Entwicklung einer wirksameren Strategie gegen Kartentest-Bots

Es ist ein Szenario, das jeder Händler mit hohem Risiko fürchtet. Sie wachen eines Morgens auf, überprüfen Ihr Dashboard und stellen einen massiven Anstieg des Transaktionsvolumens fest. Für einen kurzen Moment freuen Sie sich darüber, dass etwas viral gegangen ist – doch dann kehrt die Realität zurück. Sie finden Tausende von Transaktionen, alle über 0,50 US-Dollar und alle abgelehnt.

Anstatt einen hohen Umsatz zu erzielen, sind Sie Opfer eines Kartentest-Angriffs geworden. Während Sie schliefen, hat ein Botnetz Tausende gestohlener Kreditkartennummern über Ihre Checkout-Seite laufen lassen, um diejenigen zu identifizieren, die funktionieren. Sie wurden zwar nicht um Ihre Waren betrogen, aber Ihre Reputation bei Ihrem Zahlungsabwickler hat gelitten und Sie müssen wahrscheinlich mit Autorisierungsgebühren in Höhe von Tausenden von Dollar rechnen.

„Sie können sich nicht allein auf Ihren Zahlungsabwickler verlassen, um jeden einzelnen Carding-Versuch zu erkennen. Wenn eine Anfrage das Gateway erreicht, müssen Sie möglicherweise bereits die Autorisierungsgebühr tragen. Sie müssen Bots stoppen, bevor sie zuschlagen.“

Im Folgenden finden Sie einen Leitfaden, der erklärt, wie diese Angriffe funktionieren, welche Auswirkungen KI hat, wie Zahlungsabwickler reagieren und welche Strategien es zum Schutz Ihres Unternehmens gibt.

Entführung Ihrer Checkout-Seite

Kartentests oder „Carding“ finden statt, wenn Betrüger im Dark Web rohe Kreditkartendaten kaufen. Sie wissen nicht, welche Karten aktiv sind und welche von den ausstellenden Banken gesperrt wurden. Um die „aktiven“ Karten von den „ungültigen“ zu filtern, nehmen sie Online-Unternehmen ins Visier – insbesondere solche in risikoreichen Branchen wie der Erotikindustrie. Warum? Weil Betrüger wissen, dass risikoreiche Händler ihre Gateways oft für maximale Genehmigungen optimieren, um Reibungsverluste zu reduzieren. Leider hat diese Taktik manchmal den unerwünschten Nebeneffekt, dass die Haustür leicht angelehnt bleibt.

Der Bot versucht eine Mikrotransaktion auf Ihrer Website. Wenn die Transaktion genehmigt wird, weiß der Betrüger, dass die Karte gültig ist, und verwendet sie an anderer Stelle für hochpreisige Artikel. Wenn die Transaktion abgelehnt wird, geht er zur nächsten Karte über. Für ihn ist Ihre Checkout-Seite nur ein praktisches Validierungstool. Für Sie ist dies eine Katastrophe, die nur darauf wartet, zu passieren.

KI: Die Bedrohung entwickelt sich weiter

In der Vergangenheit waren diese Bots noch ungeschickt. Sie überfluteten einen Server mit Anfragen von einer einzigen IP-Adresse, wodurch sie relativ leicht zu identifizieren und zu blockieren waren. Man konnte die betreffende IP-Adresse einfach auf die schwarze Liste setzen und das Problem war gelöst.

Dann kam die künstliche Intelligenz.

Moderne KI-gesteuerte Bots versenden nicht nur Spam-Anfragen, sondern ahmen menschliches Verhalten nach. Sie wechseln zwischen Tausenden von privaten IP-Adressen, um Standard-Firewalls zu umgehen. Sie können Mausbewegungen und Tastenanschlagpausen simulieren und sogar einfache CAPTCHAs lösen. Sie sehen nicht mehr wie Roboter aus, sondern wie Kunden.

Diese zunehmende Raffinesse bedeutet, dass herkömmliche Sicherheitsfilter, die man einmal einrichtet und dann vergisst, nicht mehr ausreichen. Der Feind hat sein Arsenal aufgerüstet, und wenn Sie sich auf Sicherheitsprotokolle von vor fünf Jahren verlassen, bringen Sie ein Messer zu einer Schießerei mit.

„Stille“ Kosten: Es geht nicht nur um Rückbuchungen

Wenn die meisten Händler an Betrug denken, denken sie an Rückbuchungen – den Ärger, Produkte zu verlieren und dann mit einer Streitgebühr belastet zu werden. Kartentests sind etwas anderes. Sie schaden Ihrem Unternehmen auf eine Weise, die sich möglicherweise erst dann in der Gewinn- und Verlustrechnung niederschlägt, wenn es schon zu spät ist. Der Schaden ist dreifach:

1. Die Autorisierungsgebühren. Jedes Mal, wenn eine Karte über Ihr Gateway läuft, zahlen Sie eine Autorisierungsgebühr, oft sogar dann, wenn die Transaktion abgelehnt wird. Diese kann zwischen 0,10 und 0,30 US-Dollar pro Versuch liegen. Wenn ein Bot 20.000 Karten in einer einzigen Stunde ausführt, könnten Sie schon vor Ihrem morgendlichen Kaffee Tausende von Dollar an Gebühren schulden – und Sie zahlen für das Privileg, angegriffen zu werden.
2. Die rote Flagge der Ablehnungsquote. Kartennetzwerke wie Visa und Mastercard überwachen Ihre Ablehnungsquoten genau. Für eine Bank ist eine hohe Ablehnungsquote ein primärer Indikator für illegale Aktivitäten oder schlechtes Risikomanagement. Wenn Ihre Ablehnungsquote über akzeptable Schwellenwerte steigt, oft um die 10 %, werden Sie sofort markiert. Für risikoreiche Händler, die bereits unter Beobachtung stehen, führt dies oft zu einer sofortigen Sperrung Ihrer Zahlungsmittel – oder schlimmer noch, zur Kündigung Ihres Kontos.
3. Die „Todesstrafe”: TMF. Wenn ein Zahlungsabwickler Sie aufgrund übermäßiger Betrugsversuche sperrt, kann er Ihr Unternehmen und Ihren persönlichen Namen auf die gefürchtete MATCH-Liste (Member Alert to Control High-Risk Merchants) setzen, die früher als TMF bekannt war. Sobald Sie auf dieser schwarzen Liste stehen, ist es fast unmöglich, ein neues Händlerkonto zu erhalten.

Für risikoreiche Händler kann jedes dieser Probleme fatal sein. Deshalb ist das Testen von Karten ein stiller Killer. Es stiehlt nicht nur Geld, sondern greift auch die Infrastruktur an, die es Ihnen ermöglicht, Zahlungen zu akzeptieren.

Leider können Sie sich nicht allein auf Ihren Zahlungsabwickler verlassen, um jeden einzelnen Carding-Versuch zu erkennen. Wenn eine Anfrage das Gateway erreicht, sind Sie möglicherweise bereits für die Autorisierungsgebühr haftbar. Sie müssen Bots stoppen, bevor sie zuschlagen. Im Folgenden finden Sie einige Methoden, mit denen Sie Ihren Checkout vor KI-Bots schützen können, ohne Ihre Konversionsraten zu beeinträchtigen.

Geschwindigkeitskontrollen: Die erste Verteidigungslinie

Geschwindigkeitskontrollen begrenzen die Anzahl der Transaktionen, die innerhalb eines bestimmten Zeitraums zulässig sind. Stellen Sie sich dies wie einen digitalen Türsteher vor. Sie sollten dies auf zwei Ebenen implementieren:

• IP-basierte Geschwindigkeit. Begrenzen Sie die Anzahl der Versuche von einer einzelnen IP-Adresse. Zum Beispiel maximal drei Versuche pro Stunde.
• Geräte-Fingerprinting. Da KI-Bots IP-Adressen rotieren, um Sperren zu umgehen, verwenden sie oft dasselbe virtuelle Gerät. Verwenden Sie ein Fingerprinting-Tool, um die Geräte-ID zu identifizieren und sie nach fehlgeschlagenen Versuchen zu blockieren, unabhängig davon, zu welcher IP-Adresse sie wechselt.

Das „unsichtbare” CAPTCHA

Händler hassen CAPTCHAs, weil sie Reibungsverluste verursachen und die Konversionsraten senken. Moderne Lösungen wie reCAPTCHA v3 oder hCaptcha arbeiten jedoch vollständig im Hintergrund. Sie analysieren das Benutzerverhalten wie Mausbewegungen, Navigationsverlauf und Verweildauer auf der Seite, um jedem Besucher eine „Risikobewertung“ zuzuweisen, und lösen nur dann ein sichtbares Rätsel aus – wie „Klicken Sie auf alle Hydranten“ –, wenn die Risikobewertung hoch ist. Legitime Kunden kommen nahtlos durch, Bots stoßen auf eine Barriere.

Honeypot-Felder

Dieser klassische Entwicklertrick ist überraschend effektiv. Fügen Sie Ihrer Checkout-Seite ein verstecktes Formularfeld hinzu, das für menschliche Benutzer unsichtbar ist, aber für Bots, die den Code scannen, sichtbar ist. Wenn ein Bot dieses „Honeypot“-Feld ausfüllt, wissen Sie sofort, dass es sich nicht um einen Menschen handelt. Ihre Website kann dann die Übermittlung sofort blockieren und so sicherstellen, dass die Anfrage niemals das Bankennetzwerk erreicht.

AVS- und CVV-Abgleich erzwingen

Stellen Sie sicher, dass Ihre Gateway-Einstellungen so konfiguriert sind, dass eine Übereinstimmung zwischen dem Adressverifizierungssystem (AVS) und dem Kartenprüfwert (CVV) erforderlich ist. Viele Kartentester kaufen Daten, denen die richtige Rechnungs-Postleitzahl fehlt. Wenn Sie Transaktionen ablehnen, bei denen das AVS nicht übereinstimmt, verhindern Sie, dass der Betrüger die Karte validiert, und machen Ihre Website für ihn zu einem nutzlosen Ziel.

In einer risikoreichen Welt ist Ihr Händlerkonto Ihre Lebensader. Lassen Sie sich diese nicht durch einen stillen Bot-Angriff zerstören. Die Implementierung intelligenter Sicherheitsmaßnahmen auf Kundenseite kann Ihr Unternehmen vor diesen Umsatzkillern schützen – damit Ihre kostbare morgendliche Kaffeepause nie wieder ruiniert wird.

Jonathan Corona verfügt über zwei Jahrzehnte Erfahrung in der elektronischen Zahlungsabwicklungsbranche. Als Chief Operating Officer von MobiusPay ist er für den täglichen Betrieb sowie für die Überprüfung und Beratung von Händlern hinsichtlich einer Vielzahl von Compliance-Standards verantwortlich, die von den Kreditkartenunternehmen vorgeschrieben werden.