Kreditkartenbetrug ist auch ein Business – mit eigener Supply Chain und QC-Organisation

• Eine interessante Geschichte eines Stripe-Mitarbeiters, die drei Themen miteinander verknüpft

→ Wohltätige Spenden

→ Die Supply Chain für Kreditkartenbetrug

→ Globale Finanzinfrastruktur

• Kreditkartenbetrüger verfügen über ein sehr ausgefeiltes und spezialisiertes Ökosystem

→ Es gibt sogar Quality-Control-Abteilungen, die bei dedizierter Infrastruktur und Reaktionsgeschwindigkeit miteinander konkurrieren

• Die meisten gestohlenen Karten werden nicht von Dieben/Hackern selbst verwendet, sondern auf diesem Markt verkauft

→ Das ermöglicht eine Spezialisierung der Arbeit

→ In diesem Markt gibt es auch Qualitätsstandards, die etwa über Sternbewertungen und Reviews verwaltet werden, um die Produktqualität zu sichern

• Diese „Qualität“ bedeutet: „Kann der Käufer mit dieser Karte tatsächlich Geld abheben?“

→ Das wird durch sogenanntes „Card Testing“ vor dem Verkauf (oder auch danach) sichergestellt

• Der Nutzen solcher Karten nimmt mit der Zeit ab (weil Karten storniert oder gesperrt werden)

→ Diebe führen direkt vor dem Verkauf „Testtransaktionen“ aus, um zu zeigen, dass diese Karten einen höheren Preis wert sind

→ Diese Tests sind wichtig, weil Käufer bei einem fehlgeschlagenen „Kreditkartenbetrugs“-Versuch mit so illegal gekauften Karten auch andere knappe Ressourcen verlieren können, die sie für den Kauf eingesetzt haben

• Legitime Unternehmen und Wohltätigkeitsorganisationen werden für „groß angelegtes Card Testing“ genutzt (teils bei Millionen Menschen gleichzeitig)

→ Die Betrüger holen sich dort nicht direkt etwas

→ Sie wollen nur prüfen, ob die Karte funktioniert, weil sie dafür am Markt mehr Geld verlangen können

• Wohltätigkeitsorganisationen machen 11 % aller Card-Testing-Versuche aus

→ Andere Branchen liegen deutlich niedriger (mehr als dreimal so hoch wie Religion/Bildung/Versicherungen usw.)

• Warum nehmen Betrüger bevorzugt Wohltätigkeitsorganisationen ins Visier?

→ Ein Grund ist, dass große Wohltätigkeitsorganisationen (außer solchen mit eigenem Payment-Team)

oft nicht damit rechnen, dass jemand ihnen Geld gibt und sie dabei missbräuchlich für illegale Zwecke nutzt

• Für E-Commerce ist Anti-Fraud essenziell, aber Wohltätigkeitsorganisationen haben dafür oft nicht die Mittel

• Dieses Card Testing ist für Wohltätigkeitsorganisationen jedoch wirklich schlecht

• Solche Zahlungen werden rückgängig gemacht, wenn der Karteninhaber Einspruch erhebt, und die Organisationen werden in der Finanzbranche dafür benachteiligt, dass sie dies zugelassen haben

• Im schlimmsten Fall kann das wiederholte Versäumnis, solches Card Testing zu stoppen, dazu führen, dass sie überhaupt keine Kartenspenden mehr annehmen können

• Für kleine Wohltätigkeitsorganisationen, die vollständig auf Online-Kartenspenden angewiesen sind, ist das katastrophal

• Während der Pandemie nahmen Card-Testing-Angriffe schnell zu

• In dem Teil Asiens, in dem ich lebe, lag der Anstieg im gesamten Stripe-Netzwerk 56 % über den Erwartungen

• Was können kleine Wohltätigkeitsorganisationen dagegen tun?

• Stripe hat die Verantwortung, sie davor zu schützen, und hat dafür verschiedene Maßnahmen ergriffen

→ Es wird weiterhin daran gearbeitet, Card-Testing-Angriffe im Backend zu erkennen

→ Im Frontend wäre ein stärkeres Eingreifen möglich, aber kleine Organisationen haben nicht die Ressourcen, das umzusetzen

typische Wohltätigkeitsorganisationen haben keine Entwickler im Team)

• Deshalb wurde in Stripe Checkout ein Moderationsmodell implementiert

→ Kartenzahlungen wegen eines Angriffs komplett zu blockieren, würde den Wohltätigkeitsorganisationen schaden

→ Deshalb wird bei Angriffen etwas wie ein Captcha eingeblendet. Das ist sehr effektiv.

→ Typischerweise sind bei einem Angriff nur 1,6 % der Captcha-Versuche erfolgreich

→ Das wird nicht allen angezeigt, sondern nur Nutzern, die als Angreifer erkannt werden, daher sehen legitime Nutzer es fast nie