Schutz vor betrügerischen Bestellungen

Wie eigentlich jeder Onlineshop haben auch wir als Webhoster immer wieder mit betrügerischen Bestellungen zu kämpfen. Hier muss man allerdings zwischen Bot-Bestellungen und Bestellungen von Personen mit betrügerischen Absichten Unterscheiden.
Ich möchte an dieser Stelle gerne ein paar Tipps und Ratschläge sammeln wie man sich vor solchen Bestellungen am besten schützen kann.

• Jede Bestellung manuell prüfen - Automatische Freischaltungen sind für den Kunden zwar super, allerdings hat man hier oft das Problem das dieses ausgenutzt wird. Nutzt man z.B. einen Paymentanbieter welcher euch das Einziehen von Lastschriften ermöglicht und man Bestellungen dann automatisch freischalten lässt geht Ihr bei Bestellungen von Domains und SSL Zertifikaten ersteinmal in Vorkasse. Hier kann es leider immer mal wieder passieren das die Kontodaten der Lastschrift gestohlen waren und der Eigentümer die Lastschrift widerruft. Die Wahrscheinlichkeit das Geld zurück zubekommen ist leider gering. Das selbe Risiko habt Ihr auch bei Bestellungen mit Kreditkarten. Bei der manuellen Prüdung von Bestellungen gibt es allerdings kein Patentrezept, hier könnt Ihr eigentlich nur prüfen ob es die Adresse wirklich gibt und vielleicht ins Telefonbuch schauen.
• Die Nutzung von Maxmind - Maxmind ist ein Dienst bei dem die IP Adresse überprüft wird. Befindet sich diese auf einer Sperrliste kann derjenige keine Bestellung aufgeben. Je nach Konfiguration kann man auch Bestellungen via VPN blockieren oder Bestellungen blockieren wo die Distanz zwischen IP Adresse und eingegebener Adresse zu groß ist. Maxmind ist bereits als Modul in WHMCS integriert, die Abfragen sind allerdings kostenpflichtig (5$/1,000 queries)
• Das E-Mail Verifizierungs Plugin von HTB - Mit diesem Plugin bekommt der Neukunde erst eine E-Mail mit einem Verifizierungscode zugeschickt welchen er auf der Webseite eingeben muss. Man hat die Möglichkeit dem Kunden einen Link oder einen reinen Textcode zuschicken zu lassen. Ich würde den Code empfehlen da Bots Links leichter anklicken können als den Code aus einer Mail zu lesen und im richtigen Formular einzugeben. E-Mail Verifizierung
• Sperren von Wegwerf-E-Mailadressen - Es gibt mitlerweile Dienste bei denen man sich temporäre E-Mail Adressen erzeugen kann. Diese Adressen sind meistens nur wenige MInuten lang gültig. Bei Wegwerf-Email-Adressen - Anbieter-Listen bei mogelmail.de gibt es eine sehr schöne Liste. Da WHMCS leider keine import Funkton hierfür hat muss man die Domains selbst eingeben. Die Funktion E-Mail Domains zu sperren ist bei WHMCS übrigends integriert. (vielen Dank an Joker für den Hinweis)

Wenn Ihr ein paar Tipps oder Ratschläge habt, immer her damit!

Vielen dank für den Beitrag, ich füge deine beiden Hinweise mal oben mit ein damit man eine Liste hat.

Die Auflistung der Wegwerfadressen habe ich auch erst gestern im Forum der Webhostlist (in einem Provider only Beitrag wo es hauptsächlich um einen möglichen Mitbewerber im Hosting geht, welcher in einem anderen WMCS Forum sehr aktiv ist) gefunden. Super Liste, es sind zwar ein paar Leichen dabei (ich habe jeden Eintrag geprüft od die Domain noch existiert) aber sie hilft einem bestimmt sehr weiter.

Btw: Ich habe gerade mal einen Feature Request bei HTB abgegeben, das Sie mal schauen sollen ob es möglich ist das das E-Mail Verifizierungsmodul auf die Sperrliste zugreifen kann.

Edit: Gerade habe ich die Mitteilung bekommen das mein Feature Request angenommen wurde und vorraussichtlich in Version 3.0 enthalten sein wird.