Kartenbetrug und Gefährdungspunktanalyse

Von Matthew O’Kane – Neues Modell zur Bekämpfung von CPPC-Betrug 15.7.2010. Weltweit nehmen Verluste durch Kreditkartenbetrug mit alarmierender Geschwindigkeit zu. Fälschungen, die durch die Manipulation von Karten entweder am Geldautomaten oder am POS ermöglicht werden, schaden dem Kundenvertrauen und den Einnahmen der Branche. Es häufen sich Vorfälle, bei denen die umfangreiche Gefährdung von Daten zu potenziell…


Von Matthew O’Kane – Neues Modell zur Bekämpfung von CPPC-Betrug

15.7.2010. Weltweit nehmen Verluste durch Kreditkartenbetrug mit alarmierender Geschwindigkeit zu. Fälschungen, die durch die Manipulation von Karten entweder am Geldautomaten oder am POS ermöglicht werden, schaden dem Kundenvertrauen und den Einnahmen der Branche. Es häufen sich Vorfälle, bei denen die umfangreiche Gefährdung von Daten zu potenziell erheblichen Verlusten durch Betrug führt, die eine große Zahl von Konten betreffen. Trotz der wiederholten Bemühungen der Branche, sicherere Systeme und bessere Analysemodelle einzurichten, entwickeln Betrüger ihre Techniken laufend weiter und passen sich an die neuen Gegebenheiten an. Betrüger bewegen sich weg vom einfachen opportunistischen Diebstahl und Betrug und setzen nun ausgeklügelte Skimming-Geräte, Social Engineering und Massenangriffe auf Datenbanken ein, um ihrem Handwerk nachzugehen. Systeme, die auf die Betrugsbekämpfung auf Transaktionsebene ausgelegt sind, sind nicht in der Lage, das breitere Kartennetzwerk zu erkennen, das täglich bedroht ist.  


Wie können Kartenherausgeber diese betrügerischen Angriffe mithilfe der Technologie erkennen und verhindern?
Die meisten Kartenherausgeber setzen als erste Verteidigungslinie gegen den Kreditkartenbetrug ein Kartenautorisierungssystem ein. Typische Systeme funktionieren in Echtzeit oder annähernder Echtzeit. Während die Autorisierungen an den Kartenherausgeber weitergeleitet werden, wird jede einzelne gegenüber einer Reihe sich ständig weiterentwickelnder Regeln (beispielsweise „mehrfache hochwertige Transaktionen innerhalb eines kurzen Zeitraums“) und einem Betrugsmodell analysiert, das im typischen Fall Informationen über das Ausgabeverhalten des Karteninhabers und die Versuche beim Händler zur Vorhersage der Echtheit der Transaktion nutzt. Diese Systeme sind für die Branche äußerst zweckdienlich und tragen seit ihrer Einführung Anfang der 1990er Jahre dazu bei, die Einbußen durch Kreditkartenbetrug in einem überschaubaren Rahmen zu halten.
 
Aber wie bei allen Technologien, die sich gegen Kriminelle richten, verliert die Branche leider nach und nach das Wettrüsten gegen die Betrüger. Als Systeme zur Betrugsabwehr erstmals eingeführt wurden, entstanden Verluste vornehmlich durch den Verlust oder Diebstahl von Kreditkarten. Die Betrüger gingen generell opportunistisch vor und zielten darauf ab, mit einer kleinen Anzahl von Karten maximale Gewinne zu erzielen. Die Hauptmotivation der Betrüger war es, das Kreditkartenlimit so schnell wie möglich auszuschöpfen, bevor ihr Opfer das Verschwinden seiner Kreditkarte bemerkte. Kartenautorisierungssysteme konnten diese plötzliche Veränderung des Ausgabeverhaltens feststellen und somit umfangreiche Verluste verhindern.
 
Der Betrug mithilfe von verlorenen und gestohlenen Karten ist nicht verschwunden (und wird zweifellos noch auf lange Zeit ein Problem bleiben), aber die Betrugslandschaft hat sich im Verlauf der letzten zwei Jahrzehnte stark verändert. Ein rein oberflächlicher Blick auf die derzeitige Aufschlüsselung von Kartenbetrugsfällen zeigt, dass die Verluste von zwei Bereichen dominiert werden – „Card-not-present“-Betrug (also in der Regel Betrug, der über das Internet begangen wird) und Kartenfälschungen. Die Betrüger haben sich weiterentwickelt und sind von primär opportunistischem Betrug auf organisierten Betrug umgestiegen, zu dem POS- oder Geldautomat-„Skimming“ ebenso gehört wie Massenangriffe auf Datenbanken.
 
Wie hat sich diese Entwicklung also auf den Modus Operandi der Betrüger ausgewirkt?
Betrüger müssen sich jetzt nicht mehr mit einer beschränkten Anzahl von physisch vorliegenden Karten begnügen, um damit Käufe vorzunehmen. Beispielsweise hat der jüngste Angriff auf die Datenbank von Heartland Payment Systems Berichten zufolge den Betrügern den Zugriff auf bis zu 130 Millionen Kredit- und Debitkartennummern ermöglicht. Vor kurzem hat ein Vorfall in Spanien potenziell über 50 Millionen Kartennummern gefährdet. Diese Arten von Vorfällen ändern die Spielregeln grundlegend. Bei Online-Carding-Websites – auf denen Kriminelle gestohlene Informationen verkaufen und kaufen – werden Kreditkartennummern um nur zwei US-Dollar pro Karte gehandelt. Betrüger können auf solchen Websites problemlos eine große Anzahl von Kreditkarten zu einem so niedrigen Preis kaufen, dass sie nicht einmal das Limit jeder Karte ausreizen müssen, um einen beachtlichen Ertrag zu erzielen. Diese neue Art von Kriminellen stellt eine enorme Herausforderung für typische Kartenautorisierungssysteme dar. Da diese Systeme auf der Ebene einzelner Kartenkonten funktionieren, verlieren sie den Blick fürs Ganze und erkennen großflächige Angriffe nicht. Da Betrüger zusätzlich immer besser über die verschiedenen von diesen Autorisierungssystemen verwendeten Regeln und Modelle Bescheid wissen, werden sie bei deren Umgehung immer gewiefter. Allerdings gibt es drei Schritte, die ein Kartenherausgeber zur Bekämpfung dieser Betrugsart unternehmen kann, und Technologie kann eine Schlüsselrolle beim Erfolg einer solchen Lösung spielen. Die Hauptpunkte sind:
 
• Testpunkterkennung
• Erkennung gemeinsamer Verkaufsstellen (Common purchase point)
• Auf die Karte ausgerichtete Strategien
 
Testpunkterkennung
In einer „Card-not-present“-Umgebung (beispielsweise im Zuge von Massenangriffen auf Datenbanken) gestohlene Kreditkartendetails werden üblicherweise von den Betrügern „getestet“ um die Kartengültigkeit sicherzustellen, bevor die Kartendetails entweder weiterverkauft oder die Karte direkt für einen Betrug verwendet wird. Kreditkarten werden typischerweise anhand von geringwertigen Online-Transaktionen getestet – Musikdownloads und Wohltätigkeitsorganisationen sind beliebte Ziele –, da Betrüger die Testtransaktion unbemerkt vornehmen möchten. Aufgrund der zunehmenden Organisation der Betrüger stellt sich die Notwendigkeit ein, eine große Anzahl von Karten gleichzeitig zu testen, also verwenden Betrüger häufig automatisierte Prozesse, die jede einzelne Kartennummer verwenden und automatisch eine Bestellung tätigen. Anomalieerkennungstechnologie kann einen solchen Einsatz von Technologie durch Betrüger erkennen – sie kann Händler auf ungewöhnliche wiederholte Transaktionen oder Aktivitätsspitzen hin beobachten, um potenzielles Kartentesten zu erkennen.
 
Erkennung gemeinsamer Verkaufsstellen (Common purchase point)
Statt jedes Kartenkonto isoliert zu betrachten, sollte die Anstrengung unternommen werden, jegliches Ereignis zu einer Reihe früherer Transaktionen zurückzuverfolgen, die auf einen potenziellen Angriff hinweisen könnten. Mit der zunehmenden Erkennung von betrügerischen Transaktionen oder Testereignissen (siehe oben) wird die Feststellung dieser Art von Angriff wahrscheinlicher. Wenn beispielsweise ein potenzielles Testereignis von 100 Karten erkannt wurde, zehn der Karten bereits „für Betrug verwendet“ wurden und 80 Prozent davon zum selben Händler zurückzuverfolgen sind, dann ist mit hoher Sicherheit anzunehmen, dass dieser Händler die Quelle dieser Gefährdung war.
 
Auf die Karte ausgerichtete Strategien
Die Entdeckung eines potenziellen Gefährdungsnetzwerks und der ‚gefährdeten’ Karten ist erst der erste Schritt zum Schutz Ihrer Kunden. Andere, beim selben Händler verwendete Karten können überprüft und bei Bedarf ersetzt werden bzw. können sie in eine entsprechende Erkennungsstrategie eingebunden werden. Bei einem typischen Angriff wird nur ein kleiner Prozentsatz der Karten tatsächlich von den Betrügern verwendet, speziell bei umfangreicheren Massenangriffen auf Datenbanken. Da Betrüger Zugriff auf immer mehr Kartendetails erhalten und somit mehr Angriffe stattfinden, muss das Gleichgewicht zwischen dem Schutz des Karteninhabers und den aufgrund des Ersetzens der Karte entstehenden Unannehmlichkeiten gewahrt werden. Nur durch eine holistische Sicht aller potenziellen Gefährdungen und Kartentestpunkte kann die richtige Entscheidung auf Kartenebene getroffen werden. 
(…)
 
[Den vollständigen Beitrag lesen Sie in der Fachzeitschrift RISIKO MANAGER 15/2010. Die Ausgabe ist ab 22. Juli 2010 lieferbar und kann auch einzeln bezogen werden.]
 
Matthew O’Kane ist Head of Financial Service Analytics bei Detica NetReveal. 

© Foto by mcfields – www.istockphoto.com