Creditcardfraude gericht op kleine webwinkels

Criminelen die zich op internet bezighouden met creditcardfraude richten zich vooral op de kleinere webwinkels. Tenminste, dat blijkt uit een Amerikaans onderzoek. Zelfs negentig procent van de pogingen komt voor bij webwinkels die nog geen twintigduizend transacties per jaar verwerken. 

Negentig procent van creditcardfraude bij Level 4 Merchants
Webwinkels worden door creditcardmaatschappijen als Mastercard en Visa ingeschaald in vier categorieën. De kleinste webwinkels worden ingedeeld als Level 4 Merchants. Dit betekent dat ze nog geen twintigduizend creditcard transacties per jaar verwerken, en in totaal minder dan een miljoen transacties via creditcards verwerkt hebben. 

Deze groep blijkt uit een op 10 mei vrijgegeven onderzoek van Trustwave de voorkeur te hebben voor internetcriminelen die zich bezighouden met creditcardfraude. Negentig procent van de gevallen komt voor bij deze groep. Creditcardfraude bij webwinkels komt overigens vooral voor in de kleine detailhandel en daar dan het meeste in de rubriek eten en drinken.

Onverwacht? Eigenlijk toch niet.
Op het eerste gezicht lijkt dit onverwacht. Je zou verwachten dat criminelen daar stelen, waar de grootste buit te halen is. En dat zijn toch juist de grotere jongens. Aan de andere kant is de kans dat bedrijven als Amazon, Target of Dell creditcardgevens lekken natuurlijk bijzonder klein. Kansloos eigenlijk.

De grote webwinkels voldoen vaak exact aan de in het onderzoek gebruikte PCI DSS (Payment Card Industry Data Security Standards) richtlijnen. En deze richtlijnen blijken in de praktijk bijna alle vormen van creditcardfraude uit te sluiten.

Bij kleinere webwinkels blijkt het frauderen met creditcard gegevens gemakkelijker. De webwinkels die niet helemaal aan de richtlijnen voldoen, blijken namelijk in negentig procent van de gevallen ook op minimaal vijf andere punten niet aan de vereisten te voldoen. Oftewel daar waar er een fout gevonden wordt, zijn er meestal meer. En het vinden van een lek bij een webwinkel met zo’n tienduizend creditcardgegevens blijkt óók voldoende lucratief.

Creditcardfraude bij onze webwinkels?
Uit het onderzoek blijkt dat 98% van de kleinere webwinkels niet aan PCI DSS richtlijnen voldoet. In Nederland zullen ook de grotere webwinkels amper boven de twintigduizend creditcardbetalingen uitkomen dus valt in theorie de hele branche in de gevarenzone. Toch zal het in ons eigen land relatief nog meevallen.  Veel genoemde richtlijnen en fraudegevoelige zaken, hoeven Nederlandse webwinkels zich geen zorgen om te maken. Problemen bij de firewalls rond de transactie bijvoorbeeld. 

Nederlandse webwinkeliers zullen creditcardfraude dan ook niet bovenaan hun to-do lijstje hebben staan. Daarnaast lijkt het al een tijdje de goede kant op te gaan met de cijfers rond fraude bij webwinkels. Toch zal het ook in Nederland mis kunnen gaan.

Nederlandse webwinkels die creditcardbetalingen bieden, verzorgen in eerste instantie meestal  wel een veilige transactie, want dit gebeurt vaak op een externe beveiligde server van de creditcardmaatschappijen of betalingsproviders. Maar vervolgens ontvangen ze in veel gevallen zelf ook de creditcard gegevens. En dat is bij de “Level 4” Amerikaanse webwinkels in 75% niet helemaal volgens de genoemde standaarden. Deze worden soms simpelweg in een onvoldoende beveiligde database opgeslagen. Daarnaast maken ze gebruik van vooraf geprogrammeerde koppelingen die soms niet helemaal aansluiten op de webwinkelsoftware zelf, of ze maken hier soms onjuist gebruik van.

Kleinere webwinkels werken soms alleen zelf aan dit soort aansluitingen. Nadat dit goed werkt, wordt er dan geen tijd meer gestoken in het up to date houden van deze koppelingen. In het onderzoek blijkt zelfs 98% dit niet te doen volgens de richtlijnen. Als het eenmaal werkt wordt dit deel van de website soms gewoon vergeten. Ze investeren veel minder in de veiligheid van creditcardtransacties dan de grote jongens. Ze zijn eerder bezig met kostenreductie of marketing.

In totaal is deze vorm van creditcardfraude goed voor negen procent van alle fraudevormen met creditcards samen.