Was ist Kartentestbetrug? So können Sie Ihr Unternehmen schützen

Radar
Radar

Bekämpfen Sie Betrug mit der geballten Power des Stripe-Netzwerks.

Mehr erfahren 
  1. Einführung
  2. Was sind Kartentests?
  3. Wie funktioniert Kartentestbetrug?
  4. Wie sich Kartentestbetrug auf Unternehmen und Kundinnen und Kunden auswirkt
    1. Auswirkungen auf Unternehmen
    2. Auswirkungen auf Kundinnen und Kunden
  5. Anzeichen von Angriffen durch Kartentestbetrug
  6. Worauf achtet Stripe?
  7. So schützen Sie Ihr Unternehmen vor Kartentestbetrug
    1. Wirksame Sicherheitsmaßnahmen und -tools
    2. Best Practices für die Zahlungsabwicklung
  8. So reagieren Sie auf Angriffe durch Kartentestbetrug
    1. Maßnahmen bei der Aufdeckung von Kartentestbetrug
    2. Meldeverfahren und Wiederherstellungsmaßnahmen für betroffene Unternehmen
  9. So kann Stripe Radar Sie unterstützen

Von Kartentests spricht man, wenn Betrüger gestohlene Kartenangaben (z. B. Kartennummern, Ablaufdaten und CVCs) validieren, indem sie kleine Transaktionen über Zahlungssysteme durchführen, um zu bestätigen, dass die Karte aktiv ist.

Diese Art von Betrug nutzt legitime Transaktionsprozesse, um eine Entdeckung zu verhindern. Betrügerische Akteure zielen oft auf Websites ab, die dafür bekannt sind, ein hohes Volumen an Transaktionen mit geringem Wert zu verarbeiten, da diese weniger wahrscheinlich Warnungen auslösen. Sobald eine Karte diese anfängliche „Testphase“ durchläuft und als aktiv und ungesperrt gilt, steigt ihr Wert für den betrügerischen Akteur drastisch an. Diese könnten die Karte dann selbst verwenden, um größere Käufe zu tätigen, oder sie könnten die Kartenangaben auf dem Schwarzmarkt verkaufen.

Kartenbetrug nimmt zu – und Kartentests sind einer der häufigsten Einstiegspunkte. Allein in den ersten drei Quartalen des Jahres 2025 wurden der Federal Trade Commission mehr als 500.000 Fälle von Kreditkartenbetrug gemeldet – das sind fast 180.000 mehr als im gleichen Zeitraum des Jahres 2024. Es wird erwartet, dass die weltweiten Verluste durch Kartenbetrug bis 2030 41,06 Milliarden USD erreichen werden. Die digitale Natur dieser Transaktionen bedeutet auch, dass sie von überall aus durchgeführt werden können, was die Strafverfolgungsbemühungen erschwert und die Herausforderung für Unternehmen und Finanzinstitute erhöht, die versuchen, die Finanzdaten ihrer Kundinnen und Kunden zu schützen.

Im Folgenden erklären wir, was Unternehmen über diese Art von Betrug wissen müssen und wie sie sich davor schützen können.

Worum geht es in diesem Artikel?

  • Was sind Kartentests?
  • Wie funktioniert Betrug durch Kartentests?
  • Wie sich Betrug durch Kartentests auf Unternehmen und Kundinnen und Kunden auswirkt
  • Anzeichen für Betrugsangriffe durch Kartentests
  • Worauf achtet Stripe?
  • So schützen Sie Ihr Unternehmen vor Betrug durch Kartentests
  • So reagieren Sie auf Betrugsangriffe durch Kartentests
  • So kann Stripe Radar Sie unterstützen

Was sind Kartentests?

Kartentests liegen vor, wenn böswillige Akteure versuchen, gestohlene Kartenangaben – wie Kartennummern, Ablaufdaten oder CVCs – zu validieren, indem sie diese auf Zahlungssystemen verwenden, denen es an ordnungsgemäßen Verifizierungskontrollen mangelt. Wenn eine Abbuchung erfolgreich ist (oder sogar wenn sie mit einem bestimmten Grundcode als abgelehnte Zahlung zurückgegeben wird), wissen sie, dass die Karte echt ist.

Wie funktioniert Kartentestbetrug?

Kartentestbetrug funktioniert durch einen relativ einfachen Prozess. Es gibt zwei Hauptwege, auf denen Kartentestbetrug durchgeführt wird:

  • Manuelle Tests: Ein betrügerischer Akteur probiert die Kartenangaben manuell aus und nimmt basierend auf den Ablehnungscodes Anpassungen vor. Dies hat ein geringes Volumen und geringe Auswirkungen, ist aber dennoch ein Signal.

  • Aufzählung: Ausgefeiltere böswillige Akteure verwenden automatisierte Skripte und Bots, um viele Kreditkarten gleichzeitig zu identifizieren. Dies ist besonders gefährlich.

Betrügerische Akteure beschaffen sich gestohlene Kartennummern, testen sie, um sicherzustellen, dass sie funktionieren, und verwenden sie dann. Hier erfahren Sie mehr darüber, wie dies abläuft:

  1. Betrügerische Akteure erwerben gestohlene Kartennummern: Böswillige Akteure erwerben gestohlene Kreditkartennummern, die aus Datenschutzverletzungen, Phishing-Betrug oder Darknet-Marktplätzen stammen.

  2. Sie führen Testtransaktionen mit geringem Wert durch: In der Testphase werden Transaktionen auf Websites mit geringem Wert durchgeführt. Böswillige Akteure zielen oft auf Plattformen ab, die für Mikrotransaktionen bekannt sind (z. B. digitale Dienste oder Spendenseiten), bei denen die Betrugserkennung weniger streng ist.

  3. Sie bestätigen, welche Karten aktiv sind: Für betrügerische Akteure ist es entscheidend zu bestätigen, dass die Kreditkarte aktiv ist und noch nicht als gestohlen gemeldet wurde. Genehmigte Transaktionen signalisieren dies. Auf Websites, auf denen zusätzliche Informationen wie Rechnungsadressen nicht streng verifiziert werden, wird dieser Prozess einfacher.

  4. Sie verwenden oder verkaufen verifizierte Karten: Sobald eine Karte verifiziert ist, wird sie auf dem Schwarzmarkt wertvoller. Der betrügerische Akteur kann sie nun zuversichtlich für größere, nicht autorisierte Käufe verwenden oder die Kartenangaben an andere verkaufen.

Kartentests sind in der Regel ein Frühindikator für einen breiteren Betrugsangriff, aber die eigentliche betrügerische Aktivität tritt möglicherweise erst Monate später auf oder wird entdeckt, und oft bei einer völlig anderen Händlerin oder einem völlig anderen Händler. Das macht die Rückverfolgung besonders schwierig.

Wie sich Kartentestbetrug auf Unternehmen und Kundinnen und Kunden auswirkt

Kartentests stellen für Unternehmen eine Reihe von Herausforderungen dar. Hier wird der Schaden am häufigsten erlebt:

Auswirkungen auf Unternehmen

  • Finanzielle Verluste: Unternehmen tragen die Kosten für Rückbuchungen, wenn Kundinnen und Kunden nicht autorisierte Abbuchungen anfechten.

  • Erhöhte Betriebskosten: Die Aufrechterhaltung von Systemen zur Betrugserkennung und die Bewältigung der Folgen von Betrug sind mit zusätzlichen Kosten verbunden.

  • Rufschädigung: Wiederholte Vorfälle untergraben das Vertrauen der Kundinnen und Kunden und können zu Umsatzeinbußen führen.

  • Verstärkte Überprüfung durch Kartenaussteller und Abwickler: Ein hohes Betrugsaufkommen kann zu verstärkter Überprüfung und Sanktionen durch Kreditkartenaussteller und Abwickler, höheren Gebühren oder im Extremfall zum Verlust der Fähigkeit zur Abwicklung von Kreditkartenzahlungen führen.

Auswirkungen auf Kundinnen und Kunden

  • Finanzielle Unannehmlichkeiten: Opfer von Kartentestbetrug haben den Ärger, Abbuchungen anfechten zu müssen und neue Karten ausgestellt zu bekommen. Obwohl Kundinnen und Kunden in der Regel nicht für betrügerische Abbuchungen haften, kann die Lösung dieser Probleme zeitaufwendig sein.

  • Datenschutzbedenken: Die Erkenntnis, dass die eigenen Kartenangaben gestohlen und missbraucht wurden, kann zu Bedenken hinsichtlich Datenschutz und Sicherheit führen.

  • Potenzial für größeren finanziellen Schaden: Obwohl es bei Kartentests um kleine Beträge geht, kann dies ein Vorläufer für größere nicht autorisierte Transaktionen sein, die die Kreditwürdigkeit der Kundinnen und Kunden beeinträchtigen könnten. Sobald Kartenangaben als aktiv verifiziert sind, können sie für umfangreicheren Betrug verwendet oder auf dem Schwarzmarkt verkauft werden.

Anzeichen von Angriffen durch Kartentestbetrug

Es ist wichtig, dass Unternehmen Angriffe durch Kartentests erkennen und darauf reagieren, um sich und ihre Kundschaft zu schützen. Das Erkennen der Anzeichen und die Einführung wirksamer Überwachungssysteme sind dabei die wichtigsten Schritte. Im Folgenden finden Sie einige Anzeichen dafür, dass Ihr Unternehmen von dieser Art von Angriffen betroffen sein könnte:

  • Mehrere kleine Transaktionen: Eine Reihe von Transaktionen mit geringem Wert, oft in schneller Folge, kann ein starkes Indiz für Kartentests sein. Es handelt sich in der Regel um Beträge, die niedrig genug sind, um nicht entdeckt zu werden. Stripe überwacht solche Verifizierungsabbuchungen.

  • Verwendung mehrerer Karten: Mehrere Versuche, verschiedene Kartennummern von derselben IP-Adresse oder demselben Gerät zu verwenden, sind ein Warnsignal. Es deutet darauf hin, dass jemand eine Reihe von Kartennummern testet.

  • Fehlgeschlagene Transaktionen: Eine hohe Anzahl abgelehnter Transaktionen kann ebenfalls auf Kartentests hindeuten, da betrügerische Akteure oft ungültige oder abgelaufene Kartennummern verwenden. Stripe überwacht Händlerinnen und Händler ohne vorherige Stripe-Historie auf hohe Ablehnungsraten. Stripe achtet auch auf abgelehnte Zahlungen aufgrund falscher Ablaufdaten oder nicht erkannter primärer Kontonummern (PAN), die nicht am Ende eines monatlichen Abrechnungszyklus auftreten, wenn diese Ablehnungen typischer sind. Diese Faktoren deuten darauf hin, dass ein böswilliger Akteur Kombinationen durchspielt.

  • Inkonsistente Abrechnungsinformationen: Transaktionen, bei denen die angegebenen Abrechnungsinformationen nicht mit den Kartenangaben übereinstimmen, können auf betrügerische Aktivitäten hinweisen.

Die Früherkennung hängt davon ab, zu wissen, worauf man achten muss, und schnell zu handeln, wenn Signale auftreten.

Worauf achtet Stripe?

Stripe verwendet eine Reihe von Signalen, um das Auftreten von Kartentests zu identifizieren. Hier sind einige der kritischen Indikatoren, die wir überwachen:

  • Anstieg der Ablehnungen: Betrügerische Akteure, die Karten validieren, geben häufig falsche Informationen ein, was zu einem Anstieg der abgelehnten Autorisierungen führt. Bestimmte spezifische Ablehnungsgründe weisen in der Regel auf einen Kartentestangriff hin:

    • Kein Karteneintrag: Beim Versuch, Kartenangaben zu identifizieren, können böswillige Akteure Kartenangaben eingeben, die keinem Karteninhaber oder keiner Karteninhaberin zugewiesen sind, aber mit einer Bank-Identifikationsnummer (BIN) verknüpft und in unserem System verfügbar sind. Nutzerinnen und Nutzer können diese Informationen nicht sehen, da die Karten nicht mit ihnen verknüpft sind. Das Einsetzen von abgelehnten Zahlungen auf diesen Karten kann auf andauernde Kartentests hindeuten.
    • Falsches Ablaufdatum: Häufiger fehlen betrügerischen Akteuren genaue Details wie Ablaufdaten und CVC, was sie dazu veranlasst, verschiedene Kombinationen auszuprobieren. Diese abgelehnten Zahlungen deuten darauf hin, dass der böswillige Akteur eine gültige PAN identifiziert hat – und dies weiß er aufgrund des Ablehnungsgrunds.
  • Spitze bei Kontoverifizierungen: Die Kontoverifizierung ist ein Prozess, durch den Unternehmen bestätigen, dass die für eine Transaktion verwendete Kreditkarte gültig ist. Während dieses Prozesses wird eine kleine, oft vorübergehende „Verifizierungsabbuchung“ vorgenommen, um sicherzustellen, dass die Karte aktiv ist und über ein verfügbares Guthaben verfügt. Eine plötzliche Spitze bei den Kontoverifizierungen kann ein Indiz für Kartentests sein.

  • Autorisierungen und Ablehnungen bei neuen Acquiring-Händlerinnen und -Händlern: Wir überwachen die Aktivitäten bei Acquiring-Händlerinnen und -Händlern, die bisher bei Stripe nicht in Erscheinung getreten sind. Wenn wir eine neue Händlerin oder einen neuen Händler mit einem sehr hohen Volumen an abgelehnten Zahlungen aufgrund von Nichtübereinstimmung des Ablaufdatums oder nicht existierender Karten sehen, ergreifen wir Maßnahmen, um zu verhindern, dass seriöse Unternehmen ausgenutzt werden und unseriöse Unternehmen Betrug begehen.

So schützen Sie Ihr Unternehmen vor Kartentestbetrug

Der Schutz Ihres Unternehmens vor Angriffen durch Kartentests umfasst eine Mischung aus effektiven Sicherheitsmaßnahmen, fortschrittlichen Tools, Best Practices bei der Zahlungsabwicklung und der Sicherstellung, dass Ihr Personal weiß, wie es auf Kartentests reagieren muss, wenn es Anzeichen dafür erkennt. Diese Strategien zielen darauf ab, das Risiko betrügerischer Aktivitäten zu erkennen und zu mindern, während gleichzeitig ein reibungsloses Erlebnis für legitime Kundinnen und Kunden ermöglicht wird.

Wirksame Sicherheitsmaßnahmen und -tools

  • Address Verification Service (AVS): AVS vergleicht die von der Nutzerin oder dem Nutzer angegebene Rechnungsadresse mit der bei der Kreditkartengesellschaft hinterlegten Adresse. Unstimmigkeiten können auf potenziellen Betrug hinweisen.

  • CVV-Verifizierung: Die Anforderung des CVV für Transaktionen trägt dazu bei sicherzustellen, dass die Person, die den Kauf tätigt, physischen Zugang zur Karte hat, was das Risiko einer betrügerischen Nutzung online erlangter Kartennummern verringert.

  • Festlegen von Transaktionslimits: Legen Sie Limits für die Anzahl der Transaktionen oder den zulässigen Gesamtbetrag pro Karte innerhalb eines bestimmten Zeitraums fest, um mehrere betrügerische Versuche zu verhindern. Blockieren Sie Transaktionen in Ländern, in denen Sie keine Interaktion Ihrer Nutzerinnen und Nutzer erwarten, sowie Transaktionen in Kategorien, deren Nutzung durch Ihre Nutzerinnen und Nutzer nicht erwartet wird, wie z. B. digitale Güter oder Anzeigenplattformen. Wenn eine Karte kompromittiert ist, kündigen oder frieren Sie sie sofort über die Cards-API oder die Tokens-API ein.

  • Installation fortschrittlicher Tools zur Betrugserkennung: Investieren Sie in Tools, die maschinelles Lernen (ML) und künstliche Intelligenz nutzen, um Transaktionsmuster zu analysieren und Anomalien zu kennzeichnen, die auf Kartentests hindeuten.

  • Multifaktor-Authentifizierung (MFA): Bei Transaktionen, die verdächtig erscheinen, kann die Implementierung einer zusätzlichen Authentifizierungsebene betrügerische Akteure abschrecken.

Best Practices für die Zahlungsabwicklung

  • Überwachen Sie Spitzen bei abgelehnten Zahlungen und Genehmigungen von geringen Beträgen: Achten Sie auf abgelehnte Zahlungen, die aufgrund eines falschen Ablaufdatums oder CVC zu unerwarteten Zeitpunkten im Monat oder Abrechnungszyklus auftreten. Zunahmen bei diesen Arten von abgelehnten Zahlungen sind am Ende des Monats für Karten, die mit Abonnements verknüpft sind, typisch, aber sie werfen Fragen auf, wenn sie zu anderen Zeitpunkten auftreten. Oft lassen Betrüger einer Spitze bei abgelehnten Zahlungen einen Anstieg von Genehmigungen für Transaktionen mit geringen Beträgen folgen.

  • Achten Sie auf Änderungen im Ausgabeverhalten: Käufe mit hohen Beträgen, plötzliche Ausgaben im Ausland und mehrere Käufe bei einer Händlerin oder einem Händler innerhalb von Sekunden sind es wert, untersucht zu werden.

So reagieren Sie auf Angriffe durch Kartentestbetrug

Handeln Sie schnell, wenn Betrug durch Kartentests erkannt wird.

Maßnahmen bei der Aufdeckung von Kartentestbetrug

  • Frieren Sie verdächtige Transaktionen sofort ein: Sobald ein Verdacht auf Kartentests besteht, prüfen Sie die fraglichen Transaktionen. Frieren Sie alle laufenden Transaktionen im Zusammenhang mit dem vermuteten Betrug ein, um weitere unbefugte Aktivitäten zu verhindern.

  • Wenden Sie eine erweiterte Verifizierung bei grenzwertigen Transaktionen an: Wenn einige Transaktionen Verdacht erregen, aber nicht eindeutig betrügerisch sind, implementieren Sie erweiterte Verifizierungsprozesse. Dies könnte die Kontaktaufnahme mit der Kundin oder dem Kunden zur Bestätigung oder die Anforderung einer zusätzlichen Authentifizierung umfassen.

  • Analysieren Sie das Ausmaß des Angriffs: Führen Sie eine gründliche Analyse der Transaktionsmuster durch, um das Ausmaß und die Methode des Angriffs zu ermitteln. Dies hilft bei der Identifizierung der Quelle und potenzieller Schwachstellen im System.

  • Verschärfen Sie Ihre Parameter zur Betrugserkennung: Passen Sie basierend auf der Analyse Ihre Parameter zur Betrugserkennung an, damit diese empfindlicher auf die während des Vorfalls beobachteten Aktivitäten reagieren. Dies könnte die Verschärfung von Transaktionslimits oder die Anpassung von Auslösern für Warnungen umfassen.

Meldeverfahren und Wiederherstellungsmaßnahmen für betroffene Unternehmen

  • Benachrichtigen Sie Ihre Finanzpartner: Informieren Sie Ihre Finanzpartner, einschließlich Banken und Kartenverarbeiter, umgehend über den Vorfall. Diese können helfen, auf weitere verdächtige Aktivitäten zu achten und entsprechende Maßnahmen zu ergreifen.

  • Melden Sie großflächige Vorfälle den Strafverfolgungsbehörden: Bei großflächigem Betrug ist eine Meldung an die Strafverfolgungsbehörden ratsam. Die Behörden können eine Untersuchung einleiten und darauf hinarbeiten, die Täterinnen und Täter zu fassen.

  • Ziehen Sie bei Bedarf Cybersicherheitsexperten hinzu: Wenn der Angriff komplex ist oder Bedenken hinsichtlich von Systemschwachstellen bestehen, kann die Zusammenarbeit mit Cybersicherheitsexperten helfen, zu ermitteln, wie der Angriff stattgefunden hat und wie Vorfälle verhindert werden können.

  • Kommunizieren Sie umgehend mit betroffenen Kundinnen und Kunden: Kommunizieren Sie transparent mit betroffenen Kundinnen und Kunden. Informieren Sie diese über den Vorfall und beraten Sie sie zu den Schritten, die sie ergreifen sollten, wie z. B. die Überwachung ihrer Bonitätsauskünfte oder den Austausch ihrer Karten. Halten Sie sie über Sicherheitsmaßnahmen auf dem Laufenden und ermutigen Sie sie, jegliche verdächtige Aktivität im Zusammenhang mit ihren Transaktionen zu melden.

  • Prüfen und stärken Sie Ihre Verteidigungsmaßnahmen nach dem Vorfall: Führen Sie nach dem Vorfall eine umfassende Überprüfung Ihrer Sicherheitsmaßnahmen durch. Die Stärkung Ihrer Verteidigungsmaßnahmen könnte die Aktualisierung von Software, die Überarbeitung von Protokollen oder die Schulung von Personal zu neuen Sicherheitspraktiken umfassen.

  • Dokumentieren Sie das Geschehene und passen Sie sich an: Nutzen Sie den Vorfall als Lernmöglichkeit. Analysieren Sie, was passiert ist, was an Ihrer Reaktion wirksam war und wo Verbesserungen erforderlich sind. Passen Sie Ihre Strategien entsprechend an, um besser auf Bedrohungen vorbereitet zu sein.

Erfahren Sie mehr darüber, wie Stripe Unternehmen hilft, sich vor Betrug durch Kartentests zu schützen.

So kann Stripe Radar Sie unterstützen

Stripe Radar verwendet KI-Modelle, um Betrug zu erkennen und zu verhindern. Diese Modelle wurden mit Daten aus dem globalen Netzwerk von Stripe trainiert. Sie werden kontinuierlich auf der Grundlage neuester Betrugstrends aktualisiert und schützen Ihr Unternehmen vor aufkommenden betrügerischen Aktivitäten.

Stripe bietet außerdem Radar for Fraud Teams an, mit dem Nutzer/innen benutzerdefinierte Regeln für Betrugsszenarien hinzufügen können, die speziell auf ihr Unternehmen zugeschnitten sind. Außerdem erhalten sie Zugang zu neuesten Erkenntnissen über betrügerische Aktivitäten.

Mit Radar kann Ihr Unternehmen unter anderem Folgendes umsetzen:

  • Verhinderung von Betrugsverlusten: Stripe verarbeitet jährlich Zahlungen in Höhe von über 1 Billion USD. Diese Größenordnung ermöglicht es Radar auf einzigartige Weise, Betrug zu erkennen und zu verhindern und Ihnen so Geld zu sparen.

  • Umsatz steigern: Die KI-Modelle von Radar werden anhand tatsächlicher Anfechtungsdaten, Kundeninformationen, Daten zum Surfverhalten und mehr trainiert. Damit kann Radar riskante Transaktionen identifizieren und falsch positive Ergebnisse reduzieren und so Ihren Umsatz steigern.

  • Zeit sparen: Radar ist in Stripe integriert und lässt sich ohne Codierung einrichten. Sie können über eine einzige Plattform Ihre Performance mit Blick auf Betrug überwachen, Regeln schreiben und vieles mehr. Das erhöht die Effizienz.

Erfahren Sie mehr über Stripe Radar oder starten Sie noch heute.

Der Inhalt dieses Artikels dient nur zu allgemeinen Informations- und Bildungszwecken und sollte nicht als Rechts- oder Steuerberatung interpretiert werden. Stripe übernimmt keine Gewähr oder Garantie für die Richtigkeit, Vollständigkeit, Angemessenheit oder Aktualität der Informationen in diesem Artikel. Sie sollten den Rat eines in Ihrem steuerlichen Zuständigkeitsbereich zugelassenen kompetenten Rechtsbeistands oder von einer Steuerberatungsstelle einholen und sich hinsichtlich Ihrer speziellen Situation beraten lassen.

Weitere Artikel

  • Etwas ist schiefgegangen. Bitte versuchen Sie es noch einmal oder kontaktieren Sie den Support.

Startklar?

Erstellen Sie direkt ein Konto und beginnen Sie mit dem Akzeptieren von Zahlungen. Unser Sales-Team berät Sie gerne und gestaltet für Sie ein individuelles Angebot, das ganz auf Ihr Unternehmen abgestimmt ist.
Radar

Radar

Bekämpfen Sie Betrug mit der geballten Power des Stripe-Netzwerks.

Dokumentation zu Radar

Verwenden Sie Stripe Radar, um Ihr Unternehmen vor Betrug zu schützen.