Jetzt starten  Sales-Team kontaktieren 

Was ist Carding? Wie diese Art von Betrug funktioniert und wie Unternehmen ihn verhindern können

Connect
Connect

Die erfolgreichsten Plattformen und Marktplätze der Welt, darunter Shopify und DoorDash, nutzen Stripe Connect, um Zahlungen in ihre Produkte einzubinden.

Mehr erfahren 
  1. Einführung
  2. So funktioniert Carding
    1. Diebstahl von Kartendaten
    2. Prüfung der Kartengültigkeit
    3. Durchführung betrügerischer Transaktionen
    4. Die Entdeckung umgehen
  3. So können sich Unternehmen gegen Carding schützen
  4. Wie das Dark Web Carding ermöglicht
  5. So wirkt sich Carding auf Unternehmen und Endkunden/Endkundinnen aus
    1. Auswirkungen auf die Unternehmen
    2. Auswirkungen auf die Kundschaft
  6. Kurzer geschichtlicher Überblick über Carding (Kreditkartenbetrug)
    1. Die Anfänge und der Aufstieg des Internets
    2. Neue Technologien entstehen
  7. So kann Stripe Radar helfen
  8. Jetzt mit Stripe starten 

Unter Carding versteht man die illegale Beschaffung, den Handel oder die Verwendung von Kreditkartendaten ohne Genehmigung – häufig zum Kauf von Geschenkkarten oder Prepaid-Karten. Carding führt zu Identitätsdiebstahl, finanziellen Verlusten für Privatpersonen und Unternehmen sowie zu einer Vielzahl anderer Cyberdelikte.

Die weltweiten Verluste durch Kreditkartenbetrug werden sich bis zum Jahr 2026 voraussichtlich auf 43 Mrd. USD belaufen. Um Carding zu bekämpfen, setzen Unternehmen Sicherheitsmaßnahmen wie Tokenisierung, Verschlüsselung, Multi-Faktor-Authentifizierung und Überwachungssysteme zur Betrugsbekämpfung ein. In diesem Leitfaden wird erläutert, was Unternehmen über Carding wissen sollten, wie es funktioniert und wie sie sich schützen können.

Worum geht es in diesem Artikel?

  • So funktioniert Carding
  • So können sich Unternehmen gegen Carding schützen
  • Wie das Dark Web Carding ermöglicht
  • So wirkt sich Carding auf Unternehmen und Endkunden/Endkundinnen aus
  • Kurzer geschichtlicher Überblick über das Carding
  • So kann Stripe Radar helfen

So funktioniert Carding

Diebstahl von Kartendaten

Der Prozess des Carding beginnt bei Kartendieben, den sogenannten „Cardern“, die Kreditkartendaten durch Mittel wie Phishing, Skimming, Datenmissbrauch oder Keylogging stehlen.

Hier sind einige gängige Möglichkeiten, wie Carder Kartendaten stehlen können:

  • Phishing: Die Carder nutzen betrügerische E-Mails, Websites oder Nachrichten, um Personen zur Preisgabe ihrer Kreditkartendaten zu bewegen. Zu diesem Zweck geben sich die Kriminellen oft als seriöse Unternehmen oder Dienste aus.

  • Skimming: Kriminelle installieren sogenannte Skimmer an Geldautomaten, Zapfsäulen oder Point-of-Sale(POS)-Terminals, um Kreditkartendaten von physischen Karten abzugreifen.

  • Hacking: Cyberkriminelle verwenden Malware, Ransomware oder unautorisierten Zugang, um in Computersysteme oder Datenbanken einzudringen und Kreditkartendaten zu stehlen.

  • Keylogging: Software oder Hardware zeichnet die Tastenanschläge auf dem Gerät des Opfers auf, um Kreditkartendaten und andere vertrauliche Daten zu erfassen.

  • SQL-Injektion: Schädlicher SQL-Code, der von Cardern in die Datenbank einer Website eingefügt wird, extrahiert vertrauliche Informationen, einschließlich Kreditkartendaten.

  • Shoulder Surfing: Betrügerische Akteurinnen und Akteure beobachten Personen bei der Eingabe ihrer Kreditkartendaten an Geldautomaten oder beim Bezahlvorgang an der Kasse und stehlen die Daten.

  • Formjacking: Die Carder kompromittieren Online-Formulare auf seriösen Websites, um die Kreditkartendaten der Nutzer/innen abzufangen.

  • Gefälschte Apps und Websites: Betrügerische Akteurinnen und Akteure erstellen gefälschte Apps oder Websites, die legitim aussehen, und verleiten die Nutzer/innen zur Angabe ihrer Kreditkartendaten.

  • Brute-Force-Angriffe: Cyberkriminelle verwenden automatisierte Software, um Kreditkartennummern zu ermitteln, häufig indem sie verschiedene Zahlenkombinationen ausprobieren, bis sie auf eine gültige stoßen.

Die gestohlenen Kreditkartendaten werden häufig auf illegalen Marktplätzen verkauft, wo Käufer/innen Kartennummern, Ablaufdaten, CVV-Prüfziffern und Rechnungsadressen der gestohlenen Karten erwerben können.

Prüfung der Kartengültigkeit

Nach dem Kauf gestohlener Kreditkartendaten setzen die betrügerischen Akteurinnen und Akteure Carding-Bots ein, um die Informationen zu überprüfen. Diese Bots führen automatisch kleine Transaktionen auf E-Commerce-Websites durch, um zu testen, ob die Karte aktiv ist und verwendet werden kann, ohne dass eine Betrugswarnung ausgelöst wird.

Durchführung betrügerischer Transaktionen

Nachdem die Legitimität der Karte geprüft wurde, tätigen die betrügerischen Akteurinnen und Akteure mit diesen Informationen unberechtigte Einkäufe. Sie haben es oft auf hochwertige Artikel oder Geschenkkarten abgesehen, die gegen Bargeld weiterverkauft oder für persönliche Zwecke verwendet werden können. Mithilfe von Carding-Bots können betrügerische Akteurinnen und Akteure diesen Prozess automatisieren und skalieren, indem sie mehrere Websites ansteuern und viele Transaktionen in kurzer Zeit durchführen.

Die Entdeckung umgehen

Carder verwenden eine Reihe von Tools und Taktiken, um sich der Erkennung zu entziehen, während sie Betrug begehen. Sie verlassen sich oft auf Proxys und VPNs, um ihre wahren Standorte zu verbergen, was es E-Commerce Plattformen erschwert, verdächtige Aktivitäten zu kennzeichnen. Carder verwenden auch randomisierte Bots, um menschliches Verhalten zu imitieren und die Betrugserkennung zu umgehen, während verteilte Bot-Netzwerke Aktivitäten verbreiten, damit sie keine Aufmerksamkeit auf sich ziehen. Darüber hinaus verwandeln Carder gestohlene Waren schnell in Bargeld, indem sie sie online oder über lokale Netzwerke weiterverkaufen. Dadurch werden die Bemühungen um die Rückverfolgung ihrer Handlungen zusätzlich erschwert.

So können sich Unternehmen gegen Carding schützen

Ausgeklügelte Betrugserkennungssysteme nutzen künstliche Intelligenz, um ungewöhnliche Kaufmuster und Verhaltensweisen zu erkennen. Hier sind Möglichkeiten, wie Unternehmen diese Technologien und andere Praktiken nutzen können, um sich zu schützen.

  • Adressverifizierungssystem (AVS): AVS vergleicht die von Nutzern/Nutzerinnen angegebene Abrechnungsadresse mit der beim Aussteller der Karte hinterlegten Adresse. Es handelt sich um ein einfaches, aber effektives Tool zur Betrugsprävention.

  • Verhaltensanalytik: Analysieren Sie das Nutzerverhalten auf Ihrer Plattform, um Anomalien wie rasche Transaktionen, wiederholte Versuche mit verschiedenen Kartennummern oder ungewöhnliche geografische Muster zu erkennen.

  • Dynamische Risikobewertung und MFA: Vergeben Sie Risikobewertungen für Transaktionen auf der Grundlage mehrerer Faktoren, wie z. B. Device Fingerprinting, IP-Adresse, Geolokalisierung und historische Daten. Transaktionen mit höherem Risiko können eine Multi-Faktor-Authentifizierung (MFA) auslösen.

  • Kartenprüfwert (CVV): Indem die Kundinnen/Kunden aufgefordert werden, ihren CVV einzugeben, wird bestätigt, dass der/die Käufer/in physisch im Besitz der Karte ist. Dadurch wird das Risiko einer unbefugten Nutzung allein durch gestohlene Kartennummern verringert.

  • Tokenisierung: Konvertieren Sie vertrauliche Kreditkartendaten in sichere Token für den internen Gebrauch, um die Offenlegung von Kartendaten zu minimieren und das Diebstahlrisiko zu verringern.

  • End-to-End-Verschlüsselung: Verschlüsseln Sie vertrauliche Daten von der Erfassung bis zur Speicherung und Verarbeitung, um das Risiko des Abfangens und des unbefugten Zugriffs zu verringern.

  • Sichere Datenspeicherung: Speichern Sie Kreditkarteninformationen in verschlüsselten Datenbanken mit eingeschränktem Zugriff. Implementieren Sie eine rollenbasierte Zugriffskontrolle (Role Based Access Control, RBAC) und stellen Sie sicher, dass nur autorisiertes Personal auf vertrauliche Daten zugreifen kann.

  • Überwachung von Transaktionen in Echtzeit: Überwachen Sie Transaktionen in Echtzeit, um potenziell betrügerische Aktivitäten zu erkennen. Senden Sie automatische Warnungen an Sicherheitsteams zur sofortigen Untersuchung.

  • Reaktionsteams für Zwischenfälle: Bilden Sie spezielle Reaktionsteams mit klaren Protokollen für den Umgang mit Kartenmissbrauch.

  • Austausch von Informationen über Bedrohungen: Nehmen Sie an Programmen zum Austausch von Informationen über Bedrohungen teil, um über neue Trends und Techniken des Carding informiert zu sein.

  • Zusammenarbeit mit Strafverfolgungsbehörden: Arbeiten Sie mit Strafverfolgungsbehörden zusammen, die sich auf Cyberkriminalität spezialisiert haben, um bei Ermittlungen und der Zerschlagung von Carding-Aktivitäten zu helfen.

  • CAPTCHA-Alternativen: Verwenden Sie fortschrittliche CAPTCHA-Lösungen oder Alternativen wie reCAPTCHA v3, die keine Interaktion der Nutzer/innen erfordern, aber bot-ähnliches Verhalten erkennen können.

  • Begrenzung und Drosselung: Implementieren Sie eine Begrenzung, um die Anzahl der Transaktionen oder Versuche von einer einzelnen IP-Adresse oder einzelnen Nutzern/Nutzerinnen innerhalb eines bestimmten Zeitrahmens zu begrenzen.

  • Device Fingerprinting: Erfassen Sie eindeutige Gerätemerkmale, um automatisierte Bot-Aktivitäten zu erkennen. So können Sie verhindern, dass Carding-Bots eine große Anzahl gestohlener Kreditkartendaten testen.

  • Betrugswarnungen und -benachrichtigungen: Senden Sie Warnungen an Kundinnen und Kunden, wenn verdächtige Aktivitäten entdeckt werden, damit sie Transaktionen schnell bestätigen oder ablehnen können.

  • Kundenaufklärung: Informieren Sie Ihre Kundschaft über die Carding-Risiken und Best Practices zum Schutz ihrer Kreditkartendaten. Dies trägt dazu bei, die Wahrscheinlichkeit eines erfolgreichen Phishing- oder Social-Engineering-Angriffs zu verringern.

Wie das Dark Web Carding ermöglicht

Das Dark Web unterstützt anonyme Transaktionen, deren Nachverfolgung oder Unterbrechung für die Strafverfolgungsbehörden schwierig ist. Für die meisten Zahlungen werden Kryptowährungen wie Bitcoin verwendet, die die Identität von Käufern/Käuferinnen und Verkäufern/Verkäuferinnen verschleiern.

Marktplätze setzen auf Verschlüsselung, verborgene Dienste und eine verteilte Infrastruktur, um Nutzer/innen zu schützen und trotz der Schließung von Websites online zu bleiben. Selbst wenn Websites abgeschaltet werden, tauchen dynamische Communitys wie Carding-Foren oft wieder unter neuen Namen auf, sodass sie nur schwer vollständig beseitigt werden können.

Dark-Web-Marktplätze sind zentrale Plattformen für den Handel mit illegalen Waren und Dienstleistungen, insbesondere im Zusammenhang mit Finanzbetrug. Sie bieten gestohlene Kreditkartendaten an, die oft nach bestimmten Details wie Typ oder Land sortiert sind, sowie Carding-Tools wie Bots und Malware, die Betrug automatisieren. Diese Marktplätze bieten auch verwandte Dienstleistungen wie Kreditkarten-Validierung, Unterstützung beim Bezahlen und Erstellung gefälschter Ausweisdokumente an.

Dark-Web-Communitys sind Wissenszentren, an denen erfahrene Carder Techniken, Leitfäden und Ratschläge mit Neulingen austauschen. Diese Plattformen ermöglichen auch die Vernetzung und Zusammenarbeit, sodass Nutzer/innen komplexere Betrugsaktionen koordinieren können.

So wirkt sich Carding auf Unternehmen und Endkunden/Endkundinnen aus

Auswirkungen auf die Unternehmen

  • Finanzielle Verluste: Wenn es zu betrügerischen Transaktionen kommt, tragen Unternehmen oft die Kosten für Rückbuchungen und Rückerstattungen. Dies kann sich auf ihr Endergebnis auswirken, insbesondere für kleine und mittlere Unternehmen (KMU).

  • Imageschaden: Vorfälle mit Kartenbetrug können den Ruf eines Unternehmens schädigen. Kunden/Kundinnen, die auf der Plattform eines Unternehmens mit Betrug konfrontiert werden, verlieren möglicherweise ihr Vertrauen in das Unternehmen und hinterlassen negative Bewertungen.

  • Betriebskosten: Um Carding zu bekämpfen, müssen Unternehmen in Sicherheitsmaßnahmen, Systeme zur Betrugserkennung und Kundensupport investieren, um Probleme im Zusammenhang mit Betrug zu lösen. Solche Kosten sind mitunter sehr hoch.

  • Verstärkte Prüfungen: Hohe Betrugsquoten können zu verstärkten Prüfungen seitens der Zahlungsabwickler führen – mit der möglichen Folge höherer Gebühren, strengerer Anforderungen oder sogar der Kündigung von Händlerkonten.

  • Risiken im Zusammenhang mit der Einhaltung von Vorschriften: Unternehmen sind verpflichtet, Vorschriften wie den Payment Card Industry Data Security Standard (PCI DSS) einzuhalten. Die Nichteinhaltung von Vorschriften aufgrund von Carding-Vorfällen kann Geldstrafen und rechtliche Konsequenzen nach sich ziehen.

Auswirkungen auf die Kundschaft

  • Kompromittierte Konten: Kundinnen/Kunden, deren Kreditkartendaten gestohlen wurden, müssen möglicherweise mit unberechtigten Abbuchungen von ihren Konten rechnen. Sie müssen dann Zeit und Mühe aufwenden, um mit ihren Banken und Kreditkartenunternehmen zu versuchen, betrügerische Abbuchungen rückgängig zu machen und ihre Konten wiederherzustellen, was ein langwieriger und frustrierender Prozess sein kann.

  • Identitätsdiebstahl: Carding kann zu einem umfassenderen Identitätsdiebstahl führen, bei dem betrügerische Akteurinnen und Akteure gestohlene Kreditkartendaten verwenden, um neue Konten zu eröffnen, Kredite zu beantragen oder andere Formen des Betrugs zu begehen.

  • Emotionale Belastung: Das Aufdecken unberechtigter Abbuchungen und der Umgang mit den Folgen von Carding können bei den Kundinnen und Kunden emotionalen Stress und Ängste auslösen.

  • Auswirkungen auf die Kreditwürdigkeit: In einigen Fällen kann sich Kreditkartenbetrug (Carding) auf die Kreditwürdigkeit einer Kundin/eines Kunden auswirken, insbesondere wenn Betrug zu Zahlungsausfällen oder Zahlungsschwierigkeiten führt.

Kurzer geschichtlicher Überblick über Carding (Kreditkartenbetrug)

Die Anfänge und der Aufstieg des Internets

Zunächst wurden beim Carding hauptsächlich physische Methoden eingesetzt, um an Kreditkartendaten zu gelangen. Die betrügerischen Akteurinnen und Akteure stahlen Brieftaschen oder Geldbörsen, um sich Zugang zu Kreditkarten zu verschaffen, oder brachten Vorrichtungen an Geldautomaten oder POS-Terminals an, die die Kartendaten beim Durchziehen erfassten. Von Skimmern hörte man etwa ab 2002.

Mit dem Aufstieg des Internets verlagerte sich das Kartengeschäft ins Internet, was zu neuen Techniken wie Phishing und Hacking in Unternehmensdatenbanken führte, um große Mengen an Kreditkartendaten zu stehlen. Phishing gibt es zwar schon seit den 1990er Jahren, aber mit der zunehmenden Verbreitung des Internets kam es Anfang der 2000er Jahre immer häufiger vor.

Neue Technologien entstehen

Automatisierung und fortschrittliche Software haben zu immer ausgefeilteren Carding-Techniken geführt. Carding-Bots haben den Prozess der Kartentests und -validierung automatisiert, sodass betrügerische Akteurinnen und Akteure ihre Operationen ausweiten und Betrug schneller begehen können. Die Kreditkartenbetrüger/innen haben außerdem begonnen, dezentrale Netzwerke von Bots zu nutzen, um große Mengen gestohlener Kreditkartendaten zu testen und so das Risiko, entdeckt zu werden, zu verringern, indem sie ihre Aktivitäten auf mehrere Standorte und IP-Adressen verteilen.

Mit der zunehmenden Raffinesse des Carding haben sich auch die Sicherheitsmaßnahmen weiterentwickelt. Die Chip- und PIN-Technologie wurde in den 2010er Jahren zum Standard, um das Klonen physischer Karten zu erschweren. Dadurch waren die Carder gezwungen, verstärkt auf Online-Methoden zurückzugreifen. E-Commerce-Plattformen begannen mit der Implementierung von maschinellem Lernen und KI-basierten Betrugserkennungssystemen, um verdächtige Muster und Transaktionen zu erkennen. Um zu verhindern, dass automatisierte Bots Online-Systeme ausnutzen, wurden CAPTCHAs und die Multi-Faktor-Authentifizierung eingeführt.

Die Carder passen sich mit ihren eigenen Innovationen ständig an neue Sicherheitsmaßnahmen und Technologien an. Zu den neuen Techniken gehören Formjacking (Einschleusen von schädlichem Code in Online-Formulare, um Kreditkartendaten abzufangen), synthetischer Identitätsbetrug (Erstellen falscher Identitäten mit gestohlenen Daten, um Kreditkonten zu eröffnen) und Kontoübernahmen (Verwendung gestohlener Kartendaten, um unbefugten Zugriff auf bestehende Konten zu erhalten).

So kann Stripe Radar helfen

Stripe Radar nutzt KI-Modelle, die zur Erkennung und Verhinderung von Betrug trainiert wurden und Daten aus dem globalen Stripe-Netzwerk nutzen. Diese Modelle werden kontinuierlich auf der Grundlage der neuesten Betrugstrends aktualisiert und schützen Ihr Unternehmen vor Weiterentwicklungen bei Betrug.

Stripe bietet auch Radar for Fraud Teams, mit dem Nutzer/innen benutzerdefinierte Regeln für Betrugsszenarien hinzufügen können, die für ihr Unternehmen spezifisch sind, und auf erweiterte Betrugseinblicke zugreifen können.

Radar kann Ihrem Unternehmen wie folgt helfen:

  • Verlust aufgrund von Betrug vermeiden: Stripe wickelt jährlich Zahlungen in Höhe von über 1 Billion USD ab. Dadurch kann Radar auf einzigartige Weise Betrug genau erkennen und verhindern.
  • Umsatz steigern: Die KI-Modelle von Radar werden anhand tatsächlicher Anfechtungsdaten, Kundeninformationen, Surfdaten und mehr trainiert. Damit kann Radar riskante Transaktionen identifizieren und falsch positive Ergebnisse reduzieren und so Ihren Umsatz steigern.
  • Sparen Sie Zeit: Radar ist in Stripe integriert und benötigt keine Codezeilen für die Einrichtung. Sie können auch Ihre Betrugsleistung überwachen, Regeln schreiben und vieles mehr in einer einzigen Plattform, was die Effizienz erhöht.

Erfahren Sie mehr über Stripe Radar oder starten Sie noch heute.

Der Inhalt dieses Artikels dient nur zu allgemeinen Informations- und Bildungszwecken und sollte nicht als Rechts- oder Steuerberatung interpretiert werden. Stripe übernimmt keine Gewähr oder Garantie für die Richtigkeit, Vollständigkeit, Angemessenheit oder Aktualität der Informationen in diesem Artikel. Sie sollten den Rat eines in Ihrem steuerlichen Zuständigkeitsbereich zugelassenen kompetenten Rechtsbeistands oder von einer Steuerberatungsstelle einholen und sich hinsichtlich Ihrer speziellen Situation beraten lassen.

Weitere Artikel

Startklar?

Erstellen Sie direkt ein Konto und beginnen Sie mit dem Akzeptieren von Zahlungen. Unser Sales-Team berät Sie gerne und gestaltet für Sie ein individuelles Angebot, das ganz auf Ihr Unternehmen abgestimmt ist.
Connect

Connect

Gehen Sie innerhalb von Wochen statt Quartalen live und etablieren Sie ein profitables Zahlungsgeschäft, das sich mühelos skalieren lässt.

Dokumentation zu Connect

Erfahren Sie, wie Sie Zahlungen zwischen mehreren Parteien vornehmen können.