ACHTUNG Kreditkartenbetrug

orangefarbenes Hexagon mit einem weißen Textzettel in der Mitte und einem Häkchen COMPLIANCE,

Christian Werbik

VACE Business Consultant Compliance

E-Mail schreiben

Welche Möglichkeiten hat man selbst - zusätzlich zu den Sicherheitsmaßnahmen der Kreditkartenanbieter - um sich zu schützen?

 

Unser letzter Newsletter handelte von ‚CEO-Fraud‘ – einem Cybercrime, welches besonders von mittelständischen Unternehmen gefürchtet werden sollte. Letztere verzeichnen oft beträchtliche Umsätze aber vernachlässigen dabei immer wieder Sicherheitsvorkehrungen. Auch Privatleute werden zunehmend Opfer von Internetkriminalität. Dieser Artikel geht speziell auf die mit Kreditkarten verbundenen Risiken ein.

Kreditkartenbetrug gegenüber Privatpersonen:

An dieser Stelle brauche ich Ihnen keine Sicherheitsmaßnahmen erläutern, welche vom Kreditkartenanbieter erzwungen werden oder ganz offensichtlich sind. So ist Multi-Faktor-Authentifizierung via Handy-App bereits teilweise etabliert und werden Sie auch Ihren PIN-Code selbstverständlich geheim halten. Ebenso wird eine Passwortrichtlinie in der Handy-App halbwegs sichere Passwörter verlangen. Auch ist der Begriff “Kreditkartenbetrug” recht selbsterklärend. Folgende Ausführungen beschränken sich also auf meine ‘Pro Tipps’:

1. Kartenlimit herabsetzen
Das “Limit” Ihrer Kreditkarte vergibt der Anbieter u.a. anhand Ihrer Bonität und dem gewählten Kreditkartenprodukt. Einen Rahmen von etwa 8.000 Euro könnte man durchaus als unnötiges Sicherheitsrisiko bewerten - wenn die üblichen monatlichen Ausgaben nur 2.000 Euro sind. Den Kreditrahmen können Sie mittels Erklärung an das Institut herabsetzen lassen und er sollte (lediglich) Ihrem Bedarf - bei Geschäftsreisenden ist dieser erhöht - entsprechen. So begrenzen Sie mögliche Schäden / maximale Risiken. Das für Sie ideale Limit könnten Sie beispielsweise anhand eines Durchschnittswerts der Abbuchungen der letzten 24 Monate (mit 20%igem Sicherheitszuschlag) entscheiden.

2. Geofencing nutzen
Kreditkarteninstitute betreiben längst künstliche Intelligenzen / ‚machine learning‘ um Betrugsversuche zu erkennen und in Verdachtsfällen geschieht eine Sperre. Was diese Algorithmen anbelangt, werden sich die Institute nicht in die Karten schauen lassen – Sie können aber davon ausgehen, dass Zeit / Ort der Benutzung und das eigene “ansonsten übliche” Nutzungsverhalten eine große Rolle spielen. So wird ein kurz auf Ihre Zahlung in Österreich folgender Bezahlversuch in den USA höchstwahrscheinlich auffallen und scheitern.
In Ihrer Handy-App können Sie mitunter ein “Kartenkontrollcenter” und “Gesperrte Regionen” aufrufen. Sind Sie nur in Europa und Asien unterwegs werden Sie sinnvollerweise andere Kontinente sperren. Falls Sie sich überwiegend im Inland aufhalten, werden Sie überhaupt alle ausländischen Regionen sperren und dies erst vor einer Reise entsprechend umstellen.

3. Online-Zahlungen kategorisch sperren
Wenn Sie die Kreditkarte überwiegend an Kartenterminals nutzen (zB Tankstelle, Supermarkt) und nur selten online bezahlen so bietet sich folgende - extrem vorsichtige - Vorgangsweise an. Im “Kartenkontrollcenter” werden “Online-Zahlungen” grundsätzlich deaktiviert. Beabsichtigt man nun eine Online-Zahlung muss die Einstellung zuvor in der Handy-App aktiviert werden. Vergisst man diesen Schritt sollte eine ‘push notification’ auf die getätigte Einstellung hinweisen. Im Anschluss an die erfolgreiche Online-Zahlung deaktiviert man diese Funktion wieder.
Bedenken Sie, dass Daueraufträge wie ‘Amazon Prime’ so vermutlich nicht vollzogen werden können. Eine solche regelmäßige Abbuchung müssten Sie also vorab zeitlich eingrenzen können - um die Einstellung rechtzeitig vorzunehmen. Die geschilderte Herangehensweise könnte von Online-Käufern als zu große Komforteinbuße empfunden werden.

4. Push Notifications nicht ignorieren
Sie kennen ‘push notifications’, welche nach Ihrer Bezahlung - sei es an Kartenterminals oder Online - auf Ihrem Handy erscheinen. Kommt eine solche Benachrichtigung ohne dass Sie einen Bezahlvorgang ausgelöst hätten, werden Sie zunächst an einen Dauerauftrag – oft “Amazon Prime” – denken. Diese Zahlung eines festgelegten Betrags passiert jedoch nur einmal jährlich. Bei einem geringen Betrag wie 9,99 Euro und dem vertrauten Gegenüber “AMZN” wird man zunächst von irgendeinem Abo und keiner bösen Absicht ausgehen.
Es könnte sich jedoch um eine bei Kreditkarteninstituten nicht unbekannte Betrugsmasche handeln. Dabei wird nicht (zwangsläufig) Ihr eigener Amazon-Account gehackt, sondern oftmals Ihre Kreditkarte mit einem fremden (mitunter: ausländischen) Amazon-Account verknüpft, um von dort die Bestellung auszulösen. Gegenmaßnahmen werden wohl dadurch erschwert, dass Amazon aus vielen lokalen Webseiten / Landes-Gesellschaften besteht. Auch ein “Test” mit Kleinbeträgen - um die Kreditkarte für “den großen Coup” zu probieren - wäre ganz typisch für diese Tätergruppe.
Es versteht sich von selbst, dass Sie den eigenen Amazon-Account mit einem starken Passwort und für Sie passenden Möglichkeiten zur Multi-Faktor-Authentifizierung versehen werden. Profis variieren für ihre privaten Accounts nicht nur die Passwörter, sondern nutzen auch verschiedene E-Mail-Konten bzw. -Alias als Username um einen Angreifer in die Irre (anstatt von einem Account zum nächsten) zu führen.

5. Alle Belege aufbewahren und Umsatznachrichten nachträglich prüfen
Diese Maßnahme fällt natürlich Personen leicht, welche Buchhaltungspflichten unterliegen. Man hebt bei jedem Kauf - sei es am Kreditkartenterminal oder Online - den (Kassen-)Beleg auf. Die monatliche Umsatznachricht wird Position für Position ausgewertet. Gibt es eine Rechnung so ist die Zahlung gerechtfertigt. Gibt es keine Rechnung so lässt dies noch nicht auf einen Betrugsfall schließen - man könnte einen Beleg vergessen haben. In einem solchen Fall sind aber Nachforschungen geboten.
Die oben geschilderte Verknüpfung der eigenen Kreditkarte mit einem fremden Amazon-Konto würde durch das Fehlen des Geschäftsfalles in “Meine Bestellungen” des eigenen Kontos auffallen. Wenn Sie Kontakt mit dem Kreditkarteninstitut für eine Erstattung aufnehmen, wird man dort u.a. prüfen, ob Sie eine gute Praxis zur “Security” eingehalten haben (keine Weitergabe von Passwörtern und dergleichen).

6. Kreditkartendaten stets mit Bedacht eingeben & ‚RFID blocker wallet‘
Sie werden sich fragen, wie könnte überhaupt jemand zu Ihren Kreditkartendaten gelangen? Freilich werden Sie ihre Kreditkarte niemals aus den Augen lassen oder aus der Hand geben. Bedenken Sie, dass - etwa im Gedränge eines Einkaufszentrums oder Bahnhofs - ein RFID-Scanner in die Nähe Ihrer Kreditkarte gebracht werden könnte.
Am besten nutzen Sie den anstehenden Kauf einer Geldbörse um ein Modell mit “RFID-/NFC-blocker”-Funktion auszusuchen. Im Anschluss können Sie mittels Scanner-Handy-App einen Test vornehmen, sofern Ihr Gerät über eine NFC-Schnittstelle verfügt. Wer auf seine Sicherheit Wert legt, wird niemals das Handy sowie die Kreditkarte in demselben Etui aufbewahren, da ein Verlust auch den “Zweitfaktor” betreffen würde.

Weitaus größere Praxisrelevanz hat heutzutage das Ausspähen Ihrer Kreditkartendaten bei deren willkürlicher Eingabe im Internet. Hier kann ich Ihnen nur raten, die Kreditkartendaten ausschließlich auf Webseiten einzugeben, welche Ihnen bekannt sind und/oder sicher erscheinen. Bei richtiger Programmierung können Sie guten Gewissens davon ausgehen, dass Ihre Kreditkartendaten nicht unverschlüsselt in eine Datenbank gelangen. (Mit anderen Worten können Sie nur auf vertrauenswürdige Anbieter mit Zertifikaten achten aber bestehen stets Restrisiken.)
Es liegt auf der Hand, dass Ihre Kreditkartendaten auch auf Ihrem Endgerät beziehungsweise auf dem Übertragungsweg abgegriffen werden könnten. Solange man den Ursprung des Angriffes nicht kennt - denken Sie bitte an Keylogger oder einen gehackten WLAN-Router - kann nur zu ‘best practices’ aus der Informationssicherheit geraten werden. Diese sind Ihnen als Leser dieses Newsletters bekannt und sind mit Hinblick auf Ihre Kreditkarte etwa Anti-Virus, regelmäßige Updates von Browser und Betriebssystem, Firewalls und die Verwendung vertrauenswürdiger Netzwerke relevant. Werden Schnittstellen wie WLAN und NFC nicht benötigt sollten jene – ganz besonders an öffentlichen Orten – deaktiviert bleiben.

Melden Sie sich gerne für einen Erfahrungsaustausch zu den Themen CEO-Fraud und Kreditkartenbetrug. Auch ein Erstgespräch zwecks ‘awareness training’ ist für Sie kostenlos.