Einführung in die praktische Betrugsbekämpfung

Online-Betrug gibt es schon fast so lange wie Online-Banking und Online-Handel: Betrüger gehen dorthin, wo das Geld ist und wo sie eine Gelegenheit sehen. Es lohnt sich, gleich zu Beginn darauf hinzuweisen, dass wenn wir von Betrügern sprechen, wir über Bedrohungen von außen sprechen; in diesem Buch geht es nicht um internen Betrug, Risiken oder Fragen der Mitarbeiterintegrität. Es gibt sicherlich genug über externen Online-Betrug zu sagen - ein Problem, über das sich Unternehmen schon seit Jahrzehnten Gedanken machen. Julie Fergerson, Geschäftsführerin des Merchant Risk Council, erinnert sich an die Anfänge des E-Commerce vor 20 Jahren, als sie Kunden dabei half, Online-Shops einzurichten, und mit Entsetzen beobachtete, wie Betrugsangriffe bereits in der ersten Woche - oder manchmal sogar am ersten Tag - des Bestehens eines Shops erfolgten.

Damals hatte der Online-Betrug oft auch einen physischen Aspekt. Karten-Skimming war eine gängige Methode, um physische Kartendaten zu stehlen, z. B. während einer legitimen Transaktion oder an einem Geldautomaten. Die Kartendaten konnten online für Einkäufe verwendet werden, oder es wurden gefälschte Karten erstellt, um Transaktionen in Geschäften vorzunehmen. Manchmal landeten die Kartendaten auch online in den Foren, die sich schnell entwickelten, um Kriminellen die Möglichkeit zu geben, im Internet miteinander zu kommunizieren. In anderen Fällen war der Betrug sehr einfach: Eine Kassiererin oder ein Kassierer kopierte einfach die Kartendaten und versuchte, sie für Online-Einkäufe zu verwenden.

Kartenbetrug ist zwar nicht völlig verschwunden, aber es steht außer Frage, dass eine Kombination aus Chip- und Pin-Technologie für Kartentransaktionen und dem schieren Umfang von Online-Interaktionen und -Handel den Kartenbetrug in den Mittelpunkt gerückt hat(Abbildung P-2). Eine Studie aus dem Jahr 2021 ergab, dass 83 % aller Betrugsangriffe mit Kredit-, Debit- oder Prepaid-Karten online stattfanden.³ Das ist die Welt, in der Betrugspräventionsteams heute leben und arbeiten.

Abbildung P-2. Kreditkartenbetrug und ID-Diebstahl in den Vereinigten Staaten von 2011 bis 2018⁴

Der Ausbruch der COVID-19-Pandemie Anfang 2020 beschleunigte den digitalen Wandel in allen Bereichen, da sich die Menschen an die Bequemlichkeit und die vorübergehende Notwendigkeit des Online-Einkaufs und der Online-Interaktion gewöhnten. Einem Bericht zufolge im Jahr 2020 47% der Menschen ein neues Online-Shopping-Konto, 35% ein neues Social-Media-Konto und 31% ein Online-Banking-Konto eröffnen.⁵ All dies bietet finanzielle Chancen für Online-Unternehmen - aber nicht ohne Betrugsrisiken. Fast 70 % der Händler gaben an, dass die Rückbuchungsraten während der Pandemie gestiegen sind, und viele berichteten auch über eine hohe Anzahl von Kontoübernahmeversuchen (ATO).⁶ Wenn man bedenkt, dass die Verbraucher/innen ihre Online-Einkäufe und -Banking-Gewohnheiten auch dann fortsetzen wollen, wenn die Pandemie keinen Druck mehr ausübt, kann man davon ausgehen, dass auch die Betrugsgefahr bestehen bleibt.

Die Betrugsversuche sind nicht nur weitaus raffinierter, sondern auch häufiger geworden. Die Betrüger nutzen eine ausgeklügelte Verschleierung, eine Armee von Maultieren auf der ganzen Welt und sogar Tools, die Informationen über den Browser und das Gerät eines Nutzers erfassen, wenn er eine Website besucht, damit diese als Teil einer ATO-Verkleidung wiedergegeben werden können. Phishing-Versuche, die mit ihren gestohlenen Daten für einen Großteil der Online-Betrügereien verantwortlich sind, haben sich von den "nigerianischen Prinzen"-Betrügereien von vor 10 oder 15 Jahren zu subtilen Mails entwickelt, die den Ton, das Layout und die Logos von E-Mails imitieren, die von Providern an die Unternehmen geschickt werden, die sie nutzen, und die oft auf Unternehmen abzielen, je nachdem, welche Provider sie nutzen. Und wir wollen gar nicht erst anfangen, über die Feinheiten von Romantikbetrug, IT-Reparaturbetrug, Catfishing und anderen Social-Engineering-Methoden zu reden.

Betrüger agieren in einem hochentwickelten kriminellen Online-Umfeld, in dem nach Schätzungen des FBI im Jahr 2020 mehr als 4,2 Milliarden Dollar gestohlen werden.⁷ Manchmal wird Betrug als Teil der Cyberkriminalität bezeichnet, ein anderes Mal als etwas, das damit zusammenhängt, aber davon getrennt ist. In jedem Fall gibt es keinen Zweifel daran, dass diese Verbindungen ein wichtiger Teil des Ausmaßes und des Erfolgs sind, den viele Betrüger heute erzielen. Eine Fülle von gestohlenen Daten steht zum Kauf bereit, um sie für Angriffe zu nutzen, und technisch orientierte Cyberkriminelle entwickeln Programme und Apps, mit denen sich Betrüger schnell und oft automatisiert online tarnen können. Grafikdesigner/innen, SEO-Expert/innen, Website-Entwickler/innen und viele mehr unterstützen Betrügereien mit gefälschten Websites, die Verbraucher/innen dazu bringen sollen, ihre Daten preiszugeben oder gefälschte Bestellungen aufzugeben. Wir werden in diesem Buch nicht auf die komplexe Welt der Cyberkriminalität im Allgemeinen eingehen, aber wir werden Aspekte des cyberkriminellen Ökosystems erwähnen, wenn sie relevant sind.

Betrugsangriffe haben sich auch in der Banken- und Fintech-Welt weiterentwickelt(Abbildung P-3). Schon sehr früh entwickelten Betrüger den Appetit auf höhere Gewinne. Angriffe auf einzelne Verbraucherinnen und Verbraucher gab es von Anfang an, aber Betrüger, die in der Lage waren, Malware-basierte Cyberangriffe durchzuführen, wurden schnell zu einer ernsthafteren Bedrohung. Social-Engineering-Taktiken konzentrierten sich auf BEC-Betrug (Business Email Compromise), bei dem ein Betrüger mit einer einzigen unbefugten Überweisung viel Geld verdienen konnte, wenn er Glück hatte und erfolgreich war. Im Laufe der Jahre bauten die Banken stärkere Abwehrmechanismen gegen die Angriffe der Anfangszeit auf, und viele Betrüger gingen dazu über, jüngere Fintech-Unternehmen ins Visier zu nehmen und/oder die Schwachstellen auf der Verbraucherseite der Banken auszunutzen. In jüngerer Zeit wurde Malware mit Social Engineering kombiniert, wie in Kapitel 14 beschrieben.

Abbildung P-3. Die Entwicklung der Angriffsmethoden von Betrügern und deren Raffinesse im Bankkontext

Natürlich ist auch die Online-Betrugsprävention immer raffinierter geworden. Früher wurde die Branche von Regelsystemen beherrscht, heute ergänzt maschinelles Lernen die meisten Systeme, um die Bemühungen eines Betrugssystems durch seine Schnelligkeit und Exzellenz beim Erkennen von Mustern zu unterstützen. Dadurch können mehr Entscheidungen schneller automatisiert werden. Verschiedene Anbieter von Datenanreicherung für viele Arten von Daten sind entstanden. Da einige von ihnen in den letzten Jahren von größeren Unternehmen übernommen wurden, wird es interessant sein zu sehen, wie sich dieser Bereich entwickelt.

Die Beziehung zwischen Betrügern und Betrugsbekämpfung wird oft als Wettrüsten beschrieben, bei dem jede Seite ständig versucht, neue Schwachstellen oder Werkzeuge zu schaffen oder aufzudecken, die ihr einen Vorteil verschaffen. Manchmal scheint die eine Seite die Oberhand zu haben, und manchmal die andere Seite. Es ist unwahrscheinlich, dass die Betrüger den Kampf aufgeben, solange es so viel Geld zu verdienen gibt, und die Betrugspräventionsteams können es sich nicht leisten, die Augen vor dem Spiel zu verschließen, da sie wissen, dass die Betrüger jede Schwäche ausnutzen werden.

Ein Vorteil, den Betrugsbekämpfungsteams entwickeln können, ist starke, kooperative Beziehungen, sowohl mit Betrugsbekämpfern in anderen Unternehmen als auch mit anderen Abteilungen im eigenen Unternehmen. Während der Arbeit an diesem Buch waren wir überrascht, wie oft das Thema Zusammenarbeit aufkam und in wie vielen verschiedenen Zusammenhängen. Die Zusammenarbeit mit Betrugsteams aus anderen Unternehmen oder anderen Abteilungen oder der Austausch von Ideen, neuen Trends und Tipps in Foren, an runden Tischen, in Berichten usw. war für viele Betrugsmanager der Schlüssel dazu, den Überblick über die Entwicklungen in der Branche zu behalten und sicherzustellen, dass ihre Teams nicht ins Hintertreffen geraten.

Ebenso kann der Aufbau enger, vertrauensvoller Beziehungen zu Abteilungen wie dem Kundensupport, dem Marketing, dem Vertrieb, der Rechtsabteilung und der Logistik/Beschaffung den Betrugspräventionsteams einen echten Vorteil verschaffen, wenn es darum geht, die Entwicklung von Betrugstrends zu erkennen und zu verhindern und Veränderungen im Geschäft oder im Marktansatz zu verstehen und sich darauf vorzubereiten. Die Aufklärung anderer Abteilungen und des oberen Managements über Betrugsprävention und die Herausforderungen, die der Spagat zwischen Reibung und Betrugsbekämpfung mit sich bringt, hilft den Betrugsbekämpfungsteams dabei, den Bedürfnissen des Unternehmens gerecht zu werden und sich innerhalb der Organisation angemessen zu positionieren. All dies verbessert die abteilungsübergreifende Zusammenarbeit und macht es wahrscheinlicher, dass die Betrugsteams das benötigte Budget und die Leistungskennzahlen (KPIs) erhalten, die sowohl für sie selbst als auch für das Unternehmen sinnvoll sind.

Wie man dieses Buch liest

Ohad Samet, Mitbegründer und CEO von TrueAccord und Autor von Introduction to Online Payments Risk Management (O'Reilly), nennt "fehlende Daten" als einen häufigen Grund dafür, dass bei der Betrugsanalyse das Verständnis dafür fehlt , "was vor sich geht". Er stellt klar, dass dies oft daran liegt, dass "die Pflege ereignisbasierter historischer Daten für diese Ingenieure nicht im Vordergrund steht" (auch hier ist es wichtig, andere Abteilungen und das Management zu informieren). Samet nennt als Beispiel die Point-in-Time-Analyse (d.h. die Möglichkeit, ein Vorhersagesystem nur mit Daten zu trainieren, die zum Zeitpunkt des Betrugsangriffs verfügbar waren, lange bevor der finanzielle Schaden offensichtlich wurde).

Die Autoren dieses Buches stimmen mit Samet darin überein, dass "Datenmangel" katastrophal sein kann, aber nicht nur, weil er sich negativ auf die Qualität deiner Trainingsdaten auswirkt. Wir sehen den Drang, in ereignisbasierten historischen Daten zu graben, als den Schlüssel zu einer erfolgreichen Betrugsprävention. Unser Credo ist die Leidenschaft für die Ursachenanalyse mit dem Schwerpunkt auf Verhaltensanalysen und "Storytelling"-Forschungsmethoden.

Deshalb möchten wir dich ermutigen, dieses Buch mit der Neugierde eines Datensüchtigen zu lesen. Wie Alice im Wunderland sollten die historischen Daten deines Unternehmens ein Kaninchenbau sein, in den du gerne hineinspringst, dich immer neugieriger fühlst und andere in deinem Unternehmen dazu bringst, mitzufahren. Wir glauben, dass robuste Lösungen zur Betrugsprävention vor allem von Forschern entwickelt werden, die den Betrug aus der Perspektive des Angreifers und des Opfers erklären können. Um zu lernen, wie man das macht, sollte man auf jeden Fall einen weiten Horizont und eine gesunde Portion Neugier mitbringen (manchmal muss man wie ein Betrüger denken, um einen Betrüger zu fangen), was die schockierend große Bandbreite an manipulativen Machenschaften angeht, die es gibt. Open-Source-Forscherinnen und -Forscher können einige dieser Erkenntnisse durch Web-Recherche (einschließlich des Deep Web und des Dark Web) gewinnen, aber wir glauben, dass ein guter Analytiker viel aus der Kombination seiner Vorstellungskraft und seiner Daten lernen kann(Abbildung P-4).

Abbildung P-4. Aufschlüsselung der verschiedenen Teile des Internets (links); die ständig neugierige Alice (rechts)⁸

In diesem Buch wirst du keine Checkliste mit Schritten finden, die du unternehmen kannst, um Betrug zu verhindern. Jedes Unternehmen und jede Branche ist anders und hat andere Prioritäten, Bedürfnisse und Strukturen. Bei der Betrugsprävention müssen alle diese Faktoren berücksichtigt werden. Außerdem haben wir versucht, nicht zu spezifisch auf bestimmte Tricks einzugehen, mit denen man Betrüger fangen kann, denn wir wissen genau, dass dieses Buch sonst innerhalb eines Monats zu einem Favoriten in Betrügerforen werden würde und die Tricks bald nutzlos wären. Stattdessen haben wir versucht, Konzepte und bewährte Methoden vorzustellen, die in verschiedenen Situationen hilfreich sind. Außerdem haben wir versucht, Vorschläge zu machen, die sich auf die Art der Herausforderung beziehen und nicht auf solche, die sich austricksen und umgehen lassen.

Ein technischer Hinweis: Wir haben alle Abfragebeispiele in SQL geschrieben, aber sie können bei Bedarf leicht in PostgreSQL übersetzt werden. Natürlich musst du die Abfragen an die spezifischen Tabellen der Datenbank anpassen, mit der du arbeitest (ersetze z. B. die allgemeine hypothetische Tabelle KUNDEN durch den Namen der Tabelle, die die relevanten Daten für deinen Anwendungsfall enthält). Wir haben versucht, die Abfragen in diesem Buch so zu gestalten, dass sie sich leicht an die Gegebenheiten und die bevorzugten Technologien deines Unternehmens anpassen lassen. Wir mögen zum Beispiel DataGrip und MySQL Workbench für die Arbeit mit SQL und Jupyter Notebook für die Arbeit mit Python, aber was auch immer dein Unternehmen oder dein Team bevorzugt, wird genauso gut funktionieren, wenn es darum geht, die Vorschläge in diesem Buch zu nutzen.

Wir haben viele der Kapitel nach Angriffsarten geordnet, unter den Branchen, für die sie am relevantesten sind. So haben wir zum Beispiel das Kapitel über gestohlene Kreditkarten in den Teil des Buches aufgenommen, der sich mit E-Commerce befasst, obwohl gestohlene Kreditkarten viele andere Elemente des kriminellen Ökosystems im Internet berühren und Teil vieler anderer Angriffsmethoden sind. Ähnlich verhält es sich mit dem Kapitel über Kontoübernahmen in dem Teil des Buches, der sich mit dem Bankwesen befasst.

Unsere Hauptmotivation für diese Struktur ist, dass Betrugsanalysten, die sich auf eine bestimmte Branche spezialisiert haben, die für sie wichtigsten Kapitel leicht finden können. Wir empfehlen dir jedoch, dir die Abschnitte in jedem Kapitel des Buches anzusehen, um herauszufinden, welche Teile von Interesse sein könnten, auch wenn sie nicht in dem Teil des Buches enthalten sind, der sich auf deine Branche bezieht. Wir haben unser Bestes getan, um sicherzustellen, dass sich die Beispiele zwar auf die Branche beziehen, in der das Kapitel angesiedelt ist, die Diskussionen, Vorschläge und Abhilfemaßnahmen aber branchenübergreifend relevant sind.

In diesem Sinne haben wir verschiedene Datenpunkte oder Präventionstaktiken im Zusammenhang mit dem Problem erörtert, zu dessen Lösung sie normalerweise eingesetzt werden. So werden zum Beispiel die Analyse physischer Adressen und die Erkennung von Versendern im Kapitel über Adressmanipulationen behandelt, während die Analyse von Logins und die Erkennung von Inkonsistenzen im Kapitel über Kontoübernahmen behandelt werden. Ursprünglich hatten wir überlegt, die Elemente "Angriff" und "Verteidigung" getrennt zu behandeln - so dass zum Beispiel die Adressmanipulation und die Analyse der physischen Adresse jeweils ein eigenes Kapitel bekommen hätten -, aber wir waren der Meinung, dass die Zusammenlegung der Elemente einen viel reichhaltigeren Kontext für jeden Teil ergibt und den Kontext viel näher an dem hält, womit Betrugsbekämpfungsteams täglich arbeiten.

Aus Gründen der Übersichtlichkeit untersuchen wir in jedem Kapitel einen Datenpunkt separat und schlüsseln ihn so auf, wie wir hoffen, dass er am hilfreichsten ist. Wenn du dieses Wissen und die vorgeschlagenen Techniken bei der Analyse von Benutzeraktionen und -profilen anwendest, setzt du alles, was du über die einzelnen Datenpunkte erfährst, zu einer Geschichte zusammen - oft zwei Geschichten nebeneinander: die legitime und die betrügerische Geschichte. Letztendlich entscheidest du, welche plausibler ist.

Der Kontext ist hier absolut entscheidend. Angenommen, du hast die IP-Adresse analysiert und einen Proxy gefunden, und die E-Mail-Adresse enthält viele Zahlen. Vielleicht ist die Lieferadresse die eines bekannten Reshippers. Das ist ein klarer Fall von Betrug. Aber was ist, wenn es sich bei den Nummern um solche handelt, die in China als Glücksbringer gelten, und der Versender ein Wiederverkäufer ist, der nach China liefert? Dann macht der Proxy Sinn - es handelt sich um eine sehr legitime Geschichte.

Wir hoffen, dass die Analyse der Datenpunkte ein integraler Bestandteil der Diskussion über die Betrugsarten ist und nicht in einen separaten Abschnitt abgespalten wird, damit wir immer wieder daran erinnert werden, dass diese Datenpunkte im Zusammenhang mit den anderen beteiligten Datenpunkten, dem Unternehmen, der Branche und natürlich der Art des Betrugsangriffs gesehen werden müssen.

Tabelle P-1 ist ein Leitfaden ( ), der zeigt, welche Datenpunkte analysiert und welche Taktiken in den einzelnen Kapiteln besprochen werden. Du kannst gerne die Teile der Kapitel überfliegen oder überspringen, in denen die für dich interessantesten Abhilfemaßnahmen behandelt werden. Wir empfehlen jedoch, dass jeder von euch zuerst die Kapitel 1 bis 5 liest, unabhängig von eurer Branche.

Wer sollte dieses Buch lesen?

In erster Linie Betrugsanalysten! Als wir dieses Buch schrieben, hatten wir vor allem die klugen, engagierten und kreativen Leute im Blick, die in ihren Unternehmen den Kampf gegen Betrug führen und in einigen Fällen auch die Betrugsbekämpfung leiten. Wir hoffen, dass der breitere Kontext, der in diesem Buch dargestellt wird, dir hilft, deine eigene Arbeit in dem Zusammenhang zu sehen, in den sie gehört. Wir hoffen auch, dass die Struktur und der Rahmen, den wir für die verschiedenen Arten von Betrügern, Angriffsmethoden sowie Identifizierungs- und Eindämmungsmaßnahmen bieten, dir helfen, die Dinge in deinem eigenen Kopf klarer zu sehen - was eine Herausforderung sein kann, wenn du dich immer darauf konzentrierst, sicherzustellen, dass die Rückbuchungen niedrig und die Genehmigungsraten hoch bleiben. Wir hoffen, dass dieses Buch, wie es auf dem Umschlag steht, praktisch und nützlich ist. Und wir hoffen, dass es dich daran erinnert, dass du bei allen Herausforderungen unserer Zeit nie allein bist. Du bist Teil einer Gemeinschaft von leidenschaftlichen Betrugsbekämpfern, die genauso wie du Betrug aufdecken, ihre Unternehmen schützen und die Dinge richtig machen wollen.

Wir hoffen, dass dieses Buch auch für die Ausbildung neuer Betrugsanalytiker wertvoll sein wird, indem es sie in das Feld einführt und ihnen praktische Tipps und sogar Code zum Ausführen gibt. Ein umfassenderes Verständnis von Online-Betrug in verschiedenen Kontexten und mit verschiedenen Angriffsmethoden wird neuen Analysten bei der Bewältigung ihrer neuen Aufgaben unermesslich helfen.

Diejenigen, mit denen du regelmäßig zusammenarbeitest, z. B. Softwareentwickler/innen oder Datenwissenschaftler/innen, die zwar ein gewisses Verständnis von Betrugsbekämpfung haben, aber nicht wie dein eigenes Team mit der Betrugsbekämpfung vertraut sind, werden dieses Buch ebenfalls interessant und nützlich finden, da es ihnen wertvolle zusätzliche Informationen für eure gemeinsame Arbeit liefert. Wir hoffen, es macht eure Partnerschaft stärker, reibungsloser und noch erfolgreicher.

Außerdem hoffen wir, dass du dieses Buch hilfreich findest, um anderen in deinem Unternehmen, die keine Erfahrung mit Betrug haben, die Schlüsselkonzepte von und Betrugsprävention vorzustellen. Wie wir in diesem Buch immer wieder betonen, sind sowohl die Zusammenarbeit mit anderen Abteilungen als auch die angemessene Darstellung der Betrugspräventionsbemühungen gegenüber der oberen Führungsebene entscheidend für den Erfolg einer Betrugspräventionsabteilung.

Der Kontext, in dem Betrugsanalytiker/innen arbeiten, ist, ehrlich gesagt, cool - auch wenn die meisten Betrugsbekämpfer/innen das nicht erkennen oder jeden Tag darüber nachdenken. Du kämpfst gegen Cyberkriminelle, die mit einer Reihe von ausgeklügelten Techniken versuchen, dich auszutricksen und das Unternehmen zu bestehlen. Wenn die anderen in deinem Unternehmen dies und einige der Zusammenhänge verstehen, werden sie sich viel mehr für deine Arbeit interessieren und dir dabei helfen wollen.

Es ist wichtig anzumerken, dass dieses Buch im Allgemeinen die Perspektive eines Betrugspräventionsprofis oder -teams widerspiegelt und anspricht, und auch eines AML-Profis oder -Teams in dem Sinne, dass AML Muster aufspürt, Anomalien aufdeckt und Maßnahmen zu deren Verhinderung ergreift. Die auf die Einhaltung von Vorschriften ausgerichtete Seite von AML, also die Perspektive von Datenwissenschaftlern, Compliance-Experten oder Finanzanalysten, wird hier nicht berücksichtigt. Es gibt andere Bücher, die sich auf diese Bereiche konzentrieren und darauf abzielen, die Experten in diesen Bereichen anzusprechen und zu unterstützen.

Es war uns wichtig, uns auf die Betrugsprävention zu konzentrieren, denn die Betrugsbekämpfungsbranche ist in gewisser Weise unterversorgt, was die Bildungsmöglichkeiten angeht. Es gibt zahlreiche exzellente Hochschulkurse und Zertifizierungen (und sogar YouTube-Videos), die Einzelpersonen nutzen können, um ihr Verständnis von Data Science zu vertiefen und sich in deren Anwendung zu qualifizieren. Die ACFE bietet verschiedene Kurse an, in denen sich die Teilnehmer/innen zu Certified Fraud Examiners ausbilden lassen können, um Unternehmen bei der Bekämpfung von Geldwäsche, Insiderbetrug, Finanzbetrug usw. zu helfen. Es gibt jedoch keine vergleichbare Organisation, keinen Kurs und keine Materialien, die Betrugsanalytikern dabei helfen, die Betrugsprävention im E-Commerce, auf Online-Marktplätzen oder in der Finanztechnologie zu erlernen und auf dem neuesten Stand zu bleiben. (Der Merchant Risk Council arbeitet jedoch an Schulungsmaterialien und Tests für junge Betrugsanalysten, also behalte das im Auge!)

Es gibt einen Vorteil, den Betrugsbekämpfer haben, der diesen Mangel bis zu einem gewissen Grad ausgleicht. Die Betrugsbekämpfung als Branche hat den besonderen Vorteil, dass ihre Fachleute ungewöhnlich bereit sind, zusammenzuarbeiten und Erfahrungen, Tipps und sogar Daten miteinander zu teilen. Dies geschieht auf Konferenzen, in Foren und an runden Tischen. So wie Betrüger zusammenarbeiten, indem sie Informationen über die Schwachstellen von Websites und wie diese ausgenutzt werden können austauschen und manchmal gemeinsame Angriffe planen, so arbeiten auch Betrugsbekämpfer zusammen, um ihren gemeinsamen Feind zu bekämpfen. Wie Karisse Hendrick, Gründerin und Hauptberaterin von Chargelytics Consulting und Gastgeberin des beliebten Fraudology-Podcasts, sagt, ist dies wirklich eine "Superkraft", und Betrugsbekämpfer/innen, die sich diesen Gemeinschaftsgeist zunutze machen und Beziehungen innerhalb der Branche pflegen, können einen großen Vorteil bei der Betrugsbekämpfung haben.

Dieses Streben nach Zusammenarbeit ist in gewisser Weise nur logisch, denn es erweitert das Verständnis und die Effektivität der Betrugsbekämpfer und trägt dazu bei, das Ausmaß, in dem Kriminelle oft zusammenarbeiten, um Unternehmen zu betrügen, auszugleichen. Es spiegelt auch das Streben nach Gerechtigkeit wider, das viele der Betrugspräventionsexperten, die wir in diesem Buch zitieren, für ihre Arbeit und die ihres Teams empfinden. Carmen Honacker, Leiterin der Abteilung für Kunden- und Zahlungsbetrug bei Booking.com, erzählt auf unterhaltsame Weise, wie ihre Kartendaten gestohlen wurden und die Bank sie anrief, um sie über die verdächtigen Aktivitäten zu informieren. Mit ihren Kenntnissen in der Betrugsprävention hat sie die Diebe aufgespürt und dann die Polizei geschickt, um sie festzunehmen. Die Bankmanager waren erstaunt und beeindruckt, als sie es ihnen erzählte. Betrugsbekämpfer können das nicht bei jedem verdächtigen Fall schaffen, aber der Drang nach Gerechtigkeit ist in der Branche definitiv groß.

Fachwissen ist ein hart erkämpftes Wissen für Betrugsbekämpfer. Das liegt zum Teil daran, dass es keine Kurse und Zertifizierungen gibt, aber auch daran, dass es aus der Sicht der Daten einfach nicht so viele Betrüger gibt. Es ist eine winzige Minderheit von Nutzern, die einen enormen Einfluss hat. Du kannst das Problem nicht nur mit Daten oder Maschinen bekämpfen (obwohl wir im Buch darauf eingehen werden, dass Daten und maschinelles Lernen sehr hilfreich sein können). Du musst einfach eine Menge darüber wissen, wie Betrüger arbeiten und wie dein Unternehmen funktioniert. Das erfordert Zeit, Forschung und ständige Bemühungen; die Sichtweise eines Experten für Betrugsprävention muss sich mit dem Verhalten der Verbraucher, der Betrüger und den Prioritäten des Unternehmens weiterentwickeln.

Wir hoffen aufrichtig, dass dieses Buch dazu beiträgt, diese Informationslücke in der Betrugsbekämpfungsbranche ein wenig zu schließen. Egal, ob du am Anfang deiner Karriere stehst und einen Überblick suchst oder ob du ein Experte mit jahrzehntelanger Erfahrung bist, der sich mit verschiedenen Themen oder Mustern auseinandersetzen, einen Rahmen für sein gesammeltes Wissen schaffen oder nach neuen Wegen zur Bekämpfung von Herausforderungen suchen möchte - wir hoffen, dass dir dieses Buch gefällt und du es hilfreich findest. Und wir wünschen dir alles Gute im ständigen Kampf gegen die Kriminalität, der den Berufsstand der Betrugsbekämpfung auszeichnet.

In diesem Buch verwendete Konventionen

In diesem Buch werden die folgenden typografischen Konventionen verwendet:

Kursiv

Weist auf neue Begriffe, URLs, E-Mail-Adressen, Dateinamen und Dateierweiterungen hin.

Constant width

Wird für Programmlistings sowie innerhalb von Absätzen verwendet, um auf Programmelemente wie Variablen- oder Funktionsnamen, Datenbanken, Datentypen, Umgebungsvariablen, Anweisungen und Schlüsselwörter hinzuweisen.

Constant width bold

Zeigt Befehle oder anderen Text an, der vom Benutzer wortwörtlich eingetippt werden sollte.

O'Reilly Online Learning

Unser einzigartiges Netzwerk von Experten und Innovatoren teilt sein Wissen und seine Erfahrung durch Bücher, Artikel und unsere Online-Lernplattform. Die Online-Lernplattform von O'Reilly bietet dir On-Demand-Zugang zu Live-Trainingskursen, ausführlichen Lernpfaden, interaktiven Programmierumgebungen und einer umfangreichen Text- und Videosammlung von O'Reilly und über 200 anderen Verlagen. Weitere Informationen erhältst du unter https://oreilly.com.

Wie du uns kontaktierst

Bitte richte Kommentare und Fragen zu diesem Buch an den Verlag:

• O'Reilly Media, Inc.
• 1005 Gravenstein Highway Nord
• Sebastopol, CA 95472
• 800-998-9938 (in den Vereinigten Staaten oder Kanada)
• 707-829-0515 (international oder lokal)
• 707-829-0104 (Fax)

Wir haben eine Webseite für dieses Buch, auf der wir Errata, Beispiele und zusätzliche Informationen auflisten. Du kannst diese Seite unter https://oreil.ly/practical-fraud-prevention aufrufen .

Schreib eine E-Mail an bookquestions@oreilly.com, um Kommentare oder technische Fragen zu diesem Buch zu stellen.

Neuigkeiten und Informationen über unsere Bücher und Kurse findest du unter https://oreilly.com.

Finde uns auf Facebook: https://facebook.com/oreilly

Folge uns auf Twitter: https://twitter.com/oreillymedia

Schau uns auf YouTube: https://youtube.com/oreillymedia

Danksagungen

Wir haben während der Arbeit an diesem Buch so viel Unterstützung von vielen tollen Menschen erhalten. Vielen Dank an alle, die uns geholfen haben, dieses Buch zu verwirklichen! Ein besonders großes Dankeschön möchten wir den folgenden Personen aussprechen.

Unser größter Dank gilt der Königin der Zusammenarbeit, Karisse Hendrick, die uns ursprünglich für dieses Projekt vorgeschlagen hat, als die O'Reilly-Redakteure beschlossen, dass sie ein Buch über Betrugsprävention haben wollten, und die uns immer wieder ermutigt hat. Wir sind ihr zu Dank verpflichtet für ihren Enthusiasmus, ihre Bereitschaft, ihre Erfahrungen zu teilen, und ihre Überzeugung, dass wir alle Themen, die wir behandeln wollten, in einem einzigen Buch abdecken können. (Wie es scheint, hatte sie recht.)

Wir möchten uns auch bei unseren wunderbaren technischen Experten und Gutachtern bedanken: Alon Shemesh, Ben Russell, Brett Holleman (dessen exzellente technische Überprüfung durch seine zusätzlichen und sehr relevanten Anekdoten ergänzt wurde), Gil Rosenthal, Ken Palla, Mike Haley, Netanel Kabala, Jack Smith und Yanrong Wang. Sie halfen uns, unsere Erklärungen zu verfeinern und zu verdeutlichen, wiesen uns auf Dinge hin, die noch hinzugefügt werden sollten, und stellten sicher, dass unser Inhalt mit den Trends übereinstimmt, die sie bei ihrer Arbeit zur Betrugsbekämpfung beobachtet hatten. Alle verbleibenden Fehler sind natürlich unsere eigenen.

Dieses Buch wäre nicht möglich gewesen ohne die Gespräche und Interviews, die wir mit einer Reihe von Experten aus dem Bereich der Betrugsbekämpfung führen durften, die so großzügig ihre Zeit, ihre Erfahrung und ihren Rat geteilt haben. Unser Dank geht an Aamir Ali, Arielle Caron, Ben Russell, Carmen Honacker, Dave Laramy, Elena Michaeli, Gali Ellenblum, Gil Rosenthal, Professor Itzhak Ben Israel, Jordan Harris, Julia Zuno, Julie Fergerson, Ken Palla, Keren Aviasaf, Limor Kessem, Maximilian von Both, May Michelson, Maya Har-Noy, Mike Haley, Nate Kugland, Nikki Baumann, Noam Naveh, Ohad Samet, Rahav Shalom Revivo, Raj Khare, Sam Beck, Soups Ranjan, Tal Yeshanov, Uri Lapidot, Uri Rivner, und Zach Moshe; Arik Nagornov, Yuval Rubin, Lia Bader und Lisa Toledano von DoubleVerify, auf deren Forschung wir in Kapitel 23 eingehen, sowie Uri Arad und Alon Shemesh, ohne deren jahrelange Unterstützung und Anleitung wir dieses Buch gar nicht erst hätten schreiben können.

Wir sind DoubleVerify und Identiq dankbar, dass sie uns nicht nur die Möglichkeit gegeben haben, das Buch zu schreiben, sondern auch unsere Bemühungen aktiv unterstützt haben.

Wir möchten uns bei dem fantastischen Team von O'Reilly bedanken, insbesondere bei unseren Redakteuren Corbin Collins, Kate Galloway und Audrey Doyle, die all die kleinen Fehler und Lücken entdeckt und ausgebessert haben, die wir selbst nie bemerkt hätten.

Besonders dankbar sind wir unseren Ehepartnern Ori Saporta und Ben Maraney, die durch dieses Buch mehr über Betrugsbekämpfung gelernt haben, als sie erwartet hatten. Ohne ihre Ermutigung, Geduld und Unterstützung wäre dieses Buch nicht zustande gekommen - oder zumindest wäre es nicht von uns geschrieben worden.