, bleiben Sie sicher!