Jetzt Mitglied werden

Kartenbetrug und Gefährdungspunktanalyse

Von Thorsten Hahn - 20. Juli 2010

Von Matthew O’Kane – Neues Modell zur Bekämpfung von CPPC-Betrug

15.7.2010. Weltweit nehmen Verluste durch Kreditkartenbetrug mit alarmierender Geschwindigkeit zu. Fälschungen, die durch die Manipulation von Karten entweder am Geldautomaten oder am POS ermöglicht werden, schaden dem Kundenvertrauen und den Einnahmen der Branche. Es häufen sich Vorfälle, bei denen die umfangreiche Gefährdung von Daten zu potenziell erheblichen Verlusten durch Betrug führt, die eine große Zahl von Konten betreffen. Trotz der wiederholten Bemühungen der Branche, sicherere Systeme und bessere Analysemodelle einzurichten, entwickeln Betrüger ihre Techniken laufend weiter und passen sich an die neuen Gegebenheiten an. Betrüger bewegen sich weg vom einfachen opportunistischen Diebstahl und Betrug und setzen nun ausgeklügelte Skimming-Geräte, Social Engineering und Massenangriffe auf Datenbanken ein, um ihrem Handwerk nachzugehen. Systeme, die auf die Betrugsbekämpfung auf Transaktionsebene ausgelegt sind, sind nicht in der Lage, das breitere Kartennetzwerk zu erkennen, das täglich bedroht ist.  


Wie können Kartenherausgeber diese betrügerischen Angriffe mithilfe der Technologie erkennen und verhindern?
Die meisten Kartenherausgeber setzen als erste Verteidigungslinie gegen den Kreditkartenbetrug ein Kartenautorisierungssystem ein. Typische Systeme funktionieren in Echtzeit oder annähernder Echtzeit. Während die Autorisierungen an den Kartenherausgeber weitergeleitet werden, wird jede einzelne gegenüber einer Reihe sich ständig weiterentwickelnder Regeln (beispielsweise „mehrfache hochwertige Transaktionen innerhalb eines kurzen Zeitraums“) und einem Betrugsmodell analysiert, das im typischen Fall Informationen über das Ausgabeverhalten des Karteninhabers und die Versuche beim Händler zur Vorhersage der Echtheit der Transaktion nutzt. Diese Systeme sind für die Branche äußerst zweckdienlich und tragen seit ihrer Einführung Anfang der 1990er Jahre dazu bei, die Einbußen durch Kreditkartenbetrug in einem überschaubaren Rahmen zu halten.
 
Aber wie bei allen Technologien, die sich gegen Kriminelle richten, verliert die Branche leider nach und nach das Wettrüsten gegen die Betrüger. Als Systeme zur Betrugsabwehr erstmals eingeführt wurden, entstanden Verluste vornehmlich durch den Verlust oder Diebstahl von Kreditkarten. Die Betrüger gingen generell opportunistisch vor und zielten darauf ab, mit einer kleinen Anzahl von Karten maximale Gewinne zu erzielen. Die Hauptmotivation der Betrüger war es, das Kreditkartenlimit so schnell wie möglich auszuschöpfen, bevor ihr Opfer das Verschwinden seiner Kreditkarte bemerkte. Kartenautorisierungssysteme konnten diese plötzliche Veränderung des Ausgabeverhaltens feststellen und somit umfangreiche Verluste verhindern.
 
Der Betrug mithilfe von verlorenen und gestohlenen Karten ist nicht verschwunden (und wird zweifellos noch auf lange Zeit ein Problem bleiben), aber die Betrugslandschaft hat sich im Verlauf der letzten zwei Jahrzehnte stark verändert. Ein rein oberflächlicher Blick auf die derzeitige Aufschlüsselung von Kartenbetrugsfällen zeigt, dass die Verluste von zwei Bereichen dominiert werden – „Card-not-present“-Betrug (also in der Regel Betrug, der über das Internet begangen wird) und Kartenfälschungen. Die Betrüger haben sich weiterentwickelt und sind von primär opportunistischem Betrug auf organisierten Betrug umgestiegen, zu dem POS- oder Geldautomat-„Skimming“ ebenso gehört wie Massenangriffe auf Datenbanken.
 
Wie hat sich diese Entwicklung also auf den Modus Operandi der Betrüger ausgewirkt?
Betrüger müssen sich jetzt nicht mehr mit einer beschränkten Anzahl von physisch vorliegenden Karten begnügen, um damit Käufe vorzunehmen. Beispielsweise hat der jüngste Angriff auf die Datenbank von Heartland Payment Systems Berichten zufolge den Betrügern den Zugriff auf bis zu 130 Millionen Kredit- und Debitkartennummern ermöglicht. Vor kurzem hat ein Vorfall in Spanien potenziell über 50 Millionen Kartennummern gefährdet. Diese Arten von Vorfällen ändern die Spielregeln grundlegend. Bei Online-Carding-Websites – auf denen Kriminelle gestohlene Informationen verkaufen und kaufen – werden Kreditkartennummern um nur zwei US-Dollar pro Karte gehandelt. Betrüger können auf solchen Websites problemlos eine große Anzahl von Kreditkarten zu einem so niedrigen Preis kaufen, dass sie nicht einmal das Limit jeder Karte ausreizen müssen, um einen beachtlichen Ertrag zu erzielen. Diese neue Art von Kriminellen stellt eine enorme Herausforderung für typische Kartenautorisierungssysteme dar. Da diese Systeme auf der Ebene einzelner Kartenkonten funktionieren, verlieren sie den Blick fürs Ganze und erkennen großflächige Angriffe nicht. Da Betrüger zusätzlich immer besser über die verschiedenen von diesen Autorisierungssystemen verwendeten Regeln und Modelle Bescheid wissen, werden sie bei deren Umgehung immer gewiefter. Allerdings gibt es drei Schritte, die ein Kartenherausgeber zur Bekämpfung dieser Betrugsart unternehmen kann, und Technologie kann eine Schlüsselrolle beim Erfolg einer solchen Lösung spielen. Die Hauptpunkte sind:
 
• Testpunkterkennung
• Erkennung gemeinsamer Verkaufsstellen (Common purchase point)
• Auf die Karte ausgerichtete Strategien
 
Testpunkterkennung
In einer „Card-not-present“-Umgebung (beispielsweise im Zuge von Massenangriffen auf Datenbanken) gestohlene Kreditkartendetails werden üblicherweise von den Betrügern „getestet“ um die Kartengültigkeit sicherzustellen, bevor die Kartendetails entweder weiterverkauft oder die Karte direkt für einen Betrug verwendet wird. Kreditkarten werden typischerweise anhand von geringwertigen Online-Transaktionen getestet – Musikdownloads und Wohltätigkeitsorganisationen sind beliebte Ziele –, da Betrüger die Testtransaktion unbemerkt vornehmen möchten. Aufgrund der zunehmenden Organisation der Betrüger stellt sich die Notwendigkeit ein, eine große Anzahl von Karten gleichzeitig zu testen, also verwenden Betrüger häufig automatisierte Prozesse, die jede einzelne Kartennummer verwenden und automatisch eine Bestellung tätigen. Anomalieerkennungstechnologie kann einen solchen Einsatz von Technologie durch Betrüger erkennen – sie kann Händler auf ungewöhnliche wiederholte Transaktionen oder Aktivitätsspitzen hin beobachten, um potenzielles Kartentesten zu erkennen.
 
Erkennung gemeinsamer Verkaufsstellen (Common purchase point)
Statt jedes Kartenkonto isoliert zu betrachten, sollte die Anstrengung unternommen werden, jegliches Ereignis zu einer Reihe früherer Transaktionen zurückzuverfolgen, die auf einen potenziellen Angriff hinweisen könnten. Mit der zunehmenden Erkennung von betrügerischen Transaktionen oder Testereignissen (siehe oben) wird die Feststellung dieser Art von Angriff wahrscheinlicher. Wenn beispielsweise ein potenzielles Testereignis von 100 Karten erkannt wurde, zehn der Karten bereits „für Betrug verwendet“ wurden und 80 Prozent davon zum selben Händler zurückzuverfolgen sind, dann ist mit hoher Sicherheit anzunehmen, dass dieser Händler die Quelle dieser Gefährdung war.
 
Auf die Karte ausgerichtete Strategien
Die Entdeckung eines potenziellen Gefährdungsnetzwerks und der ‚gefährdeten’ Karten ist erst der erste Schritt zum Schutz Ihrer Kunden. Andere, beim selben Händler verwendete Karten können überprüft und bei Bedarf ersetzt werden bzw. können sie in eine entsprechende Erkennungsstrategie eingebunden werden. Bei einem typischen Angriff wird nur ein kleiner Prozentsatz der Karten tatsächlich von den Betrügern verwendet, speziell bei umfangreicheren Massenangriffen auf Datenbanken. Da Betrüger Zugriff auf immer mehr Kartendetails erhalten und somit mehr Angriffe stattfinden, muss das Gleichgewicht zwischen dem Schutz des Karteninhabers und den aufgrund des Ersetzens der Karte entstehenden Unannehmlichkeiten gewahrt werden. Nur durch eine holistische Sicht aller potenziellen Gefährdungen und Kartentestpunkte kann die richtige Entscheidung auf Kartenebene getroffen werden. 
(…)
 
[Den vollständigen Beitrag lesen Sie in der Fachzeitschrift RISIKO MANAGER 15/2010. Die Ausgabe ist ab 22. Juli 2010 lieferbar und kann auch einzeln bezogen werden.]
 
Matthew O’Kane ist Head of Financial Service Analytics bei Detica NetReveal. 

© Foto by mcfields – www.istockphoto.com

Lesen Sie auch

Ego-Probleme: Wer hat den größten Turm?

Von überall hört man es läuten: Filialen werden[…]

Christian Grosshardt

Fusionsdruck Rot

400 Sparkassen leisten sich knapp 170 weitere Unternehmen,[…]

Thorsten Hahn

Seitenwechsel – Jain zu Fintech

Anshu Jain kehrt den Banken den Rücken und[…]

Philipp Scherber

Targo-Chef vor die Tür gesetzt

Franz Josef Nick muss am Ende des Jahres[…]

Christian Grosshardt

Banken werden EU-Marionetten

Deutliche Einschnitte in die Kundenwahl müssen Banken ab[…]

Christian Grosshardt

Telekom-Konten gehackt!

In der vergangenen Woche soll es zu mehreren[…]

Christian Grosshardt

Probleme bei Paydirekt

Probleme über Probleme. Erst erklärten viele Händler, sie[…]

Julian Achleitner

Herber Rückschlag für Paydirekt

Da haben sich deutsche Banken endlich für einen[…]

Julian Achleitner

Niedrigzins trifft Bausparkassen

Die Niedrigzinspolitik der Europäischen Zentralbank (EZB) trifft nun[…]

Julian Achleitner

Credit Suisse steht vor Einigung

Credit Suisse kann schon einmal das Scheckbuch zücken.[…]

Julian Achleitner

Cryan läutet neues Zeitalter ein

Nun ist John Cryan schon seit fünf Wochen[…]

Julian Achleitner

Welche Vorteile bietet mir der BANKINGCLUB?

BANKINGCLUB ist einer der größten Wirtschaftsclubs für Mitarbeiter[…]

Thorsten Hahn

Nach Jenkins die Sinnflut

Knapp drei Jahre nach seinem Amtsantritt musste der[…]

Christian Grosshardt

Bankgeheimnis von EuGH gelockert

Erst Euphorie, dann die Ernüchterung: Man ersteigert zu[…]

Christian Grosshardt

Volksbank will Filialen schließen

Haben die Genossenschaftler der Volks- und Raiffeisenbanken zu[…]

Julian Achleitner

Apple Pay nun auch in Europa

In den USA können Verbraucher bereits seit Oktober[…]

Julian Achleitner

Bezahlen mit Selfie

Das ist mal innovativ. Vergessen Sie Bezahlen mit[…]

Julian Achleitner

Persona non grata – Varoufakis tritt zurück

Auf seinem Twitter-Account ist zu lesen: „Minister no[…]

Christian Grosshardt

Chapeau, Herr Neske!

Was für eine Schlagzeile heute Morgen in der[…]

Thorsten Hahn

Vorstand beschließt: Postbank steht zum Verkauf

Nach Tagen des Spekulierens ist zumindest eine Vorentscheidung[…]

Christian Grosshardt

Milliarden durch EZB verloren

Die Niedrigzins-Politik der EZB ist vielen ein Dorn[…]

Christian Grosshardt

Kritik an Deutschland

Wir stehen mal wieder in der Schusslinie! Die[…]

Christian Grosshardt

400 Kunden in die Wüste geschickt

Wer nicht hören will, muss fühlen. Wie SPIEGEL[…]

Christian Grosshardt

Amtlich: Der Euro wird abgeschafft!

Jetzt ist es spruchreif: Nachdem sich die führenden[…]

Christian Grosshardt

Der Dollar ist zurück

Wer hätte das gedacht? Dollar und Euro bewegen[…]

Christian Grosshardt

Gemeinsames Online-Bezahlsystem auf dem Weg

In Zeiten von Fintechs, die extern teilweise Online-Bezahldienste[…]

Christian Grosshardt

Lufthansa mit enormen Verlusten an der Börse

Der gestrige Absturz eines Airbus A320 hat viele[…]

Christian Grosshardt

Radikale Maßnahme bei der Deutschen Bank

Seit einiger Zeit berät die Deutsche Bank in[…]

Christian Grosshardt

Tag 1 nach Blockupy

Unfassbare Bilder boten sich uns gestern aus der[…]

Christian Grosshardt

Blockupy – Ausschreitungen mit Angriffen auf Polizei

Man rechnete mit dem Schlimmsten, aber die Befürchtungen[…]

Christian Grosshardt

Geldwäsche treibt Bank in die Pleite

Banco Madrid ist insolvent. US-Behörden werfender Bank vor[…]

Thorsten Hahn

Den Kunden dort abholen, wo er ist – im Netz

Über 28 Millionen Deutsche erledigen ihre Bankgeschäfte online:[…]

Juliane Hartmann

Turnschuhe sind zum Turnen da

Ein altes Sprichwort besagt: „Kleider machen Leute.“ Dieses[…]

Julian Achleitner

DAX 30 CFD-Trading

Experten raten in diesen harten Zeiten des Niedrigzinses[…]

Julian Achleitner

Finanzprodukte – einfach unterhaltsam

Wie Erklärfilme komplexe Finanzprodukte begreifbar machen und zu[…]

Julian Achleitner

Austerität. Politik der Sparsamkeit: Die kurze Geschichte eines großen Fehlers

Autor: Florian Schui Euro: 19,99 256 Seiten, broschiert[…]

Julian Achleitner

Die BIZ als Wahrsager?

Im Oktober mussten die Aktienkurse einen enormen Einbruch[…]

Christian Grosshardt

Mario "Two-Face" Draghis neuer Job

Auf die Europäische Zentralbank und Mario Draghi wartet[…]

Christian Grosshardt

Bevormundung erwachsener Bürger

In einer freiheitlichen Grundordnung müsste die Eigenverantwortlichkeit des[…]

Julian Achleitner

Maßnahmen gegen Steuerflucht

In drei Jahren wird mit offenen Karten gespielt:[…]

Julian Achleitner

Fintech mal anders

Die Zukunft des Zahlens hat schon längst begonnen.[…]

Julian Achleitner

Ein Tag, der die Welt veränderte

Vor 85 Jahren sorgte der berüchtigte „Black Thursday“[…]

Julian Achleitner

Algorithmen oder das vermeintliche Ende des Beraters

Kann die Maschine Menschen ersetzen? Diese Frage wird[…]

Julian Achleitner

Regionale Werbung mit internationalem Flair

Mehrere Tausend Werbebotschaften versuchen täglich, die Aufmerksamkeit der[…]

Christian Dorn

Auf Wanderschaft

Schon praktisch diese Rucksäcke. Man hat die Hände[…]

Thorsten Hahn

MaRisk-konformer Einsatz des iPads in der Bank

Der Siegeszug des iPad ist nicht aufzuahlten, auch[…]

Thorsten Jekel

„Der Fokus liegt auf der Online-Präsenz“

Im Interview mit den BANKINGNEWS spricht Kai Fürderer,[…]

Thorsten Hahn

Wer die Wahl hat, hat die Qual

Über 200 Vergleichsportale gibt es heute bereits. Das[…]

Thorsten Hahn

Das Mitarbeitergespräch: Führung oder Flop?

Es ist Herbst. Die Tage werden kürzer. Zeit[…]

Niels Pfläging

„Du bist, was Du teilst!“

You are what you share! „Du bist, was[…]

Prof. Martina Dalla Vecchia

Outsourcing von Kreditanalysen

Zeiten ändern sich. Dieser berühmte Satz kann problemlos[…]

Markus Diehl