GlobalSign Blog

25 Feb 2016

Wie man Betrug bei E-Commerce-Transaktionen erkennt

Im wirklichen Leben bin ich ich. Im digitalen Leben kann ich du oder Micky Maus, oder besser noch Superman sein. Es gibt keine Grenzen in der digitalen Welt. In der realen Welt werde ich dadurch behindert, dass ich keine Wände hochklettern kann, mich nicht durch die Stadt schwingen kann. In der realen Welt kann ich Bösewichte fangen, wenn ich den Mut dazu haben. Aber meine biometrischen Kennzeichen könnten dabei verunstaltet werden (Gesichtserkennung, gebrochene Nase und/oder Kiefer, zugeschwollene Augen etc.).

Das Problem bei E-Commerce-Transaktionen

Die Anonymität der digitalen Welt bereitet Online-Händlern Kopfschmerzen. Einer der ersten Schritte für die Ausführung einer E-Commerce-Transaktion ist es, den Besucher zu registrieren. Dies ist eine der größten Hürden im Online-Handel, sei es B2C oder B2B.

Ein Verbraucherkunde vermeidet oft komplexe und verklausulierte Anmeldeformulare und wendet sich ab - er macht seine Geschäfte an anderer Stelle, ohne diese Barrieren. Ein Geschäftskunde erwartet, einen reibungslosen Zugang zu externen Diensten zu haben, ohne zusätzlichen Aufwand. Leider ist dies oft nicht gegeben. Noch!

Zu oft gehen Online-Sites in die Attribut-Falle. Sie wollen alles über ihren Kunden wissen. Daher verlangen sie zu viele Informationen im Voraus. Würde es nicht mit weniger Daten funktionieren? Oder vielleicht mit externen Informationsquellen, um den Registrierungsprozess zu beschleunigen? Die Verwendung einer Fremdquelle, die bereits irgendwann die Identität überprüft hat, wäre eine gute Möglichkeit, die Kundenanmeldung zu beschleunigen.

Wie man einen E-Commerce-Betrüger erkennt

Um einen Betrug zu erkennen, müssen Sie eine Quelle verwenden, bei der die wahre Identität des Benutzers zu irgendeinem Zeitpunkt überprüft wurde. Wenn Clark Kent versuchen würde, sich für Ihre Online-Website zu registrieren, käme er nicht weit, solange nicht eine unabhängige Quelle tatsächlich seine Heimatadresse des ehemaligen Krypton bestätigen könnte. Dies könnte sich als etwas schwierig erweisen. Krypton gibt es nicht mehr.

Die Verwendung einer vorhandenen Identität, wie z.B. eine eID, ist eine Option. Leider sind eIDs, mit Ausnahme einiger Länder, nicht sehr erfolgreich. Aber es gibt andere Quellen, bei denen eine verifizierte digitale Identität abgefragt werden kann.

Banken in den meisten Teilen der Welt setzen einen strengen Registrierungsprozess ein, damit man Kunde werden kann. Mobilfunknetzbetreiber (MNO) untermauern in den meisten Fällen die Identität ihrer Anschlussinhaber, abgesehen von den sogenannten Burner Identities oder Prepaid-Abonnements, ohne Verbindung zu einer vorhandenen Kreditkarte oder einem anderen persönlichen Kennzeichen. Dies ist von Anbieter zu Anbieter und von Land zu Land verschieden. Aber im Allgemeinen sind Finanzinstitute und Mobilfunknetzbetreiber eine gute Quelle, um einen Betrug zu erkennen.

Wie Finanzinstitute und Mobilfunknetzbetreiber Betrug erkennen

Finanzinstitute und Mobilfunknetzbetreiber führen Datenbanken mit überprüften Identitäten. Sie kennen unseren Namen, unsere Adresse, E-Mail-Adresse, Telefonnummer und verschiedene andere Attribute und sie haben diese Attribute geprüft. Andernfalls könnte Herr Kent nicht tanken, er hätte keinen Zugang zu seinem Geld und er könnte keine Textnachricht senden.

Die Unternehmen, die diese Identitäten speichern, können als Identitätsanbieter oder Attributanbieter fungieren. Diese Informationen könnten zu unserem Nutzen verwendet werden, mit Zustimmung des Benutzers, unsere Erfahrungen mit anderen digitalen Diensten oder Diensten von Drittanbietern zu verbessern. Der Schwerpunkt liegt auf der Einwilligung des Nutzers.

In der API-Wirtschaft dreht sich alles um Computer, die mit anderen Computern reden. Wenn Sie eine Online-Site haben, könnten Sie die von einem Dritten ausgestellte API nutzen, um Benutzerattribute zu akquirieren. Sie können die vielfältigen verfügbaren Standards verwenden, um die Identität eines Online-Nutzers durch einen Drittanbieter zu bestätigen und sicherzustellen, dass diese Person tatsächlich Superman und nicht Bizarro ist.

Federation-Protokolle wie SAML und WS-Federation gibt es schon seit einer Weile und sie haben sich als De-facto-Protokolle bei der Übertragung von Identitätsdaten von einer Domain zu einer anderen etabliert. OAuth, OpenID Connect sind neuere Protokolle, die sich auf die Vertrauensinfrastruktur des Internets verlassen und sie sind sehr entwicklerfreundlich. Das jüngste Protokoll ist nun Mobile Connect.

Mobile Connect ist eine spezifische Umsetzung des OpenID Connect Protokolls. Aber es hat das Potenzial, alles was wir über Authentifizierung wissen, zu sprengen.

Das Versprechen einer globalen Identität mit Mobile Connect

Wenn Sie an Ihre eigene Situation denken, werden Sie an Ihre Kundenerfahrung denken. Wir haben alle zu viele Passwörter. Ich kann kaum mit all den verschiedenen Passwörtern mithalten, die ich verwendet habe, um mich als "Superman" und nicht als "Bizzaro" zu registrieren. Als Benutzer wollen wir kein weiteres Passwort.

Mobile Connect kann für eine einzige globale Identität sorgen. Wenn Sie eBay oder Amazon oder der Fahrradhändler vor Ort sind, kann Ihnen Mobile Connect eine Identität liefern. Und was noch wichtiger ist: Mobile Connect kann, mit Zustimmung des Benutzers, Attribute über Ihre Online-Kunden liefern. Ich möchte Sie also dringend bitten, das Mobile Connect Programm der GSMA nachzuschlagen.

Mit Mobile Connect könnte eine echte globale Identität einfach und leicht verfügbar sein, die an unsere Telefonnummer gebunden ist.

GlobalSigns Identity und Access Management (IAM) Lösungen helfen Online-Diensten Kosteneinsparungen zu schaffen, Kundenerfahrung zu verbessern und Konversionsraten zu erhöhen. Kontaktieren Sie uns jetzt, um mehr zu erfahren.

Artikel teilen