Hoe beschermt de bank je tegen oplichters?

De Formule Via internet kan je overal ter wereld betalingen doen. Dat maakt fraude opsporen moeilijker.

Illustratie Midas van Son

Alsof de duvel ermee speelde: in één maand werden mijn beide creditcards geblokkeerd. Van de een was het nummer in een ‘verdachte lijst’ aangetroffen: Mastercard tipte de Rabobank, die preventief de kaart blokkeerde. De andere pas werd geblokkeerd omdat iemand in Zweden zich te buiten ging aan damesmode en gebak.

Omdat we via internet overal ter wereld betalingen kunnen doen, is opsporen van fraude er niet makkelijker op geworden. Je kunt natuurlijk zelf je opname-limiet beperken of betalingen naar het buitenland bij voorbaat blokkeren. Maar wat doet de bank om te voorkomen dat je rekening geplunderd wordt, zonder jou om de haverklap te blokkeren?

Gedetailleerde profielen

Banken houden gedetailleerde profielen bij van hun klanten. Daarin staat je recente betaalgedrag, de plekken waar je inlogt, met welke apparaten en browsers je dat doet, je maandelijkse bestedingspatronen en terugkerende rekeningnummers. Het zijn geen echte dossiers maar geautomatiseerde processen; profiling uitgevoerd door algoritmes.

Om normaal betaalgedrag vast te stellen kijken de algoritmes steeds dieper in het verleden. Dataopslag kost amper iets en meer data hebben maakt risico’s beter in te schatten. Bij welke mate van afwijking ze alarm slaan, daar blijven financiële instellingen vaag over – ze willen criminelen niet wijzer maken dan ze al zijn.

Doe jij elke maand boodschappen in New York, dan leert het algoritme dat dat normaal is. Koop je er nooit iets, en dan opeens een dure bontjas, dan is de kans groot dat de creditcardmaatschappij of bank opbelt om te kijken of jij het zelf bent. Liever eerst een telefoontje dan meteen blokkeren: false positives irriteren de klant. Zeker in het buitenland is het vervelend als je kaart niet werkt.

De totale risicoscore is een optelsom van de algoritmes die financiële instellingen zelf gebruiken, aangevuld met externe bronnen. Banken wegen mee of je bij het Bureau Kredietregistratie vermeld staat; die klanten worden extra in de gaten gehouden. Een expert: „Het zijn kleine puzzelstukjes die aan elkaar geknoopt worden – zelden is één factor doorslaggevend.”

Wat is een algoritme eigenlijk? In deze animatie leggen we het uit.

Op de zwarte lijst

Sommige risico’s liggen voor de hand: onverwacht grote bedragen of een overboeking naar Nigeria of Rusland. Als op grote schaal identieke bedragen worden overgemaakt, bijvoorbeeld met een omschrijving als ‘Microsoft’, is dat verdacht. Het zou wel eens een oplichter kunnen zijn die zich voordoet als iemand van de Microsoft-helpdesk.

Fraudedetectiesystemen gebruiken lijsten met verdachte winkels, landen en adressen. Dat zijn blacklists (altijd fout), whitelists (altijd goed) en greylists (waarschijnlijk fout, maar nog geen reden voor een blokkade). Per klant of kaartnummer kan ook een drempelwaarde ingesteld worden. Bijvoorbeeld: per dag maximaal twee betalingen vanaf die kaart, met een maximum van 250 euro. Postcodes en steden hebben ook elk hun eigen risicoscore (hoog, laag of gemiddeld).

Bij creditcards worden nummers gestolen, bij internetbankieren gaat het om kwaadaardige software of phishing mails (verzonnen rekeningen of nepmails van de bank) waarmee een oplichter je inloggegevens probeert los te peuteren. Fox-IT controleert betaalverkeer voor grote financiële instellingen. „Uw tegenstanders merken niet dat ze opgemerkt worden” staat op de site. De software houdt 100 miljoen ‘risico events’ per dag in de gaten, voor meer dan 30 miljoen rekeninghouders.

Sommige kwaadaardige software voert automatisch transacties uit, zonder dat het slachtoffer daar iets van merkt. „Onze algoritmes herkennen of een computer of een mens inlogt bij de bank”, legt fraudeanalist Erik Biemans van Fox-IT uit. „Klikpatroon en pageflow zijn heel anders.” Vaak wordt een extra webpagina vertoond om gebruikers die „geen menselijk gedrag vertonen” te laten bewijzen dat ze geen robots zijn.

Fox-IT vergelijkt ook betalingen met elkaar. Zo pakken ze katvangers, mensen die bankrekeningen beheren om een crimineel buiten schot te houden. Er is een zwarte lijst van katvangers, die de banken samen bijhouden.

Liever eerst een telefoontje dan meteen blokkeren: false positives irriteren de klant

Op een A4’tje

„Vroeger waren mensen met een liniaaltje op een A4’tje al die data met elkaar aan het matchen”, herinnert Arjan Bol zich, country-manager Nederland van Mastercard. Tegenwoordig verwerkt detectiesoftware transacties in realtime en ziet snel nieuwe patronen. Mastercard geeft de risicoscores door aan de banken. De fraudepreventietools van de creditcardmaatschappijen slaan alarm als dezelfde kaart in Amsterdam en in New York in één minuut wordt gebruikt. Arjan Bol. „Dat je niet tegelijk in New York en Amsterdam kunt zijn is een no-brainer, maar met internet zijn er veel meer grijze gebieden bijgekomen. Als we alles wat ook 1 procent verdacht is zouden weigeren, worden onze klanten niet blij.”

Een beetje fraude hoort er dus bij. Met de nadruk op een beetje. Vandaar dat webwinkeliers eigen risico-instellingen hanteren bij een online betaling: voor een online game is 0,7 procent fraude misschien acceptabel, voor een dure laptop is zo’n risico veel te hoog.

Hoe algoritmes ons dagelijks leven bepalen

Ons leven wordt bestuurd door algoritmes, regeltjes achter de schermen. Deze wiskundige formules, gevoed door grote hoeveelheden data, sturen onze selectie van nieuws, entertainment en aankopen, vissen automatisch dieven en verdachten uit de massa. Lees de inleiding: Hoe algoritmes ons dagelijks leven sturen ›

Vervoer

Techbedrijven zijn dol op locatiedata en bewegings­gegevens, hoe gedetailleerder hoe beter. Zo ‘ziet’ Google hoe lang mensen op zoek zijn naar een parkeerplaats en leert Apple van je iPhone waar je werkt. Je kunt bewijzen dat je veilig rijdt en erop vertrouwen dat je om de file geleid wordt, of de snelste liftcabine voorgeschoteld krijgt. Maar welke algoritmes bepalen wat veilig is of wie er voorrang krijgt in de de file of in lift?

Lees ook:

  1. Hoe omzeilt TomTom de files?

  2. Hoe bepaalt de verzekeraar hoe veilig jij rijdt?

  3. Hoe bepaalt de lift wie voorrang krijgt?

  4. Hoe weet Google hoe lang je moet wachten?

Media

Kun je smaak in statistiek vatten? De grote streaming-diensten doen niet anders. Ze proberen een breed publiek inhoud op maat aan te bieden met behulp van algoritmes. Spotify en Netflix doen het door mensen met dezelfde voorkeuren te clusteren. Nieuwsdienst Blendle probeert er juist voor te zorgen dat je andere dingen ziet dan je zou verwachten. Apple laat personificatie grotendeels achterwege: Apple News is gebaseerd op locatie, niet of nauwelijks op je klikgedrag.

Lees ook:

  1. Hoe weet Netflix welke serie je wilt zien?

  2. Hoe weet Blendle wat jij wilt lezen?

  3. Hoe stelt Apple jouw nieuws samen?

  4. Waarom is dit het volgende liedje dat Spotify je laat horen?

Shoppen

Amazon is de webwinkel die groot werd met het doen van aanbevelingen op basis van wat anderen kochten. Wat zijn de trucs waarmee online winkels en reisbureaus je tot een aankoop verlokken? Achter de schermen wordt consumentengedrag in datapatronen gegoten, om beter in te schatten wat je wilt of hoe je te beïnvloeden bent. Ieder mens is uniek, maar bij elkaar zijn we toch redelijk voorspelbaar.

Lees ook:

  1. Hoe verleidt Booking.com je snel een hotelkamer te boeken?

  2. Hoe weet Bol.com wat je wilt kopen?

  3. Retargeting: hoe lang blijven mijn schoenen me achtervolgen?

  4. Hoe Facebook advertenties héél precies op maat maakt

Fraude

Algoritmes zijn bij uitstek geschikt om conclusies te trekken uit grote hoeveelheden data. Daardoor kunnen ze sneller ‘verdachte’ elementen opsporen, of het nou gaat om betalingsverkeer, uitkeringsgerechtigden of winkeldiefstal. De regels voor wat nou eigenlijk verdacht gedrag is, worden echter wel door mensen bepaald.

Lees ook:

  1. Hoe beschermt de bank je tegen oplichters?

  2. Hoe controleert de gemeente of jij fraudeert?

  3. Hoe bepaalt de zelfscankassa welke klanten gecontroleerd worden?

Naar aanleiding van deze productie organiseerde NRC op donderdag 12 april een avond in Pakhuis de Zwijger in Amsterdam. Terugkijken kan hier.

Redactie Marc Hijink en Eva de Valk, animatie Midas van Son, Harrison van der Vliet en Elze van Driel, illustraties Midas van Son, vorm Koen Smeets.

    • Marc Hijink