Carding – Diebstahl von Kreditkartendaten vorbeugen
Kriminelle nutzen beim Carding gestohlene oder gefälschte Kartendaten, um Käufe im Internet zu bezahlen. Auch Barabhebungen an Automaten können vorkommen.
Auf Grundlage der Kampagne „ufpasse“ von card security warnt die Kantonspolizei St. Gallen vor den Folgen des Carding und klärt über Vorsichtsmassnahmen auf.
Was ist Carding?
Beim Carding gelangen Krimimelle illegal an gestohlene Kreditkarteninformationen. Es gibt verschiedene Möglichkeiten, wie Cyberkriminelle an die Daten gelangen:
- Pishing: Hier versucht die Täterschaft durch manipulierte Webseiten, präparierte E-Mails oder andere Wege an die Karteninformationen der Opfer zu gelangen.
- Datendiebstahl: Bei Cyberangriffen auf Unternehmen, die Kartendaten speichern, werden die Informationen gestohlen.
- Skimming: Die Kriminellen nutzen externe Geräte, die sie an Geld- oder Kassenautomaten anbringen, um in den Besitz der Daten zu gelangen. Sobald das Opfer seine PIN am Automaten eingibt, wird diese auf dem externen Gerät gespeichert.
- Malware: Die Kriminellen infizieren Computer der Opfer und schöpfen die Daten ab, wenn der Betroffene entsprechende Eingaben macht.
- Social Engineering: Hier versuchen die Täter, das Opfer zu überreden, die Daten preiszugeben. Denkbar sind unter anderem gefälschte Anrufe, in denen das Opfer nach den Informationen gefragt wird.
Ist die Täterschaft im Besitz der Informationen, verwendet sie die Daten, um online Einkäufe zu tätigen oder Bargeld am Automaten zu verfügen. Dabei nutzen Kriminelle verschiedene Optionen, um ihre Identität und ihren Standort zu verschleiern. Unter anderem kommen VPN-Verbindungen oder gestohlene und gefälschte Ausweisdokumente zum Einsatz.
Opfer bemerken häufig zunächst gar nicht, dass ihre Daten in die Hände von Kriminellen gelangt sind. Unter Umständen liegen zwischen dem Diebstahl und der Benutzung der Kartendaten längere Zeiträume.
Wie sollten sich Carding-Opfer verhalten?
Bei Carding-Opfern kommt es zu unrechtmässigen Kontobelastungen oder Barabhebungen, was einen erheblichen Schaden nach sich ziehen kann. Gerade wenn der Betrug über einen längeren Zeitraum unbemerkt bleibt, ist ein hoher Schaden denkbar. Wichtig ist daher, regelmässig die Kontobewegungen zu kontrollieren und sich bei Auffälligkeiten sofort mit der Bank oder dem Kreditkartenausgeber in Verbindung zu setzen. Die Karten sollten sofort gesperrt werden. Zudem sollten Betroffene Anzeige bei der Polizei stellen.
Doch nicht nur Kreditkarteninhaber können vom Carding betroffen sein. Das sogenannte Kreditkartenknacken kommt auch bei Shopbetreibern im Internet vor. Kriminelle nutzen Schadbots um Angriffe auf die Zahlungsschnittstelle von Online-Händlern auszuführen, um in den Besitz von Kreditkartendaten zu gelangen. Dabei fokussieren sie häufig auf stark frequentierte Tage wie beispielsweise den Black Friday, da an diesen Tagen die Händler stark beschäftigt sind und Angriffe unter Umständen nicht bemerken. Wichtig ist, dass Online-Händler bei den Zahlungsfunktionen entsprechende Überwachungsfunktionen einsetzen und gerade bei Kleinbestellungen aus dem Ausland, bei denen die Versandkosten deutlich über dem Bestellwert liegen, misstrauisch zu werden. Zudem gibt es geeignete Tools, um sich vor dem Datendiebstahl zu schützen.
Die Kantonspolizei St. Gallen steht gern zur Verfügung und zeigt Ihnen, wie Sie nach einem solchen Vorfall am besten vorgehen.
Wie kann ich mich gegen Carding schützen?
Damit Kriminelle nicht in den Besitz der Kartendaten gelangen, sollten Karteninhaber verschiedene Sicherheitsmassnahmen einhalten:
- Verwendung von Karten mit Zwei-Faktor-Authentifizierung: Dabei handelt es sich um ein Sicherheitsverfahren, bei dem die Transaktion immer auf zwei verschiedenen Wegen bestätigt wird. Möglich ist beispielsweise die Eingabe einer PIN und einem Fingerabdruck oder die Freigabe der Transaktion über eine Smartphone-App.
- Verwendung starker Passwörter: Leicht zu erratende Passwörter oder Passwörter, die für mehrere Konten genutzt werden, sollten Nutzer vermeiden. Ideal ist eine Kombination aus Buchstaben, Zahlen und Sonderzeichen. Eine gute Idee ist die Verwendung eines Passwort-Managers, der sichere Passwörter erstellt und diese für den Nutzer speichert und verwaltet.
- Einkauf nur bei Shops mit sicheren Webseiten: Diese sind im Internetbrowser zu erkennen: die Adresszeile beginnt mit „https“. Zudem zeigt der Browser in der Regel auch ein Schloss-Symbol für die Sicherheit der vertrauenswürdigen Seite. Ein weiterer Hinweis auf einen sicheren Shop ist das Label „Trusted Shop“.
- Allgemeine Geschäftsbedingungen: Seriöse Händler haben Geschäftsbedingungen und ein Impressum in ihrem Webshop. Fehlt eines oder sogar beide dieser Bestandteile, sollten Käufer misstrauisch werden.
- Regelmässige Updates: Geräte und Software mit denen Einkäufe im Netz getätigt werden, sollten stets dem aktuellen Stand entsprechen und mit Updates auf dem Laufenden gehalten werden.
- Vorsicht im öffentlichen WLAN: Beim Surfen in öffentlichen Wi-Fi-Netzen sollten Nutzer auf die Eingabe ihrer Daten verzichten oder den Zugang über einen VPN-Tunnel herstellen.
- Kontoüberwachung: Damit Unregelmässigkeiten direkt auffallen, sollten die Konten in kurzen Abständen auf nicht autorisierte Bewegungen kontrolliert werden.
Bei den meisten Kreditkartenanbietern ist die Zwei-Faktor-Authentifizierung Pflicht und Webshops sorgen mit verschiedenen Tools für die Sicherheit ihrer Shops. Für Kriminelle wird es damit schwieriger, an Daten zu kommen. Kriminelle sind daher auf der Suche, nach weiteren Möglichkeiten, sich illegal Daten zu beschaffen. Andere Betrugsmaschen wie beispielsweise der Refund-Betrug, nehmen zu. Dabei bestellen Kriminelle teure Ware und behaupten, diese nicht erhalten zu haben. Oder sie behalten die teuren Gegenstände und schicken stattdessen andere Produkte zurück. Vom Händler verlangen sie dann die Rückerstattung des Geldes.
Titelbild: Suradech Prapairat – shutterstock.com