MAISON CODE .
/ Security · Fraud · Risk · Payments

Betrugsanalyse: Maschinelles Lernen vs. Kartell

So erkennen Sie gestohlene Kreditkarten, Proxy-IPs und organisierte Kriminalitätsringe im Einzelhandel mithilfe von Shopify Shield und benutzerdefinierten ML-Modellen.

AB
Alex B.
Betrugsanalyse: Maschinelles Lernen vs. Kartell

Es geht eine Bestellung im Wert von 5.000 € ein. Lieferadresse: Miami (Spediteur). Rechnungsadresse: Nigeria. IP-Adresse: Kansas (VPN). Handelt es sich um Betrug? Wahrscheinlich. Was aber, wenn es sich um einen legitimen nigerianischen Diplomaten handelt, der einen Reshipper aus Miami auflistet? Wenn Sie es stornieren, verlieren Sie €5.000. Wenn Sie es versenden, erhalten Sie eine Rückbuchung und zahlen 5.000 € + 15 € Gebühr. Betrugsanalyse ist die Kunst der Wahrscheinlichkeit.

Warum Maison Code darüber spricht

Bei Maison Code Paris fungieren wir als das architektonische Gewissen unserer Kunden. Wir übernehmen oft „moderne“ Stacks, die ohne grundlegendes Verständnis für Skalierung gebaut wurden.

Wir diskutieren dieses Thema, weil es einen kritischen Wendepunkt in der technischen Reife darstellt. Die korrekte Implementierung unterscheidet ein fragiles MVP von einer widerstandsfähigen Plattform auf Unternehmensniveau.

Die Signale

Shopify bietet bei jeder Bestellung eine „Betrugsanalyse“ an.

  • „avs_code“: Adressverifizierungssystem (Stimmt die Postleitzahl mit der Bank überein?).
  • „cvv_code“: Kartenverifizierungswert.
  • ip_distance: Abstand zwischen IP und Rechnungsadresse.

Automatisierte Arbeitsabläufe (Shopify Flow)

Wir überprüfen nicht jede Bestellung manuell. Wir haben Shopify Flow-Regeln eingerichtet.

  • Rote Flagge: Wenn Risikostufe = Hoch -> Automatischer Abbruch.
  • Gelbe Flagge: Wenn Risikostufe = Mittel UND Wert > 500 € -> Zur Überprüfung zurückhalten. Slack-Benachrichtigung senden.
  • Grüne Flagge: Zahlung automatisch erfassen.

3D Secure (3DS)

Das Layout. Wenn Sie 3D Secure (Verified by Visa) aktivieren, geht die Haftung auf die Bank über. Selbst wenn die Karte gestohlen wird, behalten Sie das Geld. Die Bank frisst den Verlust. Allerdings verringert 3DS die Konvertierung um etwa 5 %. Strategie: 3DS nur für risikoreiche Aufträge auslösen. (Siehe Mobile Zahlungen für Apple Pay, das praktisch 3DS ist).

Geräte-Fingerabdruck

Professionelle Betrüger löschen Cookies. Wir verwenden Device Fingerprinting (z. B. Sardine, Sift). Es sieht aus:

  • Batteriestand.
  • Bildschirmauflösung.
  • Installierte Schriftarten. Wenn wir 50 Bestellungen von unterschiedlichen Namen, aber genau demselben Geräte-Hash sehen, handelt es sich um einen Bot-Ring. (Siehe Bot Mitigation).

Freundlicher Betrug

„Das habe ich nicht bestellt.“ (Lügender Kunde). Das ist schwer zu schlagen. Verteidigung:

  • Unterschrift bei Lieferung (FedEx).
  • Fotonachweis der Zustellung.
  • Dispute Evidence Generator: Automatisieren Sie den PDF-Export der Zugriffsprotokolle, der die IP- und E-Mail-Anmeldung des Benutzers zum Zeitpunkt des Kaufs zeigt.

6. Geschwindigkeitskontrollen (Die Geschwindigkeitsfalle)

Menschen kaufen langsam. Bots kaufen schnell. Ein Benutzer kann nicht 10 Bestellungen in einer Minute aufgeben. Block Velocity Checks basierend auf der Zeit.

  • „Maximal 1 Bestellung pro 5 Minuten pro IP“.
  • „Maximal 3 verschiedene Kreditkarten pro Stunde und Sitzung“. Dies verhindert „Card-Testing“-Angriffe, bei denen ein Dieb Gegenstände im Wert von 1 € kauft, um zu überprüfen, ob gestohlene Karten funktionieren. (Siehe Ratenbegrenzung).

7. Rückerstattungsbetrug (The Silent Killer)

„Ich habe die Kiste zurückgegeben.“ (Es war leer). „Ich habe die Rückerstattung nie bekommen.“ (Sie haben es zweimal bekommen). Dies ist schwerer zu erkennen, da es erst nach dem Kauf auftritt. Verteidigung:

  1. Gewichtskontrolle: Überprüfen Sie, ob das Gewicht des Rücksendepakets mit dem Gewicht des Ausgangspakets übereinstimmt.
  2. Rückerstattungsentscheidung: Hochwertige Artikel werden nicht automatisch erstattet. Erfordern eine menschliche Inspektion.
  3. Blacklisting: Wenn ein Benutzer mehr als 50 % der Bestellungen erstattet, entlassen Sie den Kunden.

9. Das Human Review Dashboard

Man kann nicht alles automatisieren. Manchmal sagt das Modell „50 % Betrug“. Man braucht einen Menschen, der es betrachtet. Wir erstellen benutzerdefinierte Retool-Dashboards für Risikoteams. Sie sehen:

  • Karte von IP vs. Rechnungsadresse.
  • Social-Media-Suche (automatisiert über Clearbit).
  • Frühere Bestellhistorie weltweit. Ein Klick: „Genehmigen“ (erfasst Stripe) oder „Ablehnen“ (Annullierung der Authentifizierung). Dies versetzt Ihr CS-Team in die Lage, datengesteuerte Entscheidungen zu treffen.

10. Maschinelles Lernen: Rückbuchung vs. Verkauf

Standardregeln verhalten sich wie folgt: „Wenn > 500 €, dann blockieren.“ ML verhält sich wie folgt: „Wenn > 500 € UND E-Mail Zahlen enthält UND IP VPN ist, dann beträgt die Wahrscheinlichkeit 92 %.“ Wir trainieren benutzerdefinierte Modelle anhand Ihrer historischen Daten. Wir geben „Rückbuchungen“ als positive Labels und „Erfolgreiche Bestellungen“ als negative Labels ein. Das Modell lernt Muster, von deren Existenz Sie nichts wussten. „Bestellungen von Schuhen der Größe 11 aus Brooklyn um 2 Uhr morgens sind zu 80 % Betrug.“

11. Das Chargeback-Dreieck

Wenn es zu einer Rückbuchung kommt, streiten sich drei Parteien.

  1. Die Bank: Möchte den Karteninhaber (seinen Kunden) schützen.
  2. Der Händler (Sie): Möchte das Geld behalten.
  3. Das Kartensystem (Visa): Legt die Regeln fest. Um zu gewinnen, müssen Sie „überzeugende Beweise“ (Visa Compelling Evidence 3.0) vorlegen. Dabei wird der bisherige Transaktionsverlauf verknüpft. „Ja, Benutzer X hat Betrug behauptet, aber hier sind 10 frühere Bestellungen mit derselben IP und Geräte-ID.“ Die Automatisierung dieser Beweismitteleinreichung über die Stripe-API erhöht die Erfolgsraten von 20 % auf 60 %.

12. Rückerstattungsentscheidung 2.0

Nicht alle Rückerstattungen sind gleich. Ein VIP, der eine Größe M zurückgibt, um eine Größe L zu kaufen, ist „Good Churn“. Ein neuer Benutzer, der eine PS5 zurückgibt, ist „Bad Churn“. Wir verwenden Risikobasierte Rückerstattungslogik.

  • VIP: „Sofortige Rückerstattung“ (Geld auf der Bank in 5 Minuten).
  • Neuer Benutzer: „Rückerstattung bei Inspektion“ (Geld auf der Bank in 7 Tagen). Diese Reibung entmutigt das „Wardrobing“ (Kauf für eine Veranstaltung und Rückgabe).

13. Synthetischer Identitätsbetrug

Das ist die neue Grenze. Betrüger kombinieren echte Daten (SSN eines Kindes) mit gefälschten Daten (Adresse, Telefon). Es entsteht eine „Frankenstein-Identität“. Herkömmliche Schecks bestehen, da die SSN gültig ist. Verteidigung: Verhaltensbiometrie. Wie tippt der Benutzer? Kopieren sie die Telefonnummer? (Echte Leute tippen es). Zögern sie beim Feld „Nachname“? (Echte Menschen tun das nicht). Wir integrieren Tools wie Forter oder Sardine, die die Bewegungsdaten der Maus/des Touchscreens analysieren, um diese synthetischen Profile zu erkennen.

12. Warum Maison Code?

Bei Maison Code haben wir Verluste in Höhe von mehreren Millionen Dollar verteidigt. Wir kennen die Panik eines „Card Testing“-Angriffs um 3 Uhr morgens. Wir verlassen uns nicht auf die Standardeinstellungen von Shopify (die zu locker sind). Wir erstellen maßgeschneiderte Risiko-Engines. Wir schichten Cloudflare (Netzwerk), Shopify Flow (Regeln) und ML von Drittanbietern (Sardine) zusammen, um eine „Eiserne Kuppel“ für Ihre Zahlungen zu schaffen. Wir stellen sicher, dass Sie Ihre Einnahmen behalten und Ihre Rückbuchungsrate unter 0,5 % bleibt.

14. Die Anatomie eines Kartentesters

Beim „Kartentest“ testet ein Bot 10.000 Kreditkarten, um herauszufinden, welche funktionieren. Sie kaufen deine 500-Dollar-Jacke nicht. Sie versuchen, einen 1-Dollar-Aufkleber zu kaufen. Wenn es funktioniert, verkaufen sie die Karte im Dark Web als „Live“. Auswirkungen auf Sie:

  1. Stripe-Gebühren: Sie zahlen 0,30 € pro fehlgeschlagener Authentifizierung. 10.000 Versuche = 3.000 € Gebühr.
  2. Reputation: Visa kennzeichnet Ihr Händlerkonto als „Hohes Risiko“. Verteidigung: Captcha beim Bezahlen. Wenn IP mehr als 3 fehlgeschlagene Bestellungen aufgibt, ist hCaptcha erforderlich. Dies beeinträchtigt die Effizienz des Bots („ROI < 0“).

15. Das manuelle Überprüfungsprotokoll

Manchmal reicht KI nicht aus. Sie benötigen ein menschliches Protokoll. Die Checkliste für eine verdächtige Bestellung:

  1. Kunden anrufen: „Hallo, ich überprüfe nur die Größe.“ (Wenn die Nummer tot ist -> Betrug).
  2. E-Mail-Domäne: „john.doe@gmail.com“ (Normal) vs. „af3289@tempmail.com“ (Betrug).
  3. Social Proof: Existiert „John Doe“ auf LinkedIn in „Miami“?
  4. Street View: Handelt es sich bei der Lieferadresse um ein Haus oder eine Lagerhalle in einem Industriegebiet? Eine zweiminütige Untersuchung spart 2.000 €.

16. Die Betrugsbekämpfungs-Checkliste (vor dem Flug)

Bevor Sie auf einen GMV von 10 Mio. USD skalieren, stellen Sie sicher, dass Sie über diese 20 Schecks verfügen:

  1. CVV-Übereinstimmung erzwungen: Ablehnen, wenn CVV nicht übereinstimmt.
  2. AVS Match Enforced: Ablehnen, wenn die Postleitzahl nicht übereinstimmt (sanfte Lockerung für internationale).
  3. Velocity Check 1: Maximal 3 Karten pro Sitzung.
  4. Velocity Check 2: Maximal 5 Bestellungen pro IP und Tag.
  5. Velocity Check 3: Maximal 2.000 € pro Gast-Checkout.
  6. E-Mail-Alter: Die Domain muss > 30 Tage alt sein (über API).
  7. IP-Proxy: Tor/VPN-IPs beim Bezahlen blockieren.
  8. Entfernung: Warnung, wenn IP > 500 Meilen von Billing entfernt ist.
  9. Hoher Wert: Manuelle Überprüfung für Bestellungen > 1000 €.
  10. SKU Velocity: Warnung, wenn 50 Einheiten eines Artikels mit hohem Wiederverkaufswert in 10 Minuten verkauft werden.
  11. 3D Secure: Bei hohem Risiko aktivieren.
  12. Telefonvalidierung: Senden Sie SMS-OTP für verdächtige Bestellungen.
  13. Adressnormalisierung: Verwenden Sie die Google Places-API, um zu überprüfen, ob eine Adresse vorhanden ist.
  14. Blacklist: Gemeinsame Datenbank bekannter Betrüger.
  15. Rückerstattungsobergrenze: Benutzer nach 30 % Rücklaufquote automatisch sperren.
  16. Rückbuchungsalarm: Verwenden Sie Ethoca/Verifi, um Benachrichtigungen zu erhalten, bevor die Rückbuchung eintritt.
  17. Mitarbeiterschulung: Das CS-Team weiß, wie „Kartentests“ aussehen.
  18. Webhook-Überwachung: Überwachen Sie „order.created“ auf Anomalien.
  19. Ghosting: Stilles CAPTCHA für Bot-ähnliches Verhalten.
  20. Rechtliches: Klare „Nutzungsbedingungen“ für Betrugsermittlungen.

17. Fazit

Betrug ist ein Kostenfaktor für die Geschäftsabwicklung. Wenn Ihre Betrugsrate 0 % beträgt, sind Ihre Betrugsfilter zu streng (Sie lehnen gute Kunden ab). Streben Sie 0,5 % an. Aber lassen Sie das „Kartell“ niemals gewinnen. Automatisieren Sie die Verteidigung. Schlafen Sie tief und fest.

Zu viele Rückbuchungen?

Wir implementieren automatisierte Risikoentscheidungs-Engines. Beauftragen Sie unsere Architekten.