Wie Stripe auf massenhafte Kartentests reagiert

Lead image 3 (higher res)

Zwischen Februar und August 2022 verzeichnete Stripe eine Welle von Kreditkartenbetrug, bei der böswillige Akteur/innen Händler/innen mit Millionen von Transaktionen im niedrigen oder Null-Dollar-Bereich überschwemmten. Diese „Kartentest“-Angriffe ermöglichen es Betrüger/innen, zu überprüfen, ob gestohlene Kreditkarten noch funktionieren, um damit Unternehmen zu schädigen. Auf dem Höhepunkt der Welle blockierte Stripe Radar, die Betrugspräventionslösung von Stripe, täglich über 20 Millionen Kartentests.

Die Sommerwelle lag im Trend: Seit Jahren nimmt die Zahl der Kartentests zu, da immer mehr Unternehmen online gehen. Viele sind mit den Feinheiten des E-Commerce nicht vertraut und haben sich selbst anfällig für bösartige Akteur/innen gemacht. Seit 2019 ist die Zahl der Kartentests um mehr als das 100-Fache gestiegen.

Card testing sent to Stripe vs baseline v4b OL

Überprüfung gestohlener Karten

Kartentests spielen eine entscheidende Rolle beim Versuch, sich mithilfe der Daten gestohlener Kreditkarten zu bereichern. Wer sich eine Liste mit Kreditkartenangaben beschafft, weiß nicht, welche Karten darauf noch funktionieren. Einige könnten bereits gesperrt, andere abgelaufen sein. Daher ist es schwierig, den tatsächlichen Wert einer solchen Liste zu bestimmen.

Hier kommen Kartentests ins Spiel.

Kartentester/innen nutzen Software, die automatisch versucht, mit jeder Karte eine kleine Zahlung zu tätigen oder sie auf einer Website als verifizierte Zahlungsquelle zu speichern. Karten, die erfolgreich getestet oder gespeichert wurden, können an andere Betrüger/innen weiterverkauft werden, die sie dann für größere Käufe oder zur Herstellung gefälschter Karten verwenden.

„Betrug läuft im Allgemeinen in einem Ökosystem ab, in dem verschiedene Akteur/innen verschiedene Dinge in der Wertschöpfungskette tun, um an Geld zu kommen“, sagt Will Megson, Produktleiter bei Radar.

Schaden für Händler/innen

Abgesehen davon, dass sie auf Betrug abzielen, stellen massenhafte Kartentests ein Problem für Anbieter/innen und Plattformen dar. Die Anbieter/innen zahlen für jede Transaktion Netzwerkgebühren. Diese sind zwar pro Transaktion gering, summieren sich aber, wenn eine Website plötzlich für Tausende oder sogar Millionen von Kartentests genutzt wird. Kleine Händler/innen können aufgrund von Kartentests innerhalb weniger Stunden ruiniert sein.

Und das ist erst der Anfang. Auch kleine Belastungen aus Kartentests können von Karteninhaber/innen angefochten werden, was Rückbuchungen zur Folge hat, die für die Händler/innen mit einer Vielzahl von Kosten verbunden sind: Gebühren für die Anfechtung und Schlichtung, Interbankenentgelte und viele Arbeitsstunden für die Klärung. Infolgedessen können Kartennetzwerke Händler/innen in Hochrisikokategorien wie das Betrugsüberwachungsprogramm von Visa oder das Mastercard Excessive Fraud Merchant Compliance Program aufnehmen, die mit erhöhten Bearbeitungsgebühren und Rücklagen der Händler/innen verbunden sind.

„Diese Programme bieten zwar Schutzmöglichkeiten, können aber auch wie eine Strafe wirken“, so Megson.

Radar reagiert

Die gute Nachricht ist, dass Unternehmen sich mit wenig Aufwand wehren können. Radar übernimmt das für sie.

Als Reaktion auf die Flut von Kartentests haben die Stripe-Entwickler/innen den Datenfluss aus dem Netzwerk von Stripe nach Radar optimiert. Dadurch war es möglich, aktualisierte Modelle innerhalb einer Stunde bereitzustellen. Der Prozess, der zuvor ein oder zwei Tage gedauert hatte, wurde beschleunigt, und Radar konnte sich an die sich schnell ändernden Betrugstrends anpassen.

„Durch die Nutzung des maschinellen Lernens durch Stripe und benutzerdefinierte Betrugsregeln konnten wir einen Rückgang unserer Betrugs- und Rückbuchungsraten erreichen“, so Lourdes García, Produktmanagerin beim Online-Optiker Ben & Frank.

Stripe hat auch ein neues Modell für maschinelles Lernen auf Transaktionsebene für Kartentests entwickelt. Dazu mussten neue Methoden zur genauen Kennzeichnung von Kartentransaktionen entwickelt werden, die über den vorhandenen Stand der Technik hinausgingen. Ein bis dahin unmöglicher Schritt, da die Kartennetzwerke keine Angaben zu Kartentests machen.

Zusätzlich zu diesen Verbesserungen durch maschinelles Lernen hat Stripe Dutzende von neuen Ratenbegrenzern eingeführt, die die Anzahl der Anfragen begrenzen, die die Stripe-API in einem kurzen Zeitraum verarbeitet. Allein dieser Schritt hat in diesem Jahr fast 40 Millionen Kartentests verhindert.

„Unsere Erkenntnisse darüber, wie Kartentestskripte mit Händler/innen interagieren, werden immer besser“, so Megson.

Mehr Angriffe blockieren

Die Ergebnisse sind ermutigend. In diesem Jahr konnte Radar bereits weitere 400 Millionen betrügerische Transaktionen blockieren. Damit hat sich die Zahl der Kartentests halbiert, ohne dass legitime Transaktionen fälschlicherweise als betrügerisch eingestuft wurden.

„Wegen der schieren Anzahl der betrügerischen Transaktionen hätten wir beinahe überhaupt keine Zahlungen mehr verarbeiten können. Dann haben wir angefangen, Radar zu benutzen, mit dem wir Betrug programmatisch bekämpfen und uns mit differenzierten Methoden gegen Kartentester/innen wehren konnten“, sagte Matt Maier, CEO von AdBlock.

Stripe investiert weiterhin in Radar, indem Innovationen im Bereich des maschinellen Lernens mit praktischen Erfahrungen aus dem Kampf gegen Kartentests kombiniert werden. So wie sich Kartentests weiterentwickeln, entwickelt sich auch Radar weiter.