Eén van de meest prominente retailtrends wereldwijd is Buy Now, Pay Later (BNPL). Met name jongeren maken steeds vaker gebruik van de optie om bij online aankopen later en/of gespreid te betalen. In die gevallen worden de aankopen renteloos betaald via derden als Klarna of Paypal.
Apple heeft onlangs aangekondigd vanaf september deze optie zelf aan te bieden waarmee BNPL een nieuwe impuls krijgt. Ondanks het succes en de toenemende populariteit van BNPL, brengt het ook een groot frauderisico met zich mee. Threatfabric– marktleider in online fraudedetectie – verwacht zelfs dat BNPL in 2023 het grootste frauderisico gaat vormen. Nu al ziet het Amsterdamse bedrijf bijvoorbeeld een wereldwijde trend waarbij gericht Android banking malware wordt ingezet voor account takeover en identiteitsfraude bij BNPL .
De grootste risico’s en huidige fraudetrends
Naar verwachting gaat het gebruik van BNPL in 2024 de grens van 100 miljard dollar per jaar over. Het biedt veel voordelen voor online retailers en past bij de lifestyle van klanten van tegenwoordig. Die willen flexibiliteit en willen niet wachten tot hun budget het toelaat om aankopen te doen. Het brengt echter ook risico’s met zich mee. BNPL trekt fraudeurs aan en kan klanten, maar ook aanbieders mogelijk in grote financiële problemen brengen. Volgens ThreatFabric zijn dit momenteel de grootste risico’s
- Het gebrek aan toezicht door een betalings- of kredietautoriteit.
Aanbieders van BNPL zijn zelf verantwoordelijk voor de manier waarop ze fraudepreventie inzetten. Ze concurreren echter niet op veiligheid, maar op gemak en eenvoud van betaling. Hoe sneller, hoe beter maar in de regel ook hoe minder veilig. - Beperkte Know Your Customer (KYC) controles of digitale legitimatie
Juist in een tijd van voortdurende datalekken ligt identiteitsfraude op de loer. Aanbieders van BNPL voeren beperkte controles uit op mogelijk gestolen of gelekte persoonsgegevens en creditcards die worden gebruikt bij aanmelding van nieuwe accounts. In 2021 raakten consumenten bijna 52 miljard dollar kwijt door identiteitsfraude. 7 miljard hiervan wordt toegeschreven aan fraude bij het openen van een nieuwe rekening. - Account Take Over (ATO) en On Device Fraud (ODF) door makkelijk te hacken en te vervalsen authenticatiecontroles
Het delen van je nummer om een eenmalige code per sms te ontvangen of een activeringslink per mail ontvangen? Dit soort tweetraps authenticatiestappen worden vaak als zeer veilig ervaren, maar er zijn veel fraude-aanvallen bekend die toegang geven tot dergelijke codes of links en daarmee tot accounts en apparaten. Er zijn momenteel Android banking trojans actief die BNPL Android-apps aanvallen met niet van echt te onderscheiden login-schermen. De nietsvermoedende klant denkt veilig in te loggen, maar zijn rekening wordt overgenomen. - Te veel vertrouwen in single-point identity proofing
Dit zijn controles die veelal niets te maken hebben met het voorkomen van fraude en die bovendien bewezen gevoelig zijn voor hacks en bypasses. Denk hierbij aan gezichtscontroles die met gebruik van deepfakes en zelfs 3D siliconenmaskers te omzeilen zijn.
Gelaagde aanpak in de strijd tegen fraude
Veel techbedrijven die zich specialiseren in fraudedetectie en fraudepreventie zeggen de silver bullet te hebben gevonden. Eén oplossing die bedrijven en consumenten zou moeten beschermen tegen alle soorten fraude. Die ene oplossing bestaat volgens Han Sahin, CEO van Threatfabric, echter niet. “In de strijd tegen fraudedreiging, ook in BNPL, is een gelaagde aanpak nodig met verschillende, sterke fraude-indicatoren die een goed beeld geven van zowel de identiteit, de veiligheid van het toestel, als het digitale gedrag van klanten en hun apparaten en die toekomstige fraudedreigingen signaleert voor ze toeslaan.
Biometrics of behavior analytics
Bij de aanpak van online fraude is het belangrijk onderscheid te maken tussen authenticatie en fraudecontrole. De basis van fraudebestrijding is volgens Sahin dan ook de inzet van gedragsbiometrie of behavior analytics zoals hij het noemt “Wij zetten bijvoorbeeld gedragsanalyse en mobiele sensoren in om aan de hand van het online gedrag snel een normale gebruiker van een fraudeur te onderscheiden”, Aldus Sahin. “Een identiteit is eenvoudig te stelen. Nabootsen hoe snel iemand in de regel inlogt of betalingen verricht is stap 2. Het gebruik hiervan is bij banken al geen uitzondering meer. Fintechbedrijven lijken hier echter nog weinig lering uit te trekken”.
Volgens Sahin komt dit voort uit de angst dat te veel ‘gedoe’ de klant zal frustreren en afschrikken, “Een combinatie van meerdere fraudedetectiesensoren die zich aanpassen aan de verschillende bedreigingen in het klanttraject hoeft echter niet ingewikkeld te zijn en staat een prettige klantenervaring niet in de weg. Sterker nog, de klant zal er nauwelijks iets van merken en de gemoedsrust dat betalingsverkeer veilig is levert juist een sterkere concurrentpositie op”.
Bron: Creditexpo.nl
