Die Unterwelt des Missbrauchs von Kreditkartennetzwerken
(chargebackstop.com)- Ein SaaS-Dienst stieß bei der Untersuchung eines sprunghaften Anstiegs der Kartenablehnungsrate auf einen Kartentestangriff mit automatisch generierten Namen und seltsamen E-Mail-Domains
- Der Angriff ähnelte eher manuellen bzw. leicht automatisierten Versuchen mit höchstens vier Karten pro Minute als groß angelegtem Bot-Traffic; die Karten hatten gemeinsam, dass sie von derselben Bank stammten, dieselbe Finanzierungsquelle hatten und in den USA ausgegeben wurden
- In öffentlichen Telegram-Kanälen und Online-Tools wurden BIN, CVC, Ablaufdatum, Verfahren zur Erzeugung von Kartennummern mit hoher Erfolgswahrscheinlichkeit auf bestimmten Websites sowie Tools zur automatischen Ausführung von Stripe Checkout geteilt
- Bei den erfolgreichen betrügerischen Zahlungen führten 15 % zu Chargebacks, und für das Akzeptieren von Streitfällen, Rückerstattungen, das Kündigen von Abonnements und die Verifizierung wurden mit ChatGPT erstellte Python-Skripte eingesetzt
- Der Standard-Risikoscore von Stripe Radar lag meist niedrig bei 0–5; für die tatsächliche Abwehr waren benutzerdefinierte Radar-Regeln am nützlichsten, die die Zahl der Fehlschläge pro Stunde begrenzen
Entdeckung des Kartentestangriffs und erste Reaktion
- Vor einigen Wochen wurde ein Alarm ausgelöst, dass die Kartenablehnungsrate höher als üblich sei
- Im Stripe-Dashboard wurden zahlreiche fehlgeschlagene Zahlungen von Nutzern mit scheinbar automatisch generierten Namen und seltsamen E-Mail-Domains festgestellt
- Der Dienst wertete dies als typischen Kartentestangriff, aktivierte Stripe Radar und nahm die Integration eines CAPTCHA in den Checkout ins Backlog auf
- Zur gleichen Zeit berichteten auch Pieter Levels und Danny Postma auf Twitter über ähnliche Angriffe
- Pieter Levels schrieb, er habe 240 Kunden mit dem Namen
Jake Smithvon den Philippinen erstattet bzw. storniert, und das Volumen der Kartentestzahlungen habe $7,000 betragen - Danny Postma schrieb, dass betrügerische Zahlungen unter dem Namen
jack smithaufträten und eine schnelle Lösung von Stripe nötig sei
- Pieter Levels schrieb, er habe 240 Kunden mit dem Namen
Angriffsmuster, das fast manuell wirkte
- Einige Wochen später wurde erneut ein Alarm zur Ablehnungsrate ausgelöst, und die Reaktion begann mit dem Hinzufügen temporärer Stripe-Radar-Regeln
- Bei genauer Betrachtung des Traffics zeigte sich, dass der Angreifer höchstens vier Karten pro Minute testete; die Intensität und Konsistenz des Angriffs lagen die meiste Zeit noch darunter
- Gemessen an Stripes Material zur Prävention von Kartentests war die Implementierung des Dienstes vergleichsweise gut abgesichert
- Nutzer mussten eingeloggt sein, bevor sie den Checkout öffnen konnten
- Es wurde Payment Element verwendet, und einige Signale wurden ebenfalls genutzt
- Nach Stripes Dokumentation hätte das Schutzniveau gegen Kartentests nahe bei
excellentliegen sollen
- Nach weiterer Untersuchung und Prüfung durch Kollegen wurde dieser Traffic als manueller Angriff oder als sehr leichte Automatisierung eingeschätzt
Öffentlich verbreitete Kartenparameter und Tools
- Die meisten im Angriff verwendeten Karten wiesen dieselben Merkmale auf
- Alle wurden von derselben Bank ausgegeben
- Sie hatten dieselbe Finanzierungsquelle
- Sie wurden alle in den USA ausgegeben
- Die Kartenparameter waren so ähnlich, dass Zweifel aufkamen, ob es sich tatsächlich um bei einer Bank abgeflossene Karten handelte
- In öffentlich zugänglichen Kanälen wurden BIN, CVC, Ablaufdatum und Links zu Tools gefunden, die aus diesen Eingaben gültige Kartennummern erzeugen
- BIN bezeichnet die Bank Identification Number, also die ersten 6–8 Ziffern einer Kartennummer
- Die Finanzierungsquelle gibt an, ob es sich um eine debit-, credit- oder prepaid-Karte handelt
- In öffentlichen Telegram-Kanälen fanden sich auch Nachrichten, die erklärten, wie man Spotify Premium oder YouTube Premium illegal erhält
- Es gab ein öffentliches Untergrund-Ökosystem, in dem Kartenparameter geteilt wurden, die auf bestimmten Websites, meist bei SaaS-Angeboten, mit höherer Wahrscheinlichkeit akzeptiert wurden
- Auch der Angriff auf diesen Dienst begann wahrscheinlich als manueller Angriff aus einem bestimmten privaten Discord-Server oder Telegram-Kanal, eine konkrete Quelle ließ sich jedoch nicht finden
- In öffentlichen Kanälen war häufig zu lesen, dass sie in wenigen Tagen auf privat umgestellt würden; ein erheblicher Teil der Aktivität schien an unzugänglichen Orten stattzufinden
- Es gab zudem zahlreiche Online-Tools, die automatisch generierte Kartenlisten entgegennahmen und gegen beliebige Stripe-Checkout-Sessions automatisch ausführten
- Es war unerwartet, dass selbst das vollständig von Stripe kontrollierte Stripe Checkout anfällig für Automatisierung sein konnte
- Teile des Tool-Codes erzeugten zufällige ungültige E-Mail-Adressen bei Gmail
Nacharbeiten bis hin zu Streitfällen, Rückerstattungen und Kündigung von Abonnements
- Einige Angreifer waren mit Zahlungen erfolgreich und kauften tatsächlich das Produkt, wodurch der Aufwand für die Nachbereitung stark anstieg
- Um das Ausmaß zu ermitteln, wurde im Datenspeicher nach Kunden gesucht, die seit dem 1. Mai mehr als fünf fehlgeschlagene Zahlungen hatten
- Mit ChatGPT wurde ein Python-Skript erstellt, um die E-Mail-Domains dieser Kunden zu extrahieren
- Auf Basis der Domainliste wurde die Datenbank abgefragt, um eine Liste erfolgreicher Zahlungen zu erhalten, die von Kunden mit E-Mail-Adressen derselben Domains erstellt worden waren
- Mit einem weiteren von ChatGPT erzeugten Skript wurde geprüft, welche Zahlungen sich bereits im Streitstatus befanden
- Von den erfolgreichen betrügerischen Zahlungen führten 15 % zu Chargebacks
- Chargeback-Quote: {p:15}
- Es wurde entschieden, alle Streitfälle zu akzeptieren und die £20 Gebühr von Stripe pro Fall in Kauf zu nehmen
- In Stripe wurde ein eingeschränkt berechtigter restricted key mit minimalen Rechten erstellt, und mit ChatGPT wurde ein Skript zum Akzeptieren von Chargebacks erzeugt
- Anschließend wurden per Skript die Zahlungen aus der Liste abgerufen, nicht strittige Zahlungen erstattet und die aktiven Abonnements der Kunden gekündigt, die diese Zahlungen erstellt hatten
- Selbst bei erstatteten Zahlungen konnten im Zuge erfolgreicher Zahlungen und Rückerstattungen Verluste durch Stripe- und Netzwerkgebühren entstehen
- Mit einem letzten Verifizierungsskript wurde geprüft, ob alle Zahlungen entweder akzeptierte Streitfälle oder Rückerstattungen waren und ob für diese Kunden keine aktiven Abonnements mehr verblieben
- ChatGPT riet beim Ausführen der Skripte zu Vorsicht und kleinen Stichprobentests; die Skripte wurden direkt geprüft, und Kundendaten, IDs und API-Schlüssel wurden nicht geteilt
Die Belastung durch Genehmigungspraktiken US-amerikanischer Banken
- Die Welt des Online-Payments erscheint für Händler in vieler Hinsicht unfair
- Die Chance, einen Streitfall zu gewinnen, ist gering
- Laut Stripe muss die Streitfallaktivität unter 0.75 % gehalten werden
- Händler müssen £20 pro Streitfall zahlen, unabhängig davon, ob sie gewinnen oder verlieren
- Gleichzeitig können Banken, insbesondere US-Banken, Zahlungen selbst unter folgenden Bedingungen genehmigen
- Der vollständige Name ist falsch
- CVV/CVC ist ungültig
- Das Ablaufdatum ist falsch
- Die Rechnungsadresse ist nur teilweise angegeben und auch die ZIP code ist falsch
- Selbst unter diesen Bedingungen wurde 3D Secure nicht zwingend ausgelöst
- Es bleibt die Frage, warum Händler für Zahlungen haften sollten, bei denen praktisch nur die Kartennummer korrekt ist
- Bei prepaid card könnten solche Prüfungen nur eingeschränkt möglich sein, dennoch sieht man Raum für Verbesserungen
Stripe-Radar-Regeln, die tatsächlich wirksam waren
- Die erste Reaktion war die Aktivierung von Stripe Radar
- Stripe Radar ist eine auf Machine Learning basierende Lösung, die jede Zahlung bewertet und bei bestimmten Unstimmigkeiten automatisch blockieren soll
- In diesem Fall half die Standardbewertung von Radar nicht besonders viel
- Die meisten betrügerischen Zahlungen erhielten einen niedrigen Risikoscore von 0–5
- Umgekehrt wurden einige legitime Kunden blockiert, nachdem sie die 3D-Secure-Challenge zweimal nicht bestanden hatten
- Diese Erfahrung weckte Bedenken, das Schicksal von Kunden Machine Learning zu überlassen
- Deutlich nützlicher waren benutzerdefinierte Stripe-Radar-Regeln
- Anforderung einer 3D-Secure-Challenge
- Weiterleitung zur manuellen Prüfung
- Vollständige Blockierung
- Radar-Regeln wirken wie Pseudocode, können aber recht komplexe Logik ausdrücken, um bösartige Zahlungsversuche einzugrenzen
- Am nützlichsten war es, pro Kunde sinnvolle Grenzen für die Zahl der Zahlungsfehlschläge innerhalb von 1 Stunde, 1 Tag und 1 Woche zu setzen
- Das Hinzufügen von CAPTCHA, das Überwachen der Fehlerrate und das Teilen benutzerdefinierter Radar-Regeln bleiben realistische Maßnahmen, solange Banken nicht mehr Verantwortung für Genehmigungen übernehmen
Die Kosten werden letztlich auf Händler und Kunden abgewälzt
- Die Kosten betrügerischer Aktivitäten – von Payment-Processor-Gebühren über Chargeback-Strafen und Engineering-Aufwand bis hin zum Risiko, von Plattformen ausgeschlossen zu werden – tragen Unternehmen weltweit
- Dass Stripe Händlern eine Chargeback-Gebühr von £20 berechnet, wird ebenfalls als Beispiel unfairer Behandlung gesehen
- Diese Kosten werden am Ende in Form höherer Preise an Kunden weitergegeben
- Die Zahlungsnetzwerke, auf die man sich täglich verlässt, sind stark missbrauchsanfällig, und die endgültige Entscheidung, ob eine Karte belastet werden kann, liegt im Ermessen der ausgebenden Bank
- Solange Banken nicht mehr Verantwortung für Genehmigungen übernehmen, bleibt Händlern kaum mehr, als Ablehnungsraten genau zu beobachten, CAPTCHA hinzuzufügen und Stripe-Radar-Regeln zu verbessern
1 Kommentare
Hacker-News-Kommentare
Am erstaunlichsten ist nicht, dass es Gruppen gibt, die Stripe-Zahlungen missbrauchen, sondern dass der Autor ChatGPT ein Skript zur Automatisierung der Zahlungsabwicklung erstellen ließ.
Besonders problematisch ist, dass es für die Bearbeitung von Chargebacks gedacht war; im Kontext des Beitrags wirkte es so, als fehle dem Autor die technische Kompetenz, dieses Skript selbst zu schreiben oder zu prüfen.
Er vertraute darauf, dass Stripe die Betrugsprävention übernehmen würde, ist empört, weil dieses Vertrauen enttäuscht wurde, und vertraut nun wieder blind einer anderen Technologie, die er nicht versteht.
Das Problem ist nicht nur Stripe, sondern die Haltung, Vertrauen irgendwohin auszulagern und zu hoffen, dass alles gutgeht.
Der Autor hat nicht die Zahlungsabwicklung ausgelagert, sondern eher ein Skript erstellt, das die Chargebacks dieser Konten durchgeht und im Grunde den „Akzeptieren“-Button drückt.
Ich weiß auch nicht, woher die Einschätzung mangelnder technischer Kompetenz kommt; im Beitrag steht zudem, dass er „alle Skripte sorgfältig geprüft und keine Kundendaten, IDs oder API-Keys geteilt“ habe.
Dabei hat sie lediglich mit ChatGPT ein Skript erstellt, um Zeit zu sparen.
Ob sie nicht technisch ist oder nur Zeit sparen wollte, weiß ich nicht, aber ehrlich gesagt sollte man diese Umsetzungskraft loben.
Diese Skripte haben keine Entscheidungen über Leben und Tod oder zentrale Geschäftsentscheidungen getroffen, sondern waren Werkzeuge, die Massendaten gefiltert und schnell manuell überprüfbare Ergebnisse geliefert haben.
Für mich wirkt das eher wie ein Paradebeispiel dafür, wo ChatGPT am nützlichsten ist: als Werkzeug zur Verstärkung der eigenen Fähigkeiten, mit dem ein Gründer mit wenig Zeit für ein konkretes Ziel kurzfristig benötigtes Fachwissen bekommt und ein Skript erstellt.
Früher hätte man für dasselbe Ergebnis einen externen Dienstleister suchen, beauftragen und einweisen müssen, was Wochen gedauert hätte; jetzt lässt sich das fast kostenlos und sofort bauen.
Dass man so etwas reflexhaft „erstaunlich“ oder unverantwortlich findet, kann ich verstehen, aber es wirkt ziemlich nach einer „diese Jugend von heute“-Reaktion.
Wenn das die Zukunft ist, sollten Entwickler meiner Meinung nach die wachsende Selbstständigkeit von Nicht-Technikern unterstützen und darüber nachdenken, wie man Gründern dabei hilft, ChatGPT besser um Skripte zu bitten.
Man kann schwer sagen, dass mir in diesem Bereich technische Expertise fehlt; ich versuche lediglich, meine Zeit so effizient wie möglich zu nutzen.
Der Autor hat bereits geantwortet, dass er die Skripte geprüft und keine sensiblen Daten hochgeladen hat; dazu gibt es nichts weiter hinzuzufügen.
Viele Menschen nutzen ChatGPT effektiv, vertrauen den Ergebnissen aber nicht blind. Für mich ist ChatGPT ein Ausgangspunkt, nicht das Endergebnis.
Nicht alle sind so dumm wie jener Anwalt, der halluzinierte Fallzitate ungeprüft in einen Schriftsatz kopiert hat.
Ich habe viele ähnliche Beiträge gelesen, kann mich aber kaum daran erinnern, dass ein Autor plötzlich erwähnt, er habe beim Programmieren auf Stack Overflow zurückgegriffen, wenn der Text nicht selbst ein Meta-Beitrag über Coding oder Debugging ist.
Wenn man als ausländisches Unternehmen Zahlungen in den USA annimmt, sollte man so etwas einfach als Betriebskosten einplanen.
Kreditkartenbetrug ist in den USA sozialisiert. Endverbraucher haften nicht, also haben sie keinen besonderen Grund, Chip und PIN, Zwei-Faktor-Authentifizierung oder 3D Secure zu nutzen.
Wenn sie eine verdächtige Transaktion bemerken, tippen sie in der Banking-App auf einen Button, und innerhalb weniger Minuten wird die Zahlung storniert.
Auch Banken und Zahlungsabwickler haben den Anreiz, Transaktionen möglichst schnell und reibungslos durchzuwinken, damit die Leute sie häufiger nutzen.
Wie der Autor sagte, werden Zahlungen meistens trotzdem akzeptiert, selbst wenn Ablaufdatum, Rechnungsadresse oder Postleitzahl nicht stimmen.
Der Nachteil ist, dass die gesamte Haftung auf die Händler abgewälzt wird, die wiederum gezwungen sind, die Preise für alle zu erhöhen, um das auszugleichen.
In Dänemark gibt es denselben Verbraucherschutz, Chargeback-Möglichkeiten und staatliche Garantien, damit Verbraucher kein Geld verlieren, wenn ihr Bankkonto leergeräumt wird.
Trotzdem gibt es am Point of Sale starke Schutzmechanismen wie verpflichtenden Chip und PIN und 3D Secure.
Ich sehe keinen vernünftigen Grund, warum es in den USA keine bessere Kartensicherheit gibt. Es wirkt einfach so, als wolle man sie nicht.
In den USA liegen sie normalerweise bei etwa 2% des Transaktionsbetrags, in der EU sind sie auf maximal 0,3% begrenzt.
Selbst das erscheint angesichts der bewegten Geldbeträge immer noch hoch.
Auch diese Kosten werden letztlich sozialisiert und an die Verbraucher weitergegeben; selbst wer bar zahlt, trägt sie über höhere Preise mit.
Nebenbei: Bei 3D Secure kann der Karteninhaber nach den Bedingungen einiger Banken für betrügerische Zahlungen haften.
Bei Zwei-Faktor-Authentifizierung per Handy reicht es schon, wenn Handy und Geldbörse zusammen gestohlen werden; ich habe tatsächlich in den Nachrichten Fälle gesehen, in denen Menschen Tausende Dollar verloren haben.
Sie sehen nur eine Belohnung von ein bis zwei Cent pro Dollar, höchstens vielleicht fünf Cent, in Form von „Punkten“; und weil ein Cent als 100 Punkte dargestellt wird, sieht das überzeugend aus.
Unsichtbar bleiben Aufschläge von 3–5% oder mehr auf die allgemeinen Warenpreise, Chargebacks und Bearbeitungskosten, betrügerische Zahlungen, schwache Sicherheit, Geschäfte, die immer noch Magnetstreifen akzeptieren, und eine Vielzahl von Zwischenhändlern.
Bankgebühren, Gebühren der Kartenaussteller, Netzwerkgebühren und Gebühren für Premiumkarten kommen immer weiter obendrauf.
Es ist völliges Chaos, und ich hasse es wirklich.
Ich hoffe, dass FedNow das ändert. Die Zwischenhändler, die den Leuten das Geld absaugen, müssen weg; Parasiten und Verschwendung müssen verschwinden.
Ich habe in den letzten zwei Jahren zwei Organisationen betrieben, denen ich angehöre, und beide wurden von automatisierten Kreditkarten-Verifizierungsbots getroffen, die französische Bankkarten nutzten; viele Karten gingen durch.
Natürlich gibt es bei beiden Organisationen die Vorgeschichte, dass sie meine früheren Warnungen ignoriert hatten, ihre Zahlungsseiten zu härten, und eine davon nutzte sogar noch Magento 1.
Das ist nur eine Anekdote, aber das eigentliche Problem ist, dass Kreditkarten ein ebenso provisorisch zusammengeflicktes Relikt sind wie ACH und niemand ernsthaft versucht, das sinnvoll zu reparieren.
Kreditkarten wurden in den USA erfunden, deshalb ist die Technik alt, und Upgrades brauchen lange.
Für manuelle Zahlungen sieht Indiens UPI ziemlich gut aus. Soweit ich gehört habe, bestätigt der Kunde dabei jede Zahlung auf dem Handy, bevor sie verarbeitet wird.
Im Zusammenhang mit Chargeback-Gebühren hat Visa vor einigen Jahren ein Unternehmen namens Verifi übernommen.
Es gibt die neuen Produkte Rapid Dispute Resolution und Order Insight.
RDR ermöglicht automatische Rückerstattungen, bevor eine Transaktion zu einem Chargeback wird, und Visa erhält dafür eine Gebühr von 4 Dollar. Voraussetzung ist, dass der MCC-Code nicht als Hochrisiko eingestuft ist.
Order Insight ermöglicht es, zu einer angefochtenen Zahlung sofort bestimmte Daten bereitzustellen; wenn ein Kunde in der Vergangenheit bereits dreimal gezahlt hat, kann kein Chargeback ausgelöst werden.
Für unser Geschäft war das anhand von Gewinnquote, durchschnittlichem Bestellwert und Chargeback-Gebühren eine sehr einfache Entscheidung.
Jetzt müssen wir uns auch nicht mehr ständig um Visas oder die 1-%-Chargeback-Regel der Acquirer-Bank sorgen.
Es gilt nur für Visa-Zahlungen, die aber rund 50 % unseres gesamten Transaktionsvolumens ausmachten.
Schließlich nimmt Visa den Zahlungsabwicklern damit faktisch eine riesige Einnahmequelle weg. Wenn der Prozessor TSYS ist, wird er versuchen, 10 Dollar RDR-Gebühr zu verlangen.
Ich habe von Ethoca gehört; die machen wirklich gutes SEO. Es sieht Verifi ziemlich ähnlich.
Ich weiß nicht, warum die USA beim Banking so rückständig wirken.
In Großbritannien wurde Chip und PIN 2004 eingeführt und ab 2006 verpflichtend, während die USA etwa zehn Jahre später nachzogen.
Faster Payments bietet kostenlose Sofortüberweisungen zwischen den meisten Bankkonten. Geld von US-Kunden zu erhalten war immer ein Albtraum, selbst mit einem US-Wise-Konto.
Seit die EU starke Kundenauthentifizierung eingeführt hat, müssen die meisten neuen Zahlungen per Mobile-Banking-App oder einem anderen 2FA-Verfahren bestätigt werden.
Schon davor mussten zumindest Postleitzahl und CVV übereinstimmen.
Solche Maßnahmen wirken wie eine Art, mit der Banken die Haftung für Betrug auf die Kunden abwälzen, aber so oder so landet der Schaden beim Kunden.
In einer Kultur, in der Kartenbetrug weithin hingenommen wird, steigen die Preise, um diese Kosten auszugleichen.
Statt direkt am Tisch am Terminal zu bezahlen, muss man dem Servicepersonal die Karte geben und warten, bis sie irgendwo manuell verarbeitet wird.
In den letzten Jahren mag es besser geworden sein, aber in Kanada wird diese Methode seit den frühen 2000ern nicht mehr verwendet.
Dadurch kann es Y % mehr Kunden abwickeln, und wenn Y größer ist als X, macht es langfristig mehr Gewinn.
In den USA funktioniert dieser Ansatz dank der enormen Größe für viele Unternehmen.
McDonald’s zum Beispiel fährt in der Mittagsspitze wahrscheinlich mit besseren Margen, wenn Zahlungen schnell abgewickelt werden, statt eine Sekunde darauf zu verwenden, zu prüfen, ob kein Betrug vorliegt.
In Europa funktioniert das vielleicht nicht, aber ich denke, bei der Analyse der tatsächlichen Kosten wird die Dimension Transaktionsgeschwindigkeit und Skalierung übersehen.
Sobald das Verhältnis von Betrug und Gewinn für Unternehmen ungünstig wird, werden in den USA die wichtigsten Betrugspräventionsmechanismen praktisch sofort aktiviert.
Über 50 Bundesstaaten hinweg gibt es Tausende kleiner Regionalbanken, und auch die einzelnen Bundesstaaten sind ziemlich eigenständig.
In so einem Umfeld ist es deutlich schwieriger, große neue Technologien auszurollen.
Chip und PIN funktioniert bei Internetzahlungen nicht.
Banküberweisungen passen international nicht gut zusammen.
Adressprüfung und CVV lassen sich leicht aktivieren, können aber auch mehr legitime Transaktionen ablehnen. Manchmal sind diese Kosten höher als das Betrugsrisiko, das sie abfangen.
Die Betrugshaftung wird nicht auf Kunden, sondern auf Händler abgewälzt.
Natürlich schlagen sich die Betrugskosten der Händler am Ende in den Preisen nieder und Kunden zahlen mehr, aber nur in dem Sinn, dass letztlich alle Betrugskosten an Verbraucher weitergegeben werden.
In Wirklichkeit ist es nicht so; es ist ein komplexes Problem, und Akteure auf beiden Seiten des Atlantiks spielen unredliche Spiele, um Veränderungen auszunutzen.
Außerdem werden die beteiligten Rollen ignoriert.
Mittzwanziger mit stabiler Anstellung machen aus mehreren Gründen einen immer kleineren Teil der realen Systeme aus.
Manche sehen auch, dass arbeitende Mittzwanziger in der EU und anderswo ausgebeutet werden und Rechte verlieren.
Der Server einer früheren Firma von mir wurde gehackt; die API-Keys wurden gestohlen und auf diesem Server wurde Carding betrieben.
PayPal sagte, wir müssten 100.000 Dollar an Gebühren zahlen.
Wir waren ein Unternehmen, das für Kursanmeldungen höchstens fünf Zahlungen pro Tag verarbeitete, jeweils etwa 4.500 Dollar.
Der Hacker ließ jede Sekunde Autorisierungsanfragen über 1 Dollar gegen zufällige Kreditkartennummern laufen.
Am Ende mussten wir die Carding-Gebühren nicht zahlen, aber es war ihnen egal.
Es ist ihnen egal, weil sie an Betrug verdienen.
In der Konfiguration hatten wir festgelegt, dass Bestellbeträge nur zwischen 2.500 und 6.000 Dollar erlaubt sind, aber Autorisierungsanfragen wurden offenbar nicht geprüft.
Wirklich verrückt.
Das war um 2010, und Stripe war damals in Kanada nicht verfügbar.
Stripes Betrugsprävention ist furchtbar, und das ist Absicht.
Sie wälzen die Kosten des Risikomanagements ganz offen auf ihre Kunden ab. Es ist geradezu obszön.
Ich arbeite im Bereich Kreditkartenbetrugsprävention, und obwohl ich nicht einmal besonders gut darin bin, hat unser 3,5-köpfiges Team problemlos Systeme gebaut und betrieben, die solche Carding-Angriffe abwehren.
Die wichtigste Methode für Händler, Carding-Angriffe zu verhindern, besteht darin, sich ein bisschen lästiger zu machen als das nächste Ziel.
Für mich sieht es so aus, als sei Stripe damit einverstanden, das am leichtesten angreifbare große Netzwerk zu bleiben, weil sie Schmerz und Kosten auf die Nutzer abwälzen können.
Stripe könnte solche Schäden mit sehr geringen Kosten leicht verhindern.
Sie entscheiden sich dafür, Nutzer leiden zu lassen, um ein paar Cent zu sparen.
Stripe Taxes und der miserable Währungsumtausch folgen derselben Strategie.
Am Anfang bieten sie den Dienst nicht ordentlich an, bis man schließlich merkt, dass die Stripe-Transaktionskosten auf einen zweistelligen Prozentsatz des Gesamtpreises steigen.
Edwin von Stripe hier. Ich möchte ergänzen, dass dieser Beitrag eine Kopie eines einen Monat alten Artikels (https://piotrmierzejewski.com/p/card-networks-exploitation) ist.
Seitdem haben wir den Großteil dieses Problems behoben. Diese Art von Card Testing ist zurückgegangen, und Radar sollte solche Angriffe jetzt erkennen.
Zu Chargebacks: Wir hassen Chargebacks ebenfalls und wollen sie so weit wie möglich reduzieren.
Tatsächlich arbeiten wir an ein paar Dingen, die hierbei helfen sollen.
Banken erheben Chargeback-Gebühren in unterschiedlicher Höhe, und der Durchschnitt davon wird als Gebühr von 20 Dollar ausgewiesen.
Das ist keine Stripe-spezifische Gebühr, und wir verdienen nicht an Chargebacks.
Wir haben gerade die Unternehmensplanung für den Rest des Jahres abgeschlossen, und die Reduzierung dieser Art von Betrug hat höchste Priorität.
Wenn ihr glaubt, etwas Ähnliches zu erleben, könnt ihr mir unter edwin@stripe.com schreiben.
Ernsthaft, das sage ich als euer Kunde.
Ich habe letztes Jahr bei einem E-Commerce-Unternehmen gearbeitet, in einer Rolle, in der ich für Systeme, CI, Infrastruktur und Software zuständig war.
So etwas war wirklich häufig, und ich habe jede Woche mindestens einen Tag damit verbracht, neue Muster zu erkennen und zu blockieren.
Die Angreifer validierten Kreditkarten über unser System.
Am Ende hatten wir Angriffe auf Warenkorb und Checkout fast vollständig blockiert, aber die Requests kamen weiter herein.
Später, als ich wegen eines nicht damit zusammenhängenden PHP-Problems Logs durchsuchte, sagte mir ein Software Engineer, dass auf einer Seite, auf der man Zahlungsmittel für später speichern konnte, enorm viel Traffic einging.
Die Plattform löste eine 1-Dollar-Zahlung aus, um zu prüfen, ob die Karte echt war, und die Angreifer nutzten genau das, um Karten immer weiter durchzuprobieren.
Kreditkartendiebe sind wirklich einfallsreich.
Ich habe einmal den Rat bekommen: Wenn man mit Stripe Betrug erkennen will, ihn ernsthaft reduzieren möchte und genug Transaktionsvolumen hat, sollte man am besten ein eigenes Betrugserkennungsmodell trainieren.
Selbst etwas Einfaches wie ein logistischer Klassifikator kann funktionieren.
Stripe Radar ist nicht auf die Details jedes einzelnen Geschäfts zugeschnitten, und zusätzliche Signale wie welches Produkt gekauft wird oder wie viel Zeit zwischen dem Öffnen der Website und dem Kauf vergeht, können einfließen.
Benutzerdefinierte Radar-Regeln funktionieren bis zu einem gewissen Grad ebenfalls.
Ich verstehe, dass viele Indie-Unternehmer dafür weder die Ressourcen noch den Willen haben.
Es gibt auch Lösungen, die man kaufen kann, aber sie sind teuer und zielen meist auf Händler mit hohem Transaktionsvolumen.
Vielleicht bringt Stripe eines Tages ein feinabstimmbares Radar-Produkt heraus.
Noch ein weiterer Grund, warum die Kreditkartenbranche verschwinden sollte.
Sicherheitsprotokolle gibt es kaum oder sie wurden seit dem frühen 21. Jahrhundert nicht mehr aktualisiert, und der Missbrauch durch Zwischenhändler ist unzählbar.
Die Kosten für den Umgang mit diesem Ärger werden in Form höherer Transaktionsgebühren und Chargeback-Gebühren an Händler weitergereicht und landen am Ende bei den Verbrauchern.
Man sollte auch nicht vergessen, dass die Kreditkartenbranche bei Verbrauchern die schlimmsten Konsumgewohnheiten fördert und den endlosen Kreislauf der Schuldknechtschaft aufrechterhält.