Voorkom fraude
Versie:
2.2
Jaar:
2012
Auteur:
Buckaroo Online Payment Services
1. Niet goed beveiligde webwinkels Inleiding In de praktijk komt het regelmatig voor dat webwinkels kwetsbaar zijn voor fraude. In de webwinkel omgeving van kwetsbare webwinkels kunnen fraudeurs gegevens wijzigen en/of toevoegen zonder dat de webwinkelier daar weet van heeft. Met als gevolg dat de fraudeur voor weinig geld of zelfs voor niets goederen geleverd krijgt en de webwinkelier derhalve (grote) schade loopt. Hieronder worden een aantal mogelijke kwetsbaarheden in webwinkels beschreven. Tevens wordt er aangegeven hoe deze voorkomen kunnen worden door gebruik te maken van de door Buckaroo aangeboden functionaliteiten. 1.1 Kwetsbaarheid bij aanroep van de online betaaldienst In dit geval kunnen bedragen (en/ of andere parameters) door de fraudeurklant worden aangepast bij de aanroep van de externe online betaaldienst. De fraudeurklant kopieert de HTML-code van de checkout-pagina naar de eigen harde schijf, vervolgens past hij de waarden van de parameters aan en voert de betaling vervolgens dus uit vanaf de eigen computer. Oplossing Middels de “Digitale Handtekening” van de Buckaroo Payment Engine kan de integriteit van de aanroep en authenticiteit van de velden worden bewaakt. Klopt de “Digitale Handtekening” niet, dan wordt het betaalverzoek afgewezen. Hiermee wordt dus herkend wanneer de aanroep van de Buckaroo Payment Engine niet direct van de webwinkel afkomt, maar van een ander. Wanneer een ander de Payment Engine aanroept wordt de transactie dus niet uitgevoerd vanwege een niet correcte handtekening. 1.2 Kwetsbaarheid bij terugmelding van status betaling In dit geval kan het bedrag (en/ of andere parameters) door de fraudeurklant worden aangepast bij de terugmelding van de externe online betaaldienst. Op basis van hetzelfde principe als die bij kwetsbaarheid 1.1 beschreven is, wordt de terugmelding van het verwerkingsresultaat van de betaalpoging door de klantfraudeur aangepast. Vervolgens worden de gewijzigde parameters vanaf zijn eigen computer naar de webwinkel gezonden. Hierdoor kan dus een geslaagde betaling worden gesimuleerd, terwijl deze in werkelijkheid is mislukt of niet is uitgevoerd.
Voorkom fraude Copyright © 2012 Buckaroo BV, Nederland
2 van 5
Oplossing Middels de Digitale Handtekening van de Buckaroo Payment Engine wordt gewaarborgd dat de terugmelding echt vanuit Buckaroo wordt verstrekt en niet vanuit een andere computer. Klopt de Digitale Handtekening niet, dan weet de website dus dat de statusmelding van de betaling niet van Buckaroo afkomstig is. De website dient dit vervolgens zo spoedig mogelijk telefonisch aan Buckaroo te melden en uiteraard vooral de order niet uitleveren. 1.3 Kwetsbaarheid nadat het betaalproces is gestart In dit geval kan de inhoud van de bestelling (de winkelwagen) worden gewijzigd nadat het betaalproces is gestart (of voltooid). De fraudeurklant kan de HTML-code van de bestelpagina's van de webwinkel naar de eigen computer kopiëren. Zodra vervolgens via de checkout-pagina het betaalproces is gestart (of soms zelfs na voltooiing daarvan) worden deze scripts gebruikt om de inhoud van de bestelling (winkelwagentje) te wijzigen. Soms wordt dit zelfs door de webwinkel zelf mogelijk gemaakt door een "verder winkelen"-knop die op de checkout-pagina actief blijft nadat het betaalproces is gestart. Oplossing Het winkelwagentje, c.q. de bestelling/ order dient te worden afgesloten voor wijzigingen zodra het betaalproces is gestart. Uiteraard dient rekening te worden gehouden met de mogelijkheid dat het betaalproces wordt onderbroken, of dat een betaalpoging mislukt, zodat: - Ofwel de klant toch eerst weer verder kan winkelen. - Ofwel een nieuwe betaalpoging kan worden gestart (eventueel met andere betaalmethoden). De beveiliging mag uiteraard de betrouwbare klant niet teveel hinderen. In het algemeen geldt dat ontwikkelaars van webwinkel software zich bewust dienen te zijn van de kwetsbaarheden van de Internetarchitectuur. In principe is “elke” aanroep van een webpagina publiek, en staat daarmee open voor iedereen en is dus voor herhaling (replay-attack) en compromittante vatbaar. Slechts door adequate beveiliging door middel van sessiemanagement en procesmanagement en toepassing van controlemechanismes kan fraude worden voorkomen.
Voorkom fraude Copyright © 2012 Buckaroo BV, Nederland
3 van 5
2. Fraude bij creditcards Creditcards zijn een zeer gewild en betrouwbaar betaalmiddel. Voor de consument is het extra prettig omdat veelal de aangekochte goederen dan standaard verzekerd zijn tegen diefstal en/ of schade. Daarnaast kan de consument de transactie ook nog eens middels een zogenaamde chargeback terugdraaien. Helaas vinden fraudeurs het ook een interessant betaalmiddel en komt misbruik toch af en toe voor. Ook op het internet. Om fraude te voorkomen is het daarom raadzaam te letten op een aantal zaken. 2.1. Let op vreemde bestellingen Houd bestellingen ook over langere periodes goed in de gaten. Bijvoorbeeld: - Zijn er vreemde aantallen besteld? - Is het afleveradres ongebruikelijk? - Neem dan het zekere voor het onzekere en controleer of de bestelling in orde is. Andere voorbeelden zijn: - Bestellingen vanaf naastgelegen huisnummers; - Bestellingen vanaf verschillende adressen via hetzelfde e-mailadres; - Bestellingen vanuit geografische gebieden die niet logisch zijn omdat de producten moeilijk te versturen zijn of omdat de producten in dat gebied goedkoper zijn; - Bestellingen van meerdere dezelfde artikelen op één adres terwijl dit onlogisch is qua gebruik binnen één huishouden/gezin. Analyseer de bestellingen en vergelijk de verschillende orders/ situaties met elkaar. Verplaats u in de situatie, is een bepaalde bestelling logisch als je een welwillende en te goeder trouwe consument bent? Oplossing - Uitsluiten van bepaalde landen (kan met Buckaroo). - Enkel bedragen tot bijv. € 250,00,- met creditcard laten afrekenen. - Check op verzendadres, IP-adres en creditcard uitgifteland (kan met Buckaroo). - Neem criteria op in uw website wanneer een order “verdacht” of “vreemd” is. - “Verdachte” en “vreemde” bestellingen enkel met gegarandeerde betaalmiddelen zoals iDEAL en/ of overboekingen laten betalen. - Ontwikkel een monitorfunctie waarmee de bestellingen gecontroleerd kunnen worden achteraf en liefst ook vooraf.
Voorkom fraude Copyright © 2012 Buckaroo BV, Nederland
4 van 5
2.2. Vraag om orderbevestiging per fax of telefoon Zeker bij hoge bedragen adviseren wij u extra controles uit te voeren. Vraag bijvoorbeeld om een orderbevestiging per fax. U kunt ook telefonisch contact opnemen met de klant. Controleer het telefoonnummer aan de hand van het telefoonboek. U kunt opgave van telefoonnummer en e-mailadres verplicht stellen. Weiger de opgave van 06nummers en gratis e-mailadressen (zoals Hotmail). 2.3. Bij twijfel vraag om kopie legitimatie en kopie creditcard Mocht u bij een creditcardtransacties twijfelen of deze wel betrouwbaar is dan adviseren wij u om een kopie van de legitimatie en een kopie van de creditcard te vragen aan uw klant. Verder kunt u bij twijfel ook de transactie refunden en opnieuw aanbieden via een PayperEmail waarbij de klant dan bijvoorbeeld enkel met iDEAL kan betalen. 3. Vraag de Card Validation Code De driecijferige Card Validation Code (CVC) is een extra controlemiddel naast onder meer de vervaldatum en het kaartnummer. Ook hiervan kunt u de opgave verplicht stellen. Bij Buckaroo dient verplicht de CVC-code gemeld te zijn. 4. Vraag bij aflevering om een handtekening Om er zeker van te zijn dat u de bestelling op het juiste adres aflevert, kunt u bij bezorging om een handtekening vragen. Lever alleen af aan de geadresseerde. Bezorg niets bij de buren als de geadresseerde niet aanwezig is. Wij raden u daarnaast af te bezorgen op postbusnummers. 5. Let op bij bepaalde producten Elektronica (mobiele telefoons, camera's, hardware, etc.), video- en muziekcontent, software, dure merk- of erotische artikelen zijn voorbeelden van producten die via internet een hoger risico lopen op frauduleuze bestellingen. Het zijn immers gewilde producten, extra aandacht is daarom geboden. Bij gebruik van de Buckaroo Online Payment Services kunt u bijvoorbeeld voor fraudegevoelige producten enkel gegarandeerde betaalmiddelen accepteren zoals iDEAL of overboekingen. Voor minder fraudegevoelige producten kunt u dan ook creditcards accepteren.
Voorkom fraude Copyright © 2012 Buckaroo BV, Nederland
5 van 5
