Buy Now Pay Later kwetsbaar voor fraude
De Buy Now Pay Later markt is booming. Met name jongeren maken steeds vaker gebruik van de optie om bij online aankopen later of gespreid te betalen. In die gevallen worden de aankopen renteloos betaald via derden zoals Klarna en PayPal. Buy Now Pay Later (BNPL) brengt echter ook een groot frauderisico met zich mee, waarschuwt ThreatFabric. Het online fraudedetectie bedrijf verwacht zelfs dat BNPL in 2023 het grootste frauderisico gaat vormen.
Naar verwachting passeert de BNPL-markt in 2024 de grens van $100 miljard dollar per jaar. De flexibiliteit en het niet langer hoeven wachten tot het budget toereikend is om een aankoop te doen zijn veel genoemde voordelen die de betaalmethode biedt. BNPL trekt echter ook fraudeurs aan en kan klanten, maar ook aanbieders, mogelijk in grote financiële problemen brengen. ThreatFabric zet de grootste risico’s uiteen.
Vier risico’s
Te eerste is er volgens ThreatFabric een gebrek aan toezicht door een betalings- of kredietautoriteit. “Aanbieders van BNPL zijn zelf verantwoordelijk voor de manier waarop ze fraudepreventie inzetten. Ze concurreren echter niet op veiligheid, maar op gemak en eenvoud van betaling. Hoe sneller, hoe beter maar in de regel ook hoe minder veilig.”
Daarnaast zijn er volgens het fraudedetectie-bedrijf beperkte KYC-controles. BNPL-aanbieders zouden minimaal controleren op mogelijk gestolen of gelekte persoonsgegevens en creditcards die worden gebruikt bij de aanmelding van nieuwe accounts. In 2021 raakten consumenten bijna $52 miljard dollar kwijt door identiteitsfraude – 7 miljard daarvan wordt toegeschreven aan fraude bij het openen van een nieuwe rekening.
Account Take Overs en On Device Fraude door makkelijk en te vervalsen authenticatiecontroles vormen een derde risico. ThreatFabric waarschuwt dat er momenteel Android banking trojans actief zijn die BNPL Android-apps aanvallen met niet van echt te onderscheiden login-schermen. Nietsvermoedende klanten denken veilig in te loggen, maar in werkelijkheid wordt de rekening overgenomen.
Tot slot zouden BNPL-bedrijven te veel vertrouwen hebben in single-point identity proofing. “Dit zijn controles die veelal niets te maken hebben met het voorkomen van fraude en die bovendien bewezen gevoelig zijn voor hacks en bypasses. Denk hierbij aan gezichtscontroles die met gebruik van deepfakes en zelfs 3D siliconenmaskers te omzeilen zijn.”
Gelaagde aanpak
“Eén oplossing die bedrijven en consumenten zou moeten beschermen tegen alle soorten fraude bestaat niet”, aldus ThreatFabric-CEO Han Sahin. “In de strijd tegen fraudedreiging, ook in BNPL, is een gelaagde aanpak nodig met verschillende, sterke fraude-indicatoren die een goed beeld geven van zowel de identiteit, de veiligheid van het toestel, als het digitale gedrag van klanten en hun apparaten en die toekomstige fraudedreigingen signaleert voor ze toeslaan.”
Sahin legt uit dat bij de aanpak van online fraude het belangrijk is onderscheid te maken tussen authenticatie en fraudecontrole. Gedragsbiometrie vormt volgens hem de basis voor een succesvolle fraudebestrijding. “Wij zetten bijvoorbeeld gedragsanalyse en mobiele sensoren in om aan de hand van het online gedrag snel een normale gebruiker van een fraudeur te onderscheiden. Het gebruik hiervan is bij banken al geen uitzondering meer. Fintechbedrijven lijken hier echter nog weinig lering uit te trekken.”
De CEO van ThreatFabric vermoedt dat dit voortkomt uit de angst dat te veel gedoe de klant zal frustreren en afschrikken. “Een combinatie van meerdere fraudedetectiesensoren die zich aanpassen aan de verschillende bedreigingen in het klanttraject hoeft echter niet ingewikkeld te zijn en staat een prettige klantervaring niet in de weg. Sterker nog, de klant zal er nauwelijks iets van merken en de gemoedsrust dat betalingsverkeer veilig is levert juist een sterkere concurrentpositie op.”
