Kardieren

Wichtige Erkenntnisse

• Beim Carding werden gestohlene Kartendaten verwendet, um Geschenkkarten des Geschäfts zu kaufen.
• Betrüger zielen oft auf Guthaben von Prepaid-Karten ab, um anonym zu bleiben.
• Carding kann für Verbraucher zu erheblichen finanziellen Verlusten führen.
• Opfer können nicht autorisierte Belastungen auf ihren Kontoauszügen finden.
• Investopedia / Tara Anand

Was ist Carding?

Carding ist eine Form des Betrugs, bei der gestohlene Kredit- oder Debitkarteninformationen verwendet werden, um Prepaid-Geschenkkarten der Geschäfte zu kaufen, die Bargeld entsprechen.

Die gestohlenen Informationen oder die Geschenkkarten können an andere verkauft werden, um Waren zu kaufen. Kredit- und Debitkartendiebe, die an dieser Art von Betrug beteiligt sind, werden als Carder bezeichnet.1

Die Mechanik des Carding verstehen

Carding stützt sich auf illegal erlangte gestohlene Zahlungskarteninformationen oder auf persönliche Daten von Bankkonten, um nicht autorisierte Käufe zu tätigen, oft bevor der Diebstahl entdeckt wird. Aufsichtsbehörden und Banken suchen nach ungewöhnlichen Transaktionsmustern und arbeiten daran, weitere Missbrauchsfälle zu stoppen, anstatt sich darauf zu konzentrieren, wie die Daten gestohlen wurden.

Wichtig

Laut dem Consumer Financial Protection Bureau haften Sie "in der Regel" nicht für nicht autorisierte Nutzung Ihrer Kontonummer. Wenn die physische Karte gestohlen wird und Sie dies umgehend melden, ist Ihre Haftung auf 50 $ begrenzt.2

Verbraucherschutzmaßnahmen

Wenn eine physische Kreditkarte gestohlen wird und der Besitzer den Diebstahl meldet, begrenzt das Verbraucherschutzgesetz die Haftung des Kontoinhabers auf 50 $. Wenn Ihre Kartennummer gestohlen und betrügerisch verwendet wird, sollten Sie nach Angaben des Consumer Financial Protection Bureau keine Haftung haben.2

Hinweis

Carding beruht auf einer schnellen Abwicklung. Ein wesentlicher Bestandteil des Carding besteht darin, gestohlene Karten zu testen, um zu sehen, ob die Karten noch funktionieren oder gesperrt wurden.

Kartenbegriffe

Carding hat seine eigene Sprache. Hier sind einige der gebräuchlichen Begriffe:

Fullz

Fullz ist ein Slang für "vollständige Informationen".

Das Fullz-Paket enthält den richtigen Namen, die Adresse und eine Form der Identifikation einer Person. Die Informationen sind ausreichend für die Verwendung bei Identitätsdiebstahl und Finanzbetrug.34

Credit Card Dump

Ein Credit Card Dump ist eine nicht autorisierte digitale Kopie der Informationen einer Kreditkarte.5

Obwohl die Technik nicht neu ist, hat ihr Umfang in den letzten Jahren enorm zugenommen, wobei einige Angriffe Millionen von Opfern betreffen.

So verhindern Sie Carding und schützen sich

Finanzinstitute und Händler verwenden mehrschichtige Sicherheitskontrollen, um nicht autorisierte Kartenaktivitäten zu erkennen und zu verhindern. Diese Maßnahmen schützen Verbraucher und begrenzen Betrug, indem sie sich nicht auf eine einzige Sicherheitsvorkehrung verlassen.

Address Verification System (AVS)

Ein Address Verification System (AVS) vergleicht automatisch die beim Online-Kauf angegebene Rechnungsadresse mit der bei der Kreditkartenfirma hinterlegten Adresse.

Ein ordnungsgemäß funktionierendes AVS-System kann Transaktionen stoppen, die nicht mit dem AVS-Code der Karte übereinstimmen. Bei teilweiser Übereinstimmung der Adresse liegt es im Ermessen des Verkäufers, die Transaktion anzunehmen oder nicht.

AVS wird derzeit in den USA, Kanada und dem Vereinigten Königreich verwendet.67

IP-Geolokalisierungsprüfung

Ein IP-Geolokalisierungssystem vergleicht den IP-Standort des Benutzercomputers mit der auf der Bestellseite eingegebenen Rechnungsadresse. Wenn diese nicht übereinstimmen, kann dies auf Betrug hindeuten.7

Diese Vorfälle rechtfertigen weitere Untersuchungen, da es legitime Gründe wie Reisen geben kann, warum ein Käufer nicht zu Hause ist.

Card Verification Value (CVV)

Ein Card Verification Value (CVV) ist der drei- oder vierstellige Code auf einer Kreditkarte, der bei Einkäufen, bei denen der Käufer nicht physisch anwesend ist, eine zusätzliche Sicherheitsebene bietet.

Der CVV befindet sich normalerweise auf der Rückseite der Karte, aber einige Aussteller können ihn auf der Vorderseite haben. Da er sich auf der Karte selbst befindet, dient er dazu, zu überprüfen, ob die Person, die einen Telefon- oder Online-Kauf tätigt, eine physische Kopie der Karte besitzt.7

Wenn Ihre Kartennummer gestohlen wird, wird es einem Dieb ohne CVV schwerer fallen, sie zu verwenden, obwohl nicht alle Händler eine CVV-Überprüfung verlangen.

Der Verkäufer übermittelt den CVV zusammen mit allen anderen Daten als Teil der Transaktion. Der Aussteller kann Transaktionen, die die CVV-Validierung nicht bestehen, genehmigen, weiterleiten oder ablehnen, je nach den Verfahren des Ausstellers.

Multifactor Authentication (MFA)

Multifactor Authentication (MFA) ist eine Technologie, die zwei oder mehr unabhängige Anmeldeinformationen erfordert, um die Anmeldung eines Benutzers oder eine andere Transaktion zu überprüfen. Dazu können ein Passwort plus ein Authentifikator-Token oder biometrische Daten gehören.

Die Verwendung von MFA erzeugt einen mehrschichtigen Prozess, der es einer unbefugten Person erschwert, auf ein Ziel zuzugreifen. MFA verwendete ursprünglich nur zwei Faktoren, aber zusätzliche Faktoren werden immer üblicher.8

CAPTCHA

CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) ist eine Sicherheitsmaßnahme, die den Benutzer auffordert, einen Test zu absolvieren, um zu beweisen, dass er ein Mensch und keine Hacking-Software ist.

Der häufigste CAPTCHA-Test verlangt, dass der Benutzer eine zufällige Buchstaben- oder Zahlenfolge eingibt, die auf dem Bildschirm angezeigt wird. Andere verlangen, dass der Benutzer die Anomalie in einer Gruppe von Bildern erkennt und darauf klickt, z. B. das Bild, das kein Motorrad enthält.

Diese Aufgaben sind so konzipiert, dass sie für Menschen einfach, für Computer jedoch weniger einfach sind.9

Velocity Checks

Velocity Checks überwachen die Anzahl der Transaktionen, die von derselben Karte oder demselben Website-Besucher innerhalb einer bestimmten Anzahl von Sekunden oder Minuten versucht werden.

Die meisten Menschen tätigen nicht mehrere Zahlungen in schneller Folge, insbesondere wenn die Zahlungen so schnell erfolgen, dass sie die menschliche Kapazität übersteigen.10

Die Geschwindigkeit kann nach Dollar-Betrag, Benutzer-IP-Adresse, Rechnungsadresse, Bank Identification Number (BIN) und Gerät überwacht werden.

Wie werde ich dies im wirklichen Leben anwenden?

In vielen Fällen werden Sie erst dann erfahren, dass Ihre Informationen gehackt wurden, wenn eine nicht autorisierte Transaktion auf Ihrem Kredit- oder Debitkartenkonto auftaucht. Am besten überwachen Sie Ihre Konten und melden nicht autorisierte Käufe sofort dem Unternehmen, das die Karte ausgestellt hat.

Manchmal kommt es zu Betrug, wenn Betrüger Tricks anwenden, um Menschen zur Preisgabe ihrer persönlichen Daten zu bewegen:11

Geben Sie Ihre Passwortinformationen niemals an irgendjemanden weiter.

Geben Sie keine Kreditkarten- oder Bankkontoinformationen an Personen weiter, die Sie per Telefon, SMS oder E-Mail kontaktieren. Wenn Sie glauben, dass der Anruf legitim sein könnte, suchen Sie die Kontaktinformationen an anderer Stelle und überprüfen Sie den Anruf.

Klicken Sie nicht auf Links in E-Mails oder SMS, von denen Sie nicht sicher sind, dass sie von vertrauenswürdigen Quellen stammen.

Leider verfügen Betrüger über immer ausgefeiltere Werkzeuge. Sie können sogar Stimmen klonen und Bilder verändern, um den Anschein zu erwecken, dass jemand, dem Sie vertrauen, Hilfe benötigt.

Was ist ein Kreditkarten-Skimmer?

Ein Kreditkarten-Skimmer ist ein Gerät, das in einem legitimen Lesegerät versteckt ist und die auf der Karte verwendeten Informationen aufzeichnet. Zapfsäulen sind bekanntermaßen ein Ziel für diese Strategie. Das FBI empfiehlt, im Inneren zu bezahlen oder eine Zapfsäule in Sichtweite des Geschäfts zu wählen, da diese Stellen weniger wahrscheinlich Ziel von Angriffen sind.12

Was setzt Kreditkarteninformationen einem Risiko aus?

Zahlungskarteninformationen können durch eine Reihe illegaler Aktivitäten gefährdet werden, vom Skimming über Hacking bis hin zum Diebstahl physischer Karten. Daher ist es wichtig, Konten zu überwachen und verdächtige Belastungen umgehend zu melden.

Was ist ein Carding-Angriff?

Ein Carding-Angriff ist der Versuch, in rascher Folge mehrere Bestellungen auf einer Website aufzugeben, wobei gestohlene Kredit- oder Debitkarteninformationen verwendet werden. Er ist an einem starken, plötzlichen Anstieg der Bestellungen zu erkennen, normalerweise von derselben Lieferadresse. Glücklicherweise können diese Versuche von Sicherheitstechnologie erkannt und gestoppt werden.13

Was können Unternehmen tun, um das Carding-Risiko zu verringern?

Wenn Sie online verkaufen, können Sie sich vor Carding schützen, indem Sie eine Betrugspräventionsmethode wie CAPTCHA verwenden. Wenn Sie ein Geschäft in der realen Welt betreiben, achten Sie auf Anzeichen von Manipulation an Ihren Kartengeräten.