Anonym im Netz Schütze Deine Identität
  • facebook

Credit-CardsBeim Carding wird es den Cyberkriminellen wirklich einfach gemacht. Sie brauchen sich nur eine gültige Kreditkartennummer aus dem Netz zu besorgen (Guthaben vorausgesetzt) und können damit auf Shoppingtour gehen. Kreditkarten sind nämlich für den Gebrauch im Internet eigentlich völlig ungeeignet.

Ein Kreditkartensatz besteht gewöhnlich aus der sechzehnstelligen Kartennummer, dem Ablaufdatum der Kreditkarte (Monat/Jahr) und der dreistelligen CVV Nummer, die eine Art Sicherheitsmerkal darstellen sollte, weil sie sich auf der Kartenrückseite befindet. Hinzu kommt ggf. noch der Name des Karteninhabers sowie dessen Adresse. Weiterhin muss sich natürlich Guthaben (oder Kredit) auf der Karte befinden, da man sonst damit nichts kaufen kann.

Hacker besorgen sich diese Daten gerne von Onlineshops, wo sie zur Bezahlung von den Kunden eingegeben werden müssen. Aber auch per Phishing kommen die Kriminellen an die Kartendaten. Und ganz traditionell können die Daten beim Bezahlen im Restaurant oder Hotel schnell von der Karte abgeschrieben werden.

Die Daten werden im Internet gehandelt, so daß sich einige Leute auf die Akquise der Daten und andere auf deren Anwendung spezialisieren können. Eine Karte mit 2000 Euro Limit wird teilweise für unter 100 Euro angeboten.

Das Umsetzen der Kartendaten in Geld ist der eigentliche Vorgang, der als Carding bezeichnet wird. Vorrangig werden digitale Güter gekauft, da man diese nicht an eine Postadresse liefern lassen muss. Aus diesem Grund z.B. kann man kaum mehr Bitcoins per Kreditkarte kaufen, da das Risiko einem Carding zum Opfer zu fallen viel zu gross ist.  Bitcoins wären für die Kriminellen aufgrund ihrer Eigenschaften die perfekte Beute.

Aber auch wer einen Onlineshop mit Warenversand betreibt, ist vor Carding nicht sicher. Die Cyberkriminellen lassen sich die Ware an eine gephishte oder gefakte Packstation schicken oder an eine Adresse in einem leerstehenden Haus (s.g. Hausdrop), alternativ auch an einen unbenutzen Briefkasten in einer Hochhaussiedlung (Briefkastendrop). Der Postbote wird teilweise im Hausflur oder Vorgarten abgefangen und bei grösseren Waren das Paket entgegengenommen.

Es gibt teilweise sogar Carding Services, bei denen man nur seine Dropadresse angeben muss und ca. 5%-25% der Warensumme im voraus bezahlt. Der cyberkriminelle Service bestellt dann die Waren mit einer gestohlenen Kreditkarte und der Onlineshop liefert sie an die angegebene Adresse.

Teilweise müssen die bestellten Waren auch weiterverkauft werden, besonders bei Artikeln wie Smartphones etc. die sonst einfach über ihre Seriennummer auffindbar wären. Dies tun die Kriminellen dann vorzugsweise bei Ebay.

Wer sind die Opfer?

Problematisch ist das Carding eigentlich für alle Beteiligten, die damit in Berührung kommen:

  • Der Karteninhaber bemerkt eine unauthorisierte Abbuchung und muss sich nun um eine Erstattung bei seiner Bank bemühen. Weiterhin muss er natürlich die Karte sperren lassen oder die Bank macht dies bereits von alleine. Selbst wenn der Karteninhaber kein Geld verliert, so hat er doch eine Menge Unannehmlichkeiten, wenn er im falschen Moment keine funktionierende Kreditkarte hat.
  • Der Onlinehändler, der die Ware ausliefert. Ob es ein Bitcoinverkäufer ist oder ein traditioneller Warenversender – den Händler trifft das Carding am härtesten. Die Kartentransaktion wird storniert, die Ware ist aber in aller Regel unwiederbringlich verloren. Ausserdem kann er bei zu vielen Kreditkartenchargebacks seinen Akzeptanzvertrag verlieren.
  • Bei weiterverkauften Produkten mit Seriennummer kann auch ein völlig unbedarfter Käufer, der die gestohlene Ware auf Ebay ersteigerte, durchaus Probleme bekommen. Smartphones und Tablets lassen sich teilweise aus der Ferne sperren (dies gilt insb. für Apple Produkte). Ausserdem kann der Käufer ggf. ermittelt und der Hehlerei beschuldigt werden.

Was kann man tun?

  • Die Kartenfirmen versuchen mit Zwei-Faktor-Authentifizierung (2FA) die Kreditkarten sicherer zu machen. Als Beispiele seien Mastercard Securecode und “verified by Visa” genannt. Es ist zwar unbequem, diese Einrichtungen zu nutzen, aber sie sind wirksam.
  • Als (kleinerer) Händler sollte man möglichst keine Kreditkarten akzeptieren. Die perfekte Zahlungsart fürs Internet ist der Bitcoin. Zudem spart man sich die teils horrenden Kartengebühren und den Ärger mit eingefrorenen Konten.
Carding – Kreditkartenbetrug im Netz
3 (60%) 2 votes

Comments (2)

  1. Ann O. Nyma said on 10-02-2015

    Bzgl. “Mastercard Securecode”:
    Wenn der Anwender irgendeine Chance hat, sollte er es umgehen. Denn mit “Mastercard Securecode” wird die vollständige Beweislastumkehr per Vertrag (AGB) festgeschrieben.

  2. Ann O. Nyma said on 10-02-2015

    Haus-/housedrop ist bald selbsterklärend, aber für “Briefkastendrop” wäre der englische Begriff noch hilfreich, zum weitergoogeln.

Leave a Reply

Your email address will not be published.