Kreditkartenbetrug
Der Kreditkartenbetrug ist eine Form des Wirtschaftsbetruges, bei der gefälschte oder gestohlene Kreditkarten-Daten verwendet werden um den Kontoinhabern und/oder den beteiligten Händlern einen finanziellen Schaden zuzufügen.
Diebstahl von Kreditkartendaten
Neben der physischen Entwendung der Karte, beispielsweise durch Taschendiebe, werden Kreditkartenangaben vermehrt mittels elektronischer Methoden gestohlen. Hierzu bedienen sich die Täter verschiedener Möglichkeiten wie beispielsweise:
- Erschleichung durch E-Mails (siehe Phishing)
- (Beispiel: der Täter gibt sich als Mitarbeiter eines Kreditkarteninstituts oder einer Bank aus und erfragt die Daten der Karte)
- Gefälschte Internetdienste und Shops
- (die Täter locken in Onlineshops mit sehr niedrigpreisigen Angeboten und verführen das Opfer, seine Daten preiszugeben.)
- Zugriff auf E-Mail-Korrespondenz
- Nutzung von Datenlecks oder Sicherheitslücken
- (Cracker nutzen Sicherheitslücken und meist Insiderwissen, um an die Kundendateien zu gelangen, in welchen vielfach auch Kreditkartendaten gespeichert sind.)
- Hackerangriffe auf Kaufhausketten, bei denen Kreditkartendaten gestohlen werden: Wie das Fachportal Kreditkartenvergleich.org[1] im Februar 2014 berichtete, hatte vermutlich ein Hackerangriff auf eine amerikanische Kaufhauskette zum Diebstahl von Millionen Kreditkartendaten geführt, mit denen anschließend Kleinstbeträge über ein Bot-Netz abgebucht wurden. Den Vorgang bemerkten viele Kunden gar nicht.
- Abschöpfen von Kartendaten inklusive PIN mittels manipulierter Lesegeräte in Geschäften (Skimming).[2]
- Vereinzelt wird auch von Fällen berichtet, bei denen die Opfer unter K.-o.-Tropfen gesetzt werden, um deren Willenlosigkeit für eine Kontoplünderung zu nutzen.[3]
- Das Ausnutzen von Verzögerungen bei der Datenanalyse. So zum Beispiel durch koordinierte Barabhebungen unter Verwendung aller gestohlenen Datensätze in einem sehr kurzen Zeitraum, in einem anderen Land, als die Bank, die die originalen Karten ausgestellt hat, an einem Tag, an dem die Bank geschlossen ist. So kam es am 15. Mai 2016 in weniger als drei Stunden in 1400 Geschäften in Tokio durch rund 100 Täter, auf Basis der Daten von 1600 südafrikanischen Kreditkarten, zu Abhebungen mit einem Gesamtschaden von rund 12,7 Millionen US-Dollar.[4]
Fälschung von Kreditkartendaten
Die Methode der Fälschung nutzt die Tatsache, dass die meisten Kreditkarten-Herausgeber aufsteigende Kreditkartennummern vergeben. Gelangt der Täter in den Besitz einer Karte mit Verfalldatum, so kann er leicht die nächst folgenden Kartennummern erraten. Die eingerechnete Prüfziffer birgt hierbei keinen ausreichenden Schutz, da deren Berechnung mit dem Luhn-Algorithmus (gemäß ISO/IEC 7812-1) öffentlich bekannt ist.
Daneben existieren Kreditkartennummern-Generatoren, die durch den Einsatz der Brute-Force-Methode und den Abgleich von Parametern eine gültige virtuelle Kreditkarte erstellen. Diese werden nach dem Vorbild der Kreditkartennummern-Generatoren der Kreditkartenunternehmen entwickelt.
Schutz vor dem Kreditkartenmissbrauch
Kunden müssen die zugestellten Abrechnungen innerhalb einer Frist (meist 30 Tage) auf deren Korrektheit überprüfen. Ungereimtheiten müssen umgehend dem Kreditkarteninstitut schriftlich (auch wenn telefonisch teilweise andere Aussagen gemacht werden) gemeldet werden. Der Betrag wird dann zurück überwiesen, da keine verbindliche Unterschrift seitens des Karteneigentümers nachgewiesen werden kann.
Händler hingegen haben bisher das vollumfängliche Risiko beim Kreditkartenbetrug getragen. Obwohl die vorgängige Autorisierung ohne Probleme erfolgte, wurde das Geld im Betrugsfalle vom Händler zurückgefordert. Dies geschah deshalb, da die Autorisierung lediglich geprüft hat, ob die angegebene Kartennummer gültig und gedeckt war, jedoch nicht, ob die Identität mit dem Karteneigentümer übereinstimmte. Begründet wird dies mit dem Datenschutz.
Jetzt ist dies, der am 21. Februar 2011 gesendeten ZDF-Wiso-Sendung zufolge, zumindest bei Einkäufen im Internet anders.[5] Die Einführung des neuen Sicherheitscodes 3-D Secure täuscht dem Kunden vor, seine Sicherheit würde dadurch erhöht. Tatsächlich geht dem Kunden die bisher vorhandene Sicherheit jedoch verloren. Es ist nämlich, Wiso zufolge, eine Rückbuchung, wenn vom Kunden – oder vom Betrüger – der richtige Sicherheitscode eingegeben worden war, nicht mehr möglich. Somit trägt jetzt der Kreditkarten-Inhaber das volle Risiko. Ebenfalls trägt der Kreditkarten-Inhaber das volle Risiko, wenn er unter räuberischer Erpressung, Zwang oder Bewusstlosigkeit die Belege selbst unterschrieben hat. Das ist beispielsweise dann der Fall, wenn der Kreditkarteninhaber unter Wirkung von K.-o.-Tropfen zu einer Unterschrift genötigt wird.
Trotzdem stellt der neue Sicherheitscode 3-D Secure einen erhöhten Schutz vor Kreditkartenmissbrauch dar. Im Gegensatz zur bloßen Nutzung der vermeintlich sicheren Standards des CVC2- oder CVV2-Codes erschwert das neue Verfahren die gewinnbringende Nutzung einer rechtswidrig angeeigneten Kreditkarte erheblich. Ist der Täter nicht im Besitz dieses persönlichen Passworts, so besteht für ihn beinahe keine Möglichkeit, mit der Kreditkarte zu bezahlen. Falls der Täter aber im Besitz der Kontonummer und des Geburtsdatums des Kreditkarteninhabers ist, so kann das Passwort zurückgesetzt werden. Eine Transaktion ist nun möglich.[6]
Online-Zahlungsdienstleister wie PayPal bieten eine sog. Gastzahlung an. Somit können Täter sofort mit einem Datensatz bezahlen. Dies wird ermöglicht, da PayPal keine Überprüfung der Identität vornimmt, bevor eine Transaktion gestattet wird. Zwar werden Cent-Beträge auf das Kreditkartenkonto überwiesen, um sicherzugehen, dass der rechtmäßige Inhaber der Kreditkarte die Transaktion vornimmt, allerdings kann der Täter ungehindert dessen einkaufen, da PayPal einen Rahmen von 1500 Euro ohne Bestätigung der Überprüfung einräumt. Ebenso ermöglicht PayPal eine Nutzung der Daten ohne Kenntnis des 3-D-Secure-Passworts.[7]
Dadurch, dass das Passwort des 3-D-Secure-Codes nicht an den Online-Händler übertragen und dort gespeichert wird, haben Täter nicht die Möglichkeit, einen kompletten Datensatz durch das Eindringen in eine solche Händlerdatenbank zu erhalten.
Der Händler sollte daher folgende Ratschläge beachten:
- Zusätzliche Überprüfung des CVC2- oder CVV2-Codes.
- Adressverifikation sofern möglich
- Erhöhte Vorsicht, wenn der Kunde mit anderer Kartennummer als beim letzten Mal bestellt.
- Erhöhte Vorsicht, wenn der Kunde mit einer Kartennummer bestellt, die schon ein anderer verwendet hat.
- Einrichtung von Bestellwert-Limits (v. a. für Neukunden)
- Persönliche Kontaktierung bei Zahlung mittels Kreditkarte und einer Packstation als Lieferanschrift
- Ware nur gegen unterschriebenen Lieferschein aushändigen. Die Unterschrift des Kunden auf dem Kreditkartenbeleg ersetzt nicht die schriftliche Bestätigung, dass er die Ware erhalten hat. Der Kunde kann nach dem Kauf reklamieren, dass er die Ware nicht erhalten hat. Da die Beweispflicht beim Händler liegt, muss er den Kaufpreis zurückerstatten, wenn er keinen Beleg für die Lieferung nachweisen kann.
Darüber hinaus sind Händler dazu verpflichtet, sich an die Regelungen des PCI Data Security Standards zu halten, wenn sie die Daten von Kreditkartenbesitzern vorhalten.
Strafrecht
„Kreditkartenbetrug“ ist eine kriminologische Bezeichnung; sie ist im Strafrecht nicht üblich (s. u.). Der versuchte und vollendete Betrug mit Kreditkarten und die Fälschung echter oder die Herstellung falscher Kreditkarten ist in Deutschland mit Strafe (Vergehen und Verbrechen) bewehrt. Einschlägig sind u. a. § 152a StGB („Fälschung von Zahlungskarten, Schecks und Wechseln“), § 152b StGB („Fälschung von Zahlungskarten mit Garantiefunktion und Vordrucken für Euroschecks“) und § 263 StGB („Betrug“).
Für den berechtigten Kreditkarteninhaber als untreueähnliches Delikt ist möglicherweise § 266b StGB einschlägig.
Einzelnachweise
- Kreditkartenvergleich.org: Kreditkartenbetrug nach Hackerangriff (Memento des vom 22. Februar 2014 im Internet Archive) Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.
- stern.de: Skimming an der Baumarktkasse
- Spiegel.de: Skandal um K.O.-Tropfen In Düsseldorfer Bordellen
- Justin McCurry: "100 thieves steal $13m in three hours from cash machines across Japan" The Guardian vom 23. Mai 2016
- Inhaltsangabe, Video unbekannt in der ZDFmediathek, abgerufen am 3. Februar 2014. (offline)
- Verified by Visa Passwort Vergessen Funktion – AUDI Bank
- 'PayPal lässt Einkäufe mit gestohlenen Kreditkarten zu' ZEIT ONLINE – 27. September 2010
Weblinks
- Tutorials zum Schutz vor Kreditkartenbetrug von Swiss Bankers
- Zerrissen zwischen Schutz vor Kriminalität und Schutz der Privatsphäre (Artikel von Telepolis)
- Informationen der polizeilichen Kriminalprävention
- Ergebnisse einer Händlerbefragung zu den Risiken der Zahlungsabwicklung (Management Summary)
- Funktionsweise von Kreditkartengeneratoren
- Support für Kreditkartengeschädigte (u. a. Erfahrungsbericht, Experten, Rechtsprechung)