BETRUG BEKÄMPFEN7. März 2016

Autorisierung und Betrugs­erkennung per Bayes-Modell: Nur so setzen sich NFC-Zahlungen durch

Matthias Salmon, NCRNCR
Matthias Salmon, NCR NCR

Neue Zahlungstechnologien wecken die kriminelle Energie von Banden, Schwachstellen aufzuspüren und auszunutzen. Finanzinstitute brauchen neue Präven­tions­stra­tegien und -modelle, um damit umzugehen.

von Matthias Salmon, Senior Solution Sales Specialist Financial Services bei NCR

Seit Anfang März testet Google ein neues, mobiles Bezahlsystem, bei dem das Handy in der Tasche bleibt und Kunden mit dem Satz „Ich zahle mit Google“ einkaufen können. Visa hat auf dem Mobile World Congress ein vernetztes Auto vorgestellt, das automatisch Parkgebühren oder eine Tankfüllung zahlt. Auch wenn das noch Zukunftsmusik ist, werden NFC-basierte (Near Field Communications) Zahlungen 2016 auch in Deutschland an Fahrt gewinnen. Die Sparkassen planen in diesem Jahr, sieben Millionen Kunden mit NFC-Girokarten auszustatten, bei den Volks- und Raiffeisenbanken sind es drei Millionen.

Der Zahlungsverkehr befindet sich im Umbruch – Knackpunkt Zahlungsautorisierung

Allerdings müssen sich Banken auf diese geänderten Bedingungen einstellen, denn ihre Systeme sind nicht auf die Bewertung und Betrugsprävention von immer mehr Zahlungskanälen ausgerichtet.

Worldline
Viele Lösungen basieren auf dem bekanten EMV-Tokensystem von MasterCard und Visa. Worldline

Mobile Zahlungen werden oft durch so genannte Tokenisierung abgesichert. Dabei wird die eigentliche Kartennummer (PAN) durch eine Pseudo-PAN ersetzt. Dieses Token enthält genug Informationen, um eine Transaktion an einem gängigen Kartensystem abzuwickeln, kann aber nur von einem bestimmten Geschäft, einem bestimmten Gerät oder in einem bestimmten Zeitraum verwendet werden. Wird ein Token also abgefangen, ist es kaum von Nutzen für den Angreifer, da es weder die Kartennummer noch Informationen zum Konto enthält.

Apple Pay hatte zum Start des Zahlungsdienstes in den USA erhebliche Probleme mit Betrugsfällen. So wurden gestohlene Kartendaten auf iPhones hinterlegt und validiert.”

Für Apple und die Händler waren das legitime Apple-Pay-Konten, die innerhalb der Sicherheitssysteme genutzt werden konnten. Das Beispiel zeigt, dass mit der Vielfalt an Zahlungsmöglichkeiten auch der Druck auf die Autorisierung der Zahlungen auf Bankenseite steigt. Da die meisten neuen Zahlungsmodelle nach einem ähnlichen Prinzip funktionieren, gilt auch hier das gleiche Bedrohungsszenario.

Um Transaktionen mit gestohlenen Kartendaten zu verhindern, muss eine einwandfreie Validierung der hinterlegten Karte sichergestellt werden. Dazu müssen sie neue Autorisierungsstufen einführen, die Transaktionen je nach Transaktionsart und -quelle bewertet.

Attacken automatisch aufspüren – mit Hilfe des Bayes-Modells

karenroach/bigstock.com
karenroach/bigstock.com

Je mehr Zahlungen nur mit Kartendaten und ohne die eigentliche Karte abgewickelt werden, desto wichtiger ist es, Betrug zu erkennen und zu verhindern. Auf 794 Millionen Euro summierten sich die Betrugsfälle bei Zahlungen ohne physische Karte im Internet im Jahr 2012 laut Europäischer Zentralbank.

Fraud Prevention auf Basis des Bayes-Modells, wie sie beispielsweise Fractals von NCR nutzt, ermöglicht eine automatisierte Betrugserkennung. Das Modell macht sich einen mathematischen Satz aus der Wahrscheinlichkeitsrechnung zu Nutze, um zu ermitteln, mit welcher Sicherheit von einem Betrug auszugehen ist. Für jede Transaktion wird anhand von statistischen Erkenntnissen, Annahmen und Erfahrungswerten bewertet, mit welcher Wahrscheinlichkeit es sich um eine betrügerische Transaktion handelt, ganz unabhängig davon, ob sie im Internet, Online-Banking, am POS-Terminal oder Geldautomaten initiiert wurde. Anhand dieser Bewertung werden automatisch vordefinierte Aktionen ausgelöst: Die Transaktion wird genehmigt, abgewiesen oder zurückgestellt.

Bewertung auf Basis des Bayes-ModellNCR
Bewertung auf Basis des Bayes-Modells NCR

 

Fractals bewertet Transaktionen in Echtzeit und kann sie im Betrugsfall noch während der Autorisierungsabfrage ablehnen. Dazu kombiniert die skalierbare Lösung lernfähige analytische Modelle mit benutzerdefinierten Regeln, die auch ohne Programmierkenntnisse von den Anwendern schnell und zeitnah erstellt werden können. So wird eine hohe Betrugserkennungsrate mit wenigen Fehlalarmen erzielt.

Autorisierung und Betrugserkennung kombinieren

Derzeit bewerten viele Finanzinstitute ihre Transaktionen nicht ganzheitlich und erst zeitversetzt. Doch spätestens wenn Sofortzahlungen EU-weit verpflichtend werden, müssen Institute hierzulande reagieren. Bei kontaktlosen Bezahlmodellen werden Beträge heute schon in Echtzeit transferiert.

Wird die Betrugserkennung mit der Autorisierung kombiniert, entsteht ein engmaschiges Sicherheitsnetz, dem auch bisher unbekannte Angriffsszenarien nicht verborgen bleiben. Gerade bei sinkenden Zahlungsentgelten ist es wichtig, keine Transaktion fälschlich zu blocken und die viel Handarbeit erfordernde Betrugserkennung so weit wie möglich zu automatisieren. Dann reduzieren Banken ihr Risiko bei Kartenzahlungen und gleichzeitig werden NFC-Zahlungen für Händler und Verbraucher attraktiver und sicherer.aj

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert