Het is geen verrassing dat e-commerce sinds de start van de pandemie volop in de belangstelling staat. Door lockdowns en bezorgdheid over de veiligheid van de fysieke winkels sloegen consumenten massaal aan het online-winkelen – om daar ook online-fraudeurs te ontmoeten.
In Nederland groeiden de online-consumentenbestedingen in het derde kwartaal van 2020 met vier procent naar € 5,7 miljard. Net als in de eerste twee kwartalen van 2020 was deze stijging volledig toe te schrijven aan de groei van de online-bestedingen en het online aankopen van producten (respectievelijk +36 en +34 procent). Het ging met name om de categorieën Home & Living (+106), Food/Nearfood (+61) en Sport & Recreatie (+51). Binnen deze verdubbelde de online-penetratie , wat betekent dat er veel meer Nederlanders binnen deze categorieën online zijn gaan kopen. In totaal kwamen er in vergelijking met dezelfde periode vorig jaar ongeveer 760.000 nieuwe e-shoppers bij, een groei van zeven procent.
Om de stelregel van Peter ‘Spiderman’ Parker aan te halen: ‘Grote kracht komt met grote verantwoordelijkheid’. Dat geldt ook voor retailers die online actief zijn. De sterke toename van e-commerce bracht ook een sterke groei van online-fraudeurs. Tegen deze achtergrond, en naarmate meer consumenten de digitale wereld betreden, worstelen veel retailers met twee dilemma’s: hoe boeiende e-commerceopties te bieden zonder zichzelf bloot te stellen aan aanvallen en hoe te investeren in solide fraudepreventietools die geen onnodige frictie aan het bestelproces toevoegen?
Aanvallen van bots
De dreigingen waarmee online-retailers worden geconfronteerd, evolueren voortdurend. Maar we zien een rode draad: de inzet en uitvoering van legers van geautomatiseerde bots.
Botaanvallen op retailers nemen verschillende vormen aan. Traditioneel kopen legers van bots alle beschikbare voorraad van veelgevraagde items op, van Coldplay-tickets tot Air Jordans, om deze later door te verkopen tegen een hogere prijs. We zien echter dat deze truc ook op populaire cadeauartikelen wordt toegepast. Deze retailbots scannen wereldwijde websites op het exacte moment dat een item in de uitverkoop gaat, waarna ze hun eigenaren waarschuwen. Die kopen meteen massaal op. Sommige bots kopen de producten zelfs automatisch, sneller dan mogelijk is voor een mens. We zagen dit in realtime gebeuren toen gloednieuwe PlayStation 5-consoles op Ebay verschenen voor honderden ponden meer dan de vraagprijs. Op deze zelfde manier wordt de Xbox Series X verkocht voor € 5.700. Dat is meer dan duizend procent boven de oorspronkelijke waarde, wat de ‘echte’ klanten wereldwijd uiteraard frustreert.
Toenemende rol van identiteit
Veel aanvallen van bots gebruiken identiteit als aanvalsvector, wat betekent dat ze via het inlogvak inbreken door zich voor te doen als legitieme gebruikers. Credential stuffing-aanvallen waarbij hackers gestolen inloggegevens inzetten, zijn de afgelopen jaren wijdverbreid geworden omdat mensen de neiging hebben wachtwoorden te hergebruiken. Miljarden van deze gestolen inloggegevens circuleren momenteel op het dark web.
E-commerceretailers lopen een bijzonder risico op deze aanvallen. Voorheen moesten fraudeurs hun spullen thuis laten bezorgen en was dus een afleveradres bekend. Nu kun je via click and collect bestelde goederen anoniem oppikken, nog voordat de gedupeerde het opmerkt.
Multi-factorauthenticatie
Gelukkig zijn er effectieve methoden om bots af te schrikken zonder onnodige frictie voor legitieme gebruikers. Aangezien de meeste e-commercefraude plaatsvindt doordat fraudeurs zich voordoen als legitieme gebruikers, hebben de oplossingen betrekking op het nauwkeuriger kunnen verifiëren van gebruikersidentiteiten.
Multi-factorauthenticatie (mfa) vereist dat gebruikers bewijzen dat ze zijn wie ze beweren te zijn door een aanvullende vorm van verificatie te bieden die verder gaat dan de klassieke gebruikersnaam-wachtwoordcombinatie. Dit is de meest betrouwbare verdediging tegen aanvallen op basis van identiteit of authenticatie. Veelgebruikte mfa-methoden zijn eenmalige codes die naar het e-mailadres of telefoon van een gebruiker worden gestuurd. Of een biometrische scan, zoals een vingerafdruk.
Desondanks is de acceptatie onder retailers traag, deels vanwege de bezorgdheid dat mfa te veel frictie zal veroorzaken en zal leiden tot verlaten winkelwagens. De realiteit is dat door evolutie de huidige mfa-normen steeds gebruiksvriendelijker en veiliger worden. Met zogenaamde ‘adaptieve mfa’ vraag je alleen extra referenties bij verdacht gedrag. Denk aan een klant die inlogt met een nieuw apparaat of een bestelling plaatst boven een bepaalde waarde. Investeringen in tools die automatisch verdacht gedrag signaleren, zijn dus cruciaal.
Brute force-bescherming is een tool die voorkomt dat botlegers een website of app overspoelen met inlogpogingen. Door brute force-bescherming in te schakelen, gaat het slot op ip-adressen na een bepaald aantal mislukte inlogpogingen. Ook bekend is captcha (een afkorting van completely automated public Turing test to tell computers and humans apart) dat bots uitsluit tijdens het aanmaken van een account, door menselijke gebruikers te laten bewijzen dat ze geen robots zijn. Tenslotte beschermt wachtwoordbeveiliging tegen aanvallen door databases met gecompromitteerde inloggegevens te controleren en gebruikers te waarschuwen als ze hun wachtwoorden moeten wijzigen.
Het is belangrijk op te merken dat geen van deze technologieën onfeilbaar is en geen enkele is ontworpen om geïsoleerd te werken. Sommige hackers hebben geleerd hoe ze valse ip-adressen gebruiken om brute force-aanvallen te maskeren. Captcha heeft altijd moeite om geavanceerde bots voor te blijven die menselijk gedrag nabootsen . En hoewel retailers gebruikers kunnen dwingen hun wachtwoord te wijzigen in geval van een inbreuk, kunnen ze het onderliggende probleem van hergebruik van wachtwoorden niet veranderen. Zelfs mfa, de basis van een slimme beveiligingsstrategie, werkt alleen als je als retailer je klanten overtuigt of dwingt om zich ervoor aan te melden. Als je je echt tegen aanvallen wilt verdedigen, moet je denken aan beveiliging in lagen.
Van theorie naar praktijk
Hoewel er geen wondermiddel is om e-commercefraude te voorkomen, biedt het implementeren van deze maatregelen superieure bescherming. Cybercriminelen zoeken over het algemeen de weg van de minste weerstand, en wanneer deze tools aanwezig zijn, worden bedrijven niet langer als een gemakkelijk doelwit gezien. Het intern bouwen aan fraudepreventietools kan echter tijdrovend zijn voor elk bedrijf en is praktisch en financieel lastig voor kleine tot middelgrote retailers. Om deze reden zullen velen ervoor kiezen om samen te werken met een externe customer identity and access management (ciam)-aanbieder.
2020 was op veel fronten een uitdagend jaar, maar veel retailers hebben deze gelegenheid aangegrepen om e-commerce echt te omarmen. Het is overduidelijk dat e-commerce geen tijdelijke noodoplossing is voor de pandemie. Het is de nieuwe status quo. Het is ook duidelijk dat vasthouden aan een eenvoudige, verouderde inlogoplossing niet langer een optie is. Retailers moeten investeren in een veilig en duurzaam platform, waar klanten zonder zorgen over hun identiteit en zonder frictie producten en diensten kunnen afnemen.