Was ist Carding? Wie diese Art von Betrug funktioniert und wie Unternehmen ihn verhindern können

Connect
Connect

Die erfolgreichsten Plattformen und Marktplätze der Welt, darunter Shopify und DoorDash, nutzen Stripe Connect, um Zahlungen in ihre Produkte einzubinden.

Mehr erfahren 
  1. Einführung
  2. So funktioniert Carding
    1. Diebstahl von Kartendaten
    2. Prüfung der Kartengültigkeit
    3. Durchführung betrügerischer Transaktionen
    4. Die Entdeckung umgehen
  3. Kurzer geschichtlicher Überblick über das Carding
    1. Der Anfang: Physischer Diebstahl und Skimming
    2. Der Aufstieg des Internets: Phishing und Hacking
    3. Dark Web und illegale Marktplätze
    4. Carding-Bots und Automatisierung
    5. Verbesserte Sicherheitsmaßnahmen und Anpassungen
    6. Moderne Techniken und Herausforderungen
  4. Wie das Dark Web und andere Online-Communities Carding ermöglichen
    1. Marktplatz im Dark Web
    2. Foren und Communitys
    3. Anonymität und Sicherheit
  5. So wirkt sich Carding auf Unternehmen und Verbraucher/innen aus
    1. Auswirkungen auf die Unternehmen
    2. Auswirkungen auf die Verbraucher/innen
  6. So können sich Unternehmen gegen Carding schützen

Unter Carding versteht man die illegale Beschaffung, den Handel oder die Verwendung von Kreditkartendaten ohne Genehmigung – häufig zum Kauf von Geschenkkarten oder Prepaid-Karten. Carding führt zu Identitätsdiebstahl, finanziellen Verlusten für Privatpersonen und Unternehmen sowie zu einer Vielzahl anderer Cyberdelikte.

Die weltweiten Verluste durch Kartenbetrug beliefen sich im Jahr 2022 auf mehr als 33 Mrd. USD. Um Carding zu bekämpfen, setzen Unternehmen Sicherheitsmaßnahmen wie Tokenisierung, Verschlüsselung, Multi-Faktor-Authentifizierung und Überwachungssysteme zur Betrugsbekämpfung ein. In diesem Leitfaden wird erläutert, was Unternehmen über Carding und dessen Funktionsweise wissen sollten und wie sie sich schützen können.

Worum geht es in diesem Artikel?

  • So funktioniert Carding
  • Kurzer geschichtlicher Überblick über das Carding
  • Wie das Dark Web und andere Online-Communitys Carding ermöglichen
  • So wirkt sich Carding auf Unternehmen und Verbraucher/innen aus
  • So können sich Unternehmen gegen Carding schützen

So funktioniert Carding

Diebstahl von Kartendaten

Der Vorgang des Carding beginnt bei Kartendieben, den sogenannten „Cardern“, die Daten von Kreditkarten durch Mittel wie Phishing, Skimming, Datenmissbrauch oder Keylogging stehlen.

  • Phishing: Die Carder nutzen betrügerische E-Mails, Websites oder Nachrichten, um Personen zur Preisgabe ihrer Kreditkartendaten zu bewegen. Zu diesem Zweck geben sich die Kriminellen oft als seriöse Unternehmen oder Dienste aus.

  • Skimming: Kriminelle installieren sogenannte Skimmer an Geldautomaten, Zapfsäulen oder Point-of-Sale(POS)-Terminals, um Kreditkartendaten von physischen Karten abzugreifen.

  • Hacking: Cyberkriminelle verwenden Malware, Ransomware oder unautorisierten Zugang, um in Computersysteme oder Datenbanken einzudringen und Kreditkartendaten zu stehlen.

  • Keylogging: Software oder Hardware zeichnet die Tastenanschläge auf dem Gerät des Opfers auf, um Kreditkartendaten und andere vertrauliche Daten zu erfassen.

  • SQL-Injektion: Schädlicher SQL-Code, der in die Datenbank einer Website eingefügt wird, extrahiert vertrauliche Informationen, einschließlich Kreditkartendaten.

  • Shoulder Surfing: Betrügerische Akteurinnen und Akteure beobachten Personen bei der Eingabe ihrer Kreditkartendaten an Geldautomaten oder beim Bezahlvorgang an der Kasse und stehlen die Daten.

  • Formjacking: Die Carder kompromittieren Online-Formulare auf seriösen Websites, um die Kreditkartendaten der Nutzer/innen abzufangen.

  • Gefälschte Apps und Websites: Betrügerische Akteurinnen und Akteure erstellen gefälschte Apps oder Websites, die legitim aussehen, und verleiten die Nutzer/innen zur Angabe ihrer Kreditkartendaten.

  • Brute-Force-Angriffe: Kriminelle verwenden Software, um Kreditkartennummern zu ermitteln, indem sie automatisch verschiedene Zahlenkombinationen ausprobieren, bis sie auf eine gültige stoßen.

Die gestohlenen Kreditkartendaten werden häufig auf illegalen Marktplätzen verkauft, wo Käufer/innen Kartennummern, Ablaufdaten, CVV-Prüfziffern und Rechnungsadressen der gestohlenen Karten erwerben können.

Prüfung der Kartengültigkeit

Nach dem Kauf gestohlener Kreditkartendaten setzen die betrügerischen Akteurinnen und Akteure Carding-Bots ein, um die Informationen zu überprüfen. Diese Bots führen automatisch kleine Transaktionen auf E-Commerce-Websites durch, um zu testen, ob die Karte aktiv ist und verwendet werden kann, ohne dass eine Betrugsmeldung ausgelöst wird.

Durchführung betrügerischer Transaktionen

Nachdem die Legitimität der Karte geprüft wurde, tätigen die betrügerischen Akteurinnen und Akteure mit diesen Informationen unberechtigte Einkäufe. Sie haben es oft auf hochwertige Artikel oder Geschenkkarten abgesehen, die gegen Bargeld weiterverkauft oder für persönliche Zwecke verwendet werden können. Mithilfe von Carding-Bots können betrügerische Akteurinnen und Akteure diesen Prozess automatisieren und skalieren, indem sie mehrere Websites ansteuern und viele Transaktionen in kurzer Zeit durchführen.

Die Entdeckung umgehen

Die betrügerischen Akteurinnen und Akteure nutzen folgende Methoden und Werkzeuge, um sich der Entdeckung zu entziehen:

  • Proxys und VPNs: Diese verschleiern den Standort der Carder und machen es E-Commerce-Websites schwer, ungewöhnliche Muster zu erkennen.

  • Zufallsgesteuerte Bots: Diese Bots simulieren menschliches Verhalten, um zu vermeiden, dass Systeme zur Betrugsbekämpfung ausgelöst werden.

  • Dezentrale Angriffe: Dezentrale Netzwerke von Bots verhindern, dass sich verdächtige Aktivitäten auf einen Ort konzentrieren.

  • Weiterverkauf und Umwandlung: Die betrügerischen Akteurinnen und Akteure tauschen illegal erworbene Waren schnell in Bargeld um, was die Rückverfolgung dieser Aktivitäten erschwert. So verkaufen sie Produkte möglicherweise auf Online-Marktplätzen oder über lokale Netzwerke weiter.

Kurzer geschichtlicher Überblick über das Carding

Der Anfang: Physischer Diebstahl und Skimming

Zunächst wurden beim Carding hauptsächlich physische Methoden eingesetzt, um an Kreditkartendaten zu gelangen. Die betrügerischen Akteurinnen und Akteure stahlen Brieftaschen oder Geldbörsen, um sich Zugang zu Kreditkarten zu verschaffen, oder brachten Vorrichtungen an Geldautomaten oder POS-Terminals an, die die Kartendaten beim Durchziehen erfassten. Von Skimmern hörte man etwa ab 2002.

Der Aufstieg des Internets: Phishing und Hacking

Mit dem Aufstieg des Internets verlagerte sich das Kartengeschäft ins Internet, was zu neuen Techniken wie Phishing und Hacking in Unternehmensdatenbanken führte, um große Mengen an Kreditkartendaten zu stehlen. Phishing gibt es zwar schon seit den 1990er Jahren, aber mit der zunehmenden Verbreitung des Internets kam es Anfang der 2000er Jahre immer häufiger vor.

Dark Web und illegale Marktplätze

Der Schwarzmarkt für gestohlene Kreditkartendaten expandierte und betrügerische Akteurinnen und Akteure begannen, diese Informationen im Dark Web zu handeln. Dies erleichterte den betrügerischen Akteurinnen und Akteuren den Erwerb und Verkauf von Kartendaten und Online-Carding-Foren wurden zum beliebten Ort für den Austausch von Carding-Techniken, den Verkauf gestohlener Daten und die Koordinierung krimineller Aktivitäten.

Carding-Bots und Automatisierung

Das Aufkommen von Automatisierung und fortschrittlicher Software führte zu immer ausgefeilteren Carding-Techniken. Carding-Bots haben den Prozess der Kartenprüfung und -validierung automatisiert, wodurch betrügerische Akteurinnen und Akteure ihre Operationen ausweiten und Betrügereien schneller begehen können. Die Carder haben außerdem begonnen, dezentrale Netzwerke von Bots zu nutzen, um große Mengen an gestohlenen Kreditkartendaten zu testen und das Risiko, entdeckt zu werden, zu verringern, indem sie ihre Aktivitäten auf mehrere Standorte und IP-Adressen verteilen.

Verbesserte Sicherheitsmaßnahmen und Anpassungen

Mit der zunehmenden Raffinesse des Carding haben sich auch die Sicherheitsmaßnahmen weiterentwickelt. Die Chip- und PIN-Technologie wurde in den 2010er Jahren zum Standard, um das Klonen physischer Karten zu erschweren. Dadurch waren die Carder gezwungen, verstärkt auf Online-Methoden zurückzugreifen. E-Commerce-Plattformen begannen, maschinelles Lernen und KI-basierte Betrugserkennungssysteme zu implementieren, um verdächtige Muster und Transaktionen zu erkennen. Um zu verhindern, dass automatisierte Bots Online-Systeme ausnutzen, wurden CAPTCHAs und Multi-Faktor-Authentifizierung eingeführt.

Moderne Techniken und Herausforderungen

Die Carder passen sich mit ihren eigenen Innovationen ständig an neue Sicherheitsmaßnahmen und Technologien an. Zu den neuen Techniken gehören Formjacking (Einschleusen von schädlichem Code in Online-Formulare, um Kreditkartendaten abzufangen), synthetischer Identitätsbetrug (Erstellen falscher Identitäten mit gestohlenen Daten, um Kreditkonten zu eröffnen) und Kontoübernahmen (Verwendung gestohlener Kartendaten, um unbefugten Zugriff auf bestehende Konten zu erhalten).

Wie das Dark Web und andere Online-Communities Carding ermöglichen

Das Dark Web und andere Online-Communitys haben das Carding ermöglicht, indem sie Plattformen für den Austausch von gestohlenen Kreditkartendaten, Tools und Wissen bereitstellen. Aufgrund der Anonymität und Sicherheit, die diese Plattformen bieten, sind die Carding-Aktivitäten widerstandsfähiger und anpassungsfähiger geworden, was Strafverfolgungsbehörden und Cybersicherheitsexpertinnen und -experten vor immer neue Herausforderungen stellt. Nachfolgend erfahren Sie, was Sie dazu wissen müssen.

Marktplatz im Dark Web

Das Dark Web ist ein Teil des Internets, der von herkömmlichen Suchmaschinen nicht indiziert wird und über spezielle Software wie „Tor“ zugänglich ist. Seine Anonymität macht es zu einem attraktiven Umfeld für illegale Aktivitäten, einschließlich Carding. Marktplätze im Dark Web dienen als Umschlagplatz für den Kauf und Verkauf illegaler Waren und Dienstleistungen. Dazu gehören unter anderem die folgenden:

  • Gestohlene Kreditkartendaten: Betrügerische Akteurinnen und Akteure verkaufen im Dark Web umfangreiche Mengen an Kreditkartendaten, die oft nach Kartentyp, Herkunftsland oder Kreditrahmen kategorisiert sind.

  • Carding-Tools: Software für Kartenbetrug, wie z. B. Kartenbetrugs-Bots, Malware und Keylogger, kann im Dark Web erworben werden und ermöglicht es Kriminellen, ihre Aktivitäten zu automatisieren und auszuweiten.

  • Verwandte Dienstleistungen: Auf Marktplätzen im Dark Web finden sich häufig Anbieter, die Dienstleistungen wie die Validierung von Kreditkarten, die Auszahlung von Bargeld und die Erstellung gefälschter Ausweisdokumente anbieten.

Foren und Communitys

Online-Foren und -Communitys im Dark Web und auf anderen Plattformen dienen als Drehscheiben für den Wissensaustausch über Carding und ähnliche Aktivitäten. Erfahrene Carder tauschen Tipps, Tricks und Schritt-für-Schritt-Anleitungen dazu aus, wie sie das Carding durchführen und dabei nicht entdeckt werden. Carding-Neulinge können sich von erfahrenen Cardern beraten und anleiten lassen. Die Carder nutzen diese Foren, um Netzwerke und Partnerschaften zu bilden, Ressourcen zu bündeln und komplexere Aktivitäten zu koordinieren.

Anonymität und Sicherheit

Das Dark Web ermöglicht anonyme, sichere Transaktionen, die es den Strafverfolgungsbehörden schwer machen, illegale Aktivitäten zu überwachen und zu unterbinden.

  • Kryptowährungen: Bei Transaktionen im Dark Web werden in der Regel Kryptowährungen wie Bitcoin verwendet, die sowohl für Käufer/innen als auch für Verkäufer/innen eine gewisse Anonymität bieten.

  • Versteckte Dienste und verschlüsselte Kommunikation: Dark-Web-Marktplätze und -Foren nutzen Verschlüsselung und Technologien für verdeckte Dienste, um die Identität der Nutzer/innen zu schützen und ihre Aktivitäten zu verschleiern.

  • Widerstandsfähige Infrastruktur: Dark-Web-Marktplätze nutzen häufig eine dezentrale und redundante Infrastruktur, um Abschaltungen durch Behörden zu entgehen.

  • Dynamische Gemeinschaften: Carding-Foren und -Communitys können unter anderen Namen und an anderen Orten schnell wieder auftauchen, was es schwierig macht, sie zu verfolgen und aufzulösen.

So wirkt sich Carding auf Unternehmen und Verbraucher/innen aus

Auswirkungen auf die Unternehmen

  • Finanzielle Verluste: Wenn es zu betrügerischen Transaktionen kommt, tragen die Unternehmen oft die Kosten für Rückbuchungen und Rückerstattungen. Dies kann sich auf den Gewinn auswirken, insbesondere bei kleinen und mittleren Unternehmen (KMU). Zusätzlich zu den erstatteten Verkäufen und den Rückbuchungsgebühren können Unternehmen mit höheren Kosten und Einschränkungen seitens der Zahlungsabwickler konfrontiert werden, wenn sie eine hohe Rückbuchungsquote aufgrund von Betrug aufweisen.

  • Imageschaden: Vorfälle mit Kartenbetrug können den Ruf eines Unternehmens schädigen. Kunden/Kundinnen, die auf der Plattform eines Unternehmens mit Betrug konfrontiert werden, verlieren möglicherweise ihr Vertrauen in das Unternehmen und hinterlassen negative Bewertungen.

  • Betriebskosten: Um Carding zu bekämpfen, müssen Unternehmen in Sicherheitsmaßnahmen, Systeme zur Betrugserkennung und Kundensupport investieren, um Probleme im Zusammenhang mit Betrug zu lösen. Solche Kosten sind mitunter sehr hoch.

  • Verstärkte Prüfungen: Hohe Betrugsquoten können zu verstärkten Prüfungen seitens der Zahlungsabwickler führen – mit der möglichen Folge höherer Gebühren, strengerer Anforderungen oder sogar der Kündigung von Händlerkonten.

  • Risiken bei der Compliance: Unternehmen sind verpflichtet, Vorschriften wie den Payment Card Industry Data Security Standard (PCI DSS) einzuhalten. Die Nichteinhaltung von Vorschriften aufgrund von Carding-Vorfällen kann Geldstrafen und rechtliche Konsequenzen nach sich ziehen.

Auswirkungen auf die Verbraucher/innen

  • Kompromittierte Konten: Verbraucher/innen, deren Kreditkartendaten gestohlen wurden, müssen möglicherweise mit unberechtigten Abbuchungen von ihren Konten rechnen. Sie müssen dann Zeit und Mühe aufwenden, um mit ihren Banken und Kreditkartenunternehmen zu versuchen, betrügerische Abbuchungen rückgängig zu machen und ihre Konten wiederherzustellen, was ein langwieriger und frustrierender Prozess sein kann.

  • Identitätsdiebstahl: Carding kann zu einem umfassenderen Identitätsdiebstahl führen, bei dem betrügerische Akteurinnen und Akteure gestohlene Kreditkartendaten verwenden, um neue Konten zu eröffnen, Kredite zu beantragen oder andere Formen des Betrugs zu begehen.

  • Emotionale Belastung: Das Aufdecken unberechtigter Abbuchungen und der Umgang mit den Folgen des Carding können bei den Verbraucherinnen und Verbrauchern emotionalen Stress und Ängste auslösen.

  • Auswirkungen auf die Kreditwürdigkeit: In einigen Fällen kann sich Kartenbetrug auf die Kreditwürdigkeit der Verbraucher/innen auswirken, insbesondere wenn der Betrug zu verpassten Zahlungen oder Zahlungsausfällen führt.

So können sich Unternehmen gegen Carding schützen

Ausgefeilte Systeme zur Betrugserkennung nutzen maschinelles Lernen und künstliche Intelligenz (KI), um ungewöhnliche Kaufmuster und Verhaltensweisen zu erkennen. Nachfolgend finden Sie Möglichkeiten, wie Unternehmen diese Technologien und andere Methoden nutzen können, um sich zu schützen.

  • Verhaltensanalytik: Analysieren Sie das Nutzerverhalten auf Ihrer Plattform, um Anomalien wie rasche Transaktionen, wiederholte Versuche mit verschiedenen Kartennummern oder ungewöhnliche geografische Muster zu erkennen.

  • Dynamische Risikobewertung und MFA: Vergeben Sie Risikobewertungen für Transaktionen auf der Grundlage mehrerer Faktoren, wie z. B. Device Fingerprinting, IP-Adresse, Geolokalisierung und historische Daten. Transaktionen mit höherem Risiko können eine Multi-Faktor-Authentifizierung (MFA) auslösen.

  • Tokenisierung: Konvertieren Sie vertrauliche Kreditkartendaten in sichere Token für den internen Gebrauch, um die Offenlegung von Kartendaten zu minimieren und das Diebstahlrisiko zu verringern.

  • End-to-End-Verschlüsselung: Verschlüsseln Sie vertrauliche Daten von der Erfassung bis zur Speicherung und Verarbeitung, um das Risiko des Abfangens und des unbefugten Zugriffs zu verringern.

  • Sichere Datenspeicherung: Speichern Sie Kreditkarteninformationen in verschlüsselten Datenbanken mit eingeschränktem Zugriff. Implementieren Sie eine rollenbasierte Zugriffskontrolle (Role Based Access Control, RBAC) und stellen Sie sicher, dass nur autorisiertes Personal auf vertrauliche Daten zugreifen kann.

  • Überwachung von Transaktionen in Echtzeit: Überwachen Sie Transaktionen in Echtzeit, um potenziell betrügerische Aktivitäten zu erkennen. Senden Sie automatische Warnungen an Sicherheitsteams zur sofortigen Untersuchung.

  • Reaktionsteams für Zwischenfälle: Bilden Sie spezielle Reaktionsteams mit klaren Protokollen für den Umgang mit Kartenmissbrauch.

  • Austausch von Informationen über Bedrohungen: Nehmen Sie an Programmen zum Austausch von Informationen über Bedrohungen teil, um über neue Trends und Techniken des Carding informiert zu sein.

  • Zusammenarbeit mit Strafverfolgungsbehörden: Arbeiten Sie mit Strafverfolgungsbehörden zusammen, die sich auf Cyberkriminalität spezialisiert haben, um bei Ermittlungen und der Zerschlagung von Carding-Aktivitäten zu helfen.

  • CAPTCHA-Alternativen: Verwenden Sie fortschrittliche CAPTCHA-Lösungen oder Alternativen wie reCAPTCHA v3, die keine Interaktion der Nutzer/innen erfordern, aber bot-ähnliches Verhalten erkennen können.

  • Begrenzung und Drosselung: Implementieren Sie eine Begrenzung, um die Anzahl der Transaktionen oder Versuche von einer einzelnen IP-Adresse oder einzelnen Nutzerinnen und Nutzern innerhalb eines bestimmten Zeitrahmens zu begrenzen.

  • Device Fingerprinting: Erfassen Sie eindeutige Gerätemerkmale, um automatisierte Bot-Aktivitäten zu erkennen. So können Sie verhindern, dass Carding-Bots eine große Anzahl gestohlener Kreditkartendaten testen.

  • Betrugswarnungen und -benachrichtigungen: Senden Sie Warnungen an Kundinnen und Kunden, wenn verdächtige Aktivitäten entdeckt werden, damit sie Transaktionen schnell bestätigen oder ablehnen können.

  • Kundenaufklärung: Informieren Sie Ihre Kundschaft über die Carding-Risiken und Best Practices zum Schutz ihrer Kreditkartendaten. Dies trägt dazu bei, die Wahrscheinlichkeit eines erfolgreichen Phishing- oder Social-Engineering-Angriffs zu verringern.

Der Inhalt dieses Artikels dient nur zu allgemeinen Informations- und Bildungszwecken und sollte nicht als Rechts- oder Steuerberatung interpretiert werden. Stripe übernimmt keine Gewähr oder Garantie für die Richtigkeit, Vollständigkeit, Angemessenheit oder Aktualität der Informationen in diesem Artikel. Sie sollten den Rat eines in Ihrem steuerlichen Zuständigkeitsbereich zugelassenen kompetenten Rechtsbeistands oder von einer Steuerberatungsstelle einholen und sich hinsichtlich Ihrer speziellen Situation beraten lassen.

Startklar?

Erstellen Sie direkt ein Konto und beginnen Sie mit dem Akzeptieren von Zahlungen. Unser Sales-Team berät Sie gerne und gestaltet für Sie ein individuelles Angebot, das ganz auf Ihr Unternehmen abgestimmt ist.
Connect

Connect

Gehen Sie innerhalb von Wochen statt Quartalen live und etablieren Sie ein profitables Zahlungsgeschäft, das sich mühelos skalieren lässt.

Dokumentation zu Connect

Erfahren Sie, wie Sie Zahlungen zwischen mehreren Parteien vornehmen können.