Was ist Kardieren und wie können Sie es in Ihrem Geschäft verhindern?

Dieser Artikel behandelt eine Aktivität, die die E-Commerce-Branche terrorisiert. Jeder weiß, dass es passiert, aber es gibt nicht genug verlässliche Informationen darüber. Darüber hinaus ist es eine Aktivität mit geringem Risiko und hohen Belohnungen, die es sehr schwierig macht, sie zu beenden. Es passiert auf der ganzen Welt, es kann jedem passieren, und es ist eine Multi-Milliarden-Dollar-Industrie.

Das heutige Thema ist Kreditkartenbetrug . Genauer gesagt handelt es sich um eine Art Kartenbetrug, der als Carding bekannt ist .

Ich meine diese Einführung nicht, um Panik auszulösen oder Sie beim Online-Einkauf zu stressen. Ja, Kartenbetrug und andere böswillige Online-Aktivitäten müssen ernst genommen werden. Mit dem richtigen Wissen und den richtigen Tools können Sie sich selbst, Ihr E-Commerce-Geschäft und Ihre Kunden erkennen und proaktiv schützen .

Im folgenden Artikel erkläre ich, was Kardieren ist, und weise auf seine gemeinsamen Merkmale hin. Ich werde auch beliebte Carding-Websites/-Foren behandeln und aufschlüsseln, wie Kriminelle sie verwenden. Noch wichtiger ist, dass ich leistungsstarke Techniken teile, die Sie verwenden können, um Ihre Kreditkarteninformationen zu schützen, wie Sie Karten erkennen und Kartentechniken blockieren können.

Schauen wir uns zum Auftakt einige ernüchternde Statistiken an:

• Kartenknacken war 2014 für gestohlene Gelder in Höhe von 11,6 Millionen Dollar verantwortlich.
• Nachdem ein Kunde bei einem Einzelhändler Kartenbetrug erlebt hat, sagen 49 %, dass sie nicht zurückkehren werden.
• Kartenbetrug war 2018 für weltweite Verluste in Höhe von 24,26 Milliarden US-Dollar verantwortlich.
• Kreditkartenbetrug stieg 2018 um 18,4 Prozent und nimmt weiter zu.

Quelle: Schichtverarbeitung

Carding oder Online-Carding ist eine Betrugsart, bei der gestohlene Kreditkarteninformationen verwendet werden, um ausverkaufte Prepaid-Karten zu belasten . Um zu testen, ob eine gestohlene Kartennummer verwendet werden kann, besuchen Betrüger E-Commerce-Websites und initiieren mehrere Transaktionen. Diese Methode wird verwendet, um viele gestohlene Karten zu testen.

Es gibt verschiedene Arten des Kardierens:

• Mehrere Karten, die wiederholt kurz hintereinander für niedrige oder identische Dollarbeträge verwendet werden
• Mehrere Karten mit denselben Informationen (Name und/oder Rechnungsadresse) von derselben IP-Adresse
• Eine einzelne Karte, die wiederholt kurz hintereinander für niedrige oder identische Dollarbeträge verwendet wird
• Mehrere Karten mit unterschiedlichen Rechnungsadressen, aber identischer BIN (Bank Identification Number)

Noch etwas unklar? Nun, hier ist ein typisches Szenario bei einem Carding-Angriff :

1. Ein Betrüger erhält eine Liste gestohlener Kreditkartennummern, entweder von einem kriminellen Marktplatz oder durch die Kompromittierung einer Website oder eines Zahlungskanals. Ihre Qualität ist oft unbekannt.

2. Der Betrüger richtet einen Bot ein, um kleine Käufe auf mehreren Zahlungsseiten durchzuführen. Bei jedem Versuch wird eine Kartennummer mit den Zahlungsprozessen eines Händlers verglichen, um gültige Kartendetails zu identifizieren.

3. Sie versuchen tausende Male, ihre Kreditkarte zu validieren, bis sie erfolgreich validierte Kreditkartendaten abrufen.

4. Erfolgreiche Kartennummern werden in einer separaten Liste organisiert und für andere kriminelle Aktivitäten verwendet oder an organisierte Kriminalitätsringe verkauft.

5. Kartenbetrug bleibt vom Karteninhaber oft unentdeckt, bis es zu spät ist.

Quelle: ATM Marketplace

Als E-Commerce-Geschäftsinhaber sollte es eine Priorität sein, sicherzustellen, dass Ihre Kunden ein angenehmes und sicheres Einkaufserlebnis bei Ihnen haben. Dies bedeutet, dass die richtigen Sicherheitsmaßnahmen vorhanden sein müssen , um Carding-Angriffe zu vermeiden. Betrug führt zu Rückbuchungen, potenziellen Produktverlusten und irreparablen Reputationsschäden.

Ein Unternehmen zu führen ist hart genug. Sie wollen sicherlich nicht noch den Umgang mit einer Lawine von Datenschutzverletzungen durch Kartenbetrug hinzufügen.

Ich werde etwas später mitteilen, wie Sie Ihren Shop und die Informationen Ihrer Kunden schützen können. Werfen wir zunächst einen Blick in die beliebten Carding-Websites und -Foren, in denen Betrugsideen zum Leben erweckt werden.

Carding-Websites und -Foren sind illegale Websites, die verwendet werden, um gestohlene Kreditkartendaten , Carding-Methoden und Ergebnisse von Carding-Angriffen auszutauschen.  

Die Hauptnutzer dieser Foren sind Einzelpersonen, die in betrügerischer Absicht Waren online kaufen möchten, und kriminelle Gruppen, die nach Kreditkartendaten suchen, die sie später im Darknet verkaufen können.

Die Organisatoren von Carding-Websites und Foren maskieren sie mit den TOR-Browsern und Betrüger leisten Zahlungen für gestohlene Kartendaten in Kryptowährung, um eine Verfolgung durch die Behörden zu vermeiden.

In letzter Zeit gab es auf diesen Websites Angriffe von Bürgerwehren, einschließlich dieses großen Datenlecks des großen Carding-Forums BriansClub. BriansClub ist als einer der größten Marktplätze im Internet für gestohlene Kartendaten bekannt und erlitt bei einer Datenpanne im Jahr 2019 einen geschätzten Verlust von 4 Milliarden US-Dollar .

Autsch.

Betrüger haben beim Kardieren mehr als ein paar Tricks auf Lager. Es gibt jedoch bewährte Kardierungsmethoden, die von Kriminellen auf der ganzen Welt geteilt werden.

Phishing ist die häufigste Methode, mit der Betrüger an Kreditkarteninformationen gelangen. Bei dieser Methode wird Malware eingerichtet und das Ziel dazu gebracht, eine bösartige Datei herunterzuladen. Sobald die Malware injiziert wurde, erhalten Hacker Zugriff auf die Bankidentifikationsnummer, Passwörter und andere relevante Details des Ziels.

Hacker führen auch Carding-Angriffe durch Rootkit-Malware und unbefugte Kontoübernahmen durch . Rootkit-Malware ist wie ein Tarnmantel für ein bösartiges Programm. Die durch Rootkits geschützte Malware kann sogar mehrere Neustarts überstehen und fügt sich einfach in normale Computerprozesse ein. Dadurch können Hacker Ihren Computer fernsteuern.

Kürzlich hat eine Hackergruppe namens EvaPiks versucht, PCs in Botschaften wie Italien, Kenia und den USA zu kompromittieren. Sie senden Excel-Tabellen per E-Mail, die mit Malware beladen sind, die dann einen Computer mit der Fernzugriffs-App TeamViewer kapern würde.

Untersuchungen haben diese Gruppe mit einem Hacking-Forum in Verbindung gebracht, in dem Kreditkartendiebstahl, Kontoübernahmen und ähnliche Themen diskutiert werden.

Eine weitere beliebte Technik, die Kriminelle für Kreditkartenbetrug einsetzen, ist Kreditkarten-Skimming . Kreditkarten-Skimming ist eine Art Kreditkartendiebstahl, bei dem Gauner ein kleines Gerät verwenden, um Kreditkarteninformationen in einer ansonsten legitimen Kredit- oder Debitkartentransaktion zu stehlen.

Wenn eine Kredit- oder Debitkarte durch einen Skimmer gezogen wird, erfasst und speichert das Gerät alle auf dem Magnetstreifen der Karte gespeicherten Details. Der Streifen enthält die Kreditkartennummer, das Ablaufdatum und den vollständigen Namen des Kreditkarteninhabers. Diebe verwenden die gestohlenen Daten, um entweder online oder mit einer gefälschten Kreditkarte betrügerische Gebühren zu erheben.

Prävention beginnt mit dem Erkennen der Anzeichen. Wenn einer der folgenden Fälle eintritt, besteht eine gute Möglichkeit, dass Kardieren oder eine andere Art von Betrug vorliegt:

• Niedrige durchschnittliche Warenkorbgröße
• Ein unnatürlich hoher Prozentsatz an fehlgeschlagener Zahlungsautorisierung
• Lächerlich hohe Warenkorbabbruchraten
• Unverhältnismäßige Nutzung des Bezahlschritts im Warenkorb
• Erhöhte Rückbuchungen
• Mehrere fehlgeschlagene Zahlungsautorisierungen von demselben Benutzer, derselben IP-Adresse, demselben Benutzeragenten, derselben Sitzung, Geräte-ID oder demselben Fingerabdruck

Hier sind einige bewährte Tipps, wie Sie sich vor dieser Art von Cyberkriminalität schützen können:

CAPTCHA :

Ein CAPTCHA ist ein Challenge-Response-Test, der einem Online-Händler hilft zu bestätigen, dass Sie ein menschlicher Käufer sind. Ja, das Ausfüllen kann manchmal sehr lästig sein, aber sie verhindern effektiv das Knacken von Karten und andere Arten von Kreditkartenbetrug, die über Bots auftreten.

Beispielsweise müssen Sie möglicherweise verzerrten Text lesen und tippen, Bilder mit einem bestimmten Muster identifizieren oder eine einfache mathematische Frage beantworten. Diese Maßnahmen tragen dazu bei, Ihre Website vor automatisierten Bots zu schützen.

Adressverifizierungssystem (AVS):

Ein AVS-Check vergleicht die bei der Transaktion verwendete Rechnungsadresse mit den für diesen Karteninhaber hinterlegten Adressinformationen der ausstellenden Bank. Abhängig davon, ob sie vollständig, teilweise oder überhaupt übereinstimmen, kann der Händler diese Informationen bei seiner Entscheidung verwenden, diese Bestellung anzunehmen oder zu stornieren.

Ein typisches Szenario würde also so aussehen: Der Karteninhaber gibt die Rechnungsadresse seiner Kreditkarte an der Kasse an, und das AVS vergleicht die eingegebene Adresse mit der im System des Kartenausstellers, um die Übereinstimmung zu überprüfen. Wenn der Käufer diesen Test nicht besteht, wird er die Transaktion ablehnen.

Quelle: Rückbuchungen911

IP-Geolokalisierungsprüfungen:

Hacker aus einem Teil der Welt können einen Computer in einem anderen Teil der Welt beschädigen und dabei ihre Anonymität wahren. Glücklicherweise kann die IP-Geolokalisierung bestätigen, ob die Details eines Kaufs aus einem bestimmten Land mit anderen bekannten Bank- und Rechnungsunterlagen übereinstimmen.

Verdächtige Abweichungen werden anschließend untersucht – zumindest gerade so lange, um den guten Glauben der Person zu überprüfen, die eine Transaktion ausführt. Die Informationen IP Geolocation Checks umfassen Breiten- und Längengrad, Zeitzone, Region, Stadt, Land, Postleitzahl, den Internet Service Provider (ISP) und mehr. Diese Details bieten dann weitere Einblicke, um zu beurteilen, ob eingehende Transaktionen betrügerisch oder legitim sind.

BIN-Nummernverfolgung:

Eine Bankidentifikationsnummer (BIN) repräsentiert die ersten vier bis sechs Ziffern einer Kreditkarte. Die ersten vier bis sechs Ziffern identifizieren das Finanzinstitut, das die Karte ausgestellt hat. Neben der Identifizierung des Finanzinstituts kann die BIN den geografischen Standort der Bank verfolgen, die die Karte ausgestellt hat.

Teilnehmer an Online-Transaktionen können Fälle von Betrug und Identitätsdiebstahl erkennen, indem sie den geografischen Standort des Karteninhabers mit dem von der BIN bereitgestellten Standort abgleichen. Die BIN ist für die Bekämpfung von Kartenbetrug von entscheidender Bedeutung, da Kreditkartenautomaten und Online-Zahlungsplattformen ohne sie das Konto, von dem das Geld abgebucht werden soll, nicht identifizieren können und die Transaktion nicht stattfindet.

Geschwindigkeitsprüfungen:

Geschwindigkeit ist die Anzahl oder Geschwindigkeit, mit der Käufer zu einem bestimmten Zeitpunkt Transaktionen durchführen. Händler verwenden diese Metrik, um unregelmäßige Muster im Checkout-Prozess zu identifizieren, die auf Betrug hindeuten könnten.

Beispielsweise ist es ungewöhnlich, dass jemand innerhalb von Sekunden oder Minuten mehrere Einkäufe tätigt. Händler können Transaktionen ablehnen, wenn sie glauben, dass ein Roboter gestohlene Kreditkartennummern in schneller Folge testet.

Quelle: Authorize.net

Autorisierung/Erfassung

Bei dieser Methode überprüft ein Händler, ob Ihre Karte belastet werden kann, hält sich aber mit dem Einzug des Geldes vom Kartenaussteller zurück. Tankstellen erlauben beispielsweise normalerweise einen kleinen Betrag und warten einige Tage, bevor sie den Rest von der Karte abbuchen.

Wenn es während der Transaktionsprüfung Anzeichen von Betrug gibt, fordert der Händler kein Geld vom Kartenaussteller an. Stattdessen werden sie dem Karteninhaber eine Rückerstattung ausstellen.

Kreditkartenbetrug ist ein großes Problem für E-Commerce-Unternehmer und Käufer gleichermaßen. Die gute Nachricht ist, dass es Sicherheitsmaßnahmen gibt, die Sie befolgen können , um die Wahrscheinlichkeit zu verringern, Opfer dieser heimtückischen Cyberkriminalität zu werden.

In diesem Artikel haben Sie sich einen Überblick über das Kardieren verschafft. Sie haben die Statistiken gesehen und die Schwere dieses Betrugs verstanden. Du hast einen Blick in die unterirdische Welt der Carding-Foren und Websites geworfen, auf denen finstere Pläne Gestalt annehmen.

Sie haben entdeckt, welche Anstrengungen Kriminelle unternehmen, um einer Entdeckung und Verhaftung zu entgehen. Sie haben sich eingehend mit den gängigen Methoden befasst, mit denen Hacker Kreditkarteninformationen und andere sensible Daten extrahieren. Anschließend lernten Sie, wie Sie Kardieren und andere Arten von Betrug erkennen. Schließlich haben Sie eine umfangreiche Liste bewährter Techniken, die gegen das Kardieren wirksam sind.

Mit zunehmender Cyberkriminalität nehmen auch Methoden der Cybersicherheit zu. Wir können Kartenzahlungen und Online-Betrug nicht einfach als „Geschäftskosten“ hinnehmen. Wir müssen weiter kämpfen und so viel davon wie möglich aus der E-Commerce-Landschaft entfernen.  

Welche Erfahrungen haben Sie mit Carding oder Online-Betrug gemacht? Welche Methode möchten Sie einführen, um Ihr Unternehmen und Ihre Kunden besser zu schützen? Lassen Sie es mich unten wissen!