Weiter zum Inhalt
Konto erstellen
 oder
anmelden
Das Logo der Stripe-Dokumentation
/
Konto erstellen
Anmelden

Schützen Sie sich vor Kartentests

Erfahren Sie mehr über diese betrügerische Aktivität und wie Sie sich dagegen schützen können.

Seite kopieren

Kartentests sind eine Art betrügerischer Aktivität, bei der jemand versucht, die Gültigkeit gestohlener Kartendaten zu ermitteln, um diese für Einkäufe zu verwenden. Betrüger/innen können dies tun, indem sie gestohlene Kreditkartendaten kaufen und dann versuchen, mit diesen Karten Einkäufe zu tätigen, um festzustellen, welche Karten noch gültig sind. Andere gebräuchliche Begriffe für Kartentests sind „Carding“, „Kontotests“, „Enumeration“ und „Kartenprüfungen“.

Betrügerische Aktivitäten wie Kartentests sind ein unvermeidlicher Teil des Online-Handels. Kartentests haben jedoch Konsequenzen für das gesamte Zahlungsökosystem, sodass Händler, Kartennetzwerke und Stripe gemeinsam dafür verantwortlich sind, diese zu verhindern. Bei Stripe verbessern wir ständig unsere Tools und Systeme, um Betrug zu erkennen und zu reduzieren, aber Sie müssen in Bezug auf Betrug wachsam bleiben.

So funktionieren Kartentests

Kartentester nutzen sowohl die Karteneinrichtung als auch Zahlungen, um zu bestimmen, ob die von ihnen erlangten gestohlenen oder aufgezählten Karteninformationen gültig sind oder nicht. Um eine hohe Anzahl an Kartennummern schnell zu validieren, verwenden Betrüger/innen Skripte, mit denen sie viele Karteninformationen auf einmal testen und 3DS-Antworten oder Antworten von Ausstellern erfassen, anhand welcher sie validieren, welche Karteninformationen gültig sind. Nachdem sie gültige Karten ermittelt haben, können sie diese bei Händlern nutzen oder die Informationen im Darknet weiterverkaufen.

  • Karteneinrichtung: Betrüger/innen nutzen diese Methode am häufigsten, da die Validierung und Autorisierung einer Karte während der Karteneinrichtung in der Regel nicht auf den Kontoauszügen der Karteninhaber/innen angezeigt werden. Dies verringert die Wahrscheinlichkeit, dass Karteninhaber/innen die betrügerischen Aktivitäten bemerken und melden.
  • Payments: Kartentester erstellen kleine Zahlungen, die Karteninhaber/innen weniger wahrscheinlich bemerken und als betrügerisch melden.

Konsequenzen von Kartentests

Kartentests haben viele negative Ergebnisse, von denen sich einige mit der Zeit verschlechtern, wenn die Kartentests fortgesetzt werden:

  • Angefochtene Zahlungen: Bei vielen Arten von Kartentests handelt es sich um Zahlungen, von denen einige erfolgreich sind. Kundinnen/Kunden bemerken erfolgreiche Zahlungen und melden sie als Betrug. Dies führt zu frühzeitigen Betrugswarnungen oder sogar betrügerischen Zahlungsanfechtungen, die Sie Zeit und Geld kosten.
  • Höhere Ablehnungsquoten: Kartentests führen in der Regel dazu, dass eine hohe Anzahl an Ablehnungen mit Ihrem Unternehmen in Verbindung gebracht wird. Ein hoher Anteil abgelehnter Zahlungen kann dem Ruf Ihres Unternehmens bei Kartenausstellern und Kartennetzwerken schaden, wodurch alle Ihre Transaktionen riskanter erscheinen. Dies kann zu einer erhöhten Ablehnungsquote legitimer Zahlungen führen, selbst wenn keine Kartentests mehr stattfinden.
  • Zusätzliche Gebühren – Für Kartentests können zusätzliche Gebühren anfallen, z. B. Autorisierungsgebühren für benutzerdefinierte Preispläne und Anfechtungsgebühren.
  • Belastung der Infrastruktur – Kartentests führen in der Regel zu zahlreichen Netzwerkanfragen und Vorgängen. Dieser zusätzliche Datenverkehr kann Ihre Infrastruktur überlasten und legitime Aktivitäten unterbrechen.
  • Schädigung des Ecosystem: Kartentests wirken sich negativ auf das gesamte Finanzsystem aus. Stripe und unsere Finanzpartner möchten Sie deshalb dabei unterstützen, solche Tests zu verhindern. Durch eine große Anzahl von Kartentests, die zu frühen Betrugswarnungen oder Zahlungsanfechtungen führen, könnten es sein, dass Sie in ein Kartenüberwachungsprogramm aufgenommen werden.
  • Qualität der Daten reduzieren, damit Ihr Unternehmen gut funktioniert: Einnahmen aus Kartentests können wie gut gesinnte, neue Kundinnen/Kunden in Ihren Daten erscheinen. Es ist für Sie daher schwierig, wirklich zu wissen, wie sich Ihr Unternehmen tatsächlich im Laufe der Zeit weiterentwickelt.

Checkliste für aktive Kartentests

Wenn Ihre Integration von Kartentestern missbraucht wird, empfehlen wir Ihnen, sofort folgende Maßnahmen zu ergreifen:

Tests zur Identifizierung von Karten

Einen Großteil der Kartentests können Sie anhand eines massiven Anstiegs an fehlgeschlagenen Autorisierungen und Zahlungen ermitteln. Die meisten Angriffe erkennen Sie in Ihrem Stripe-Dashboard klar als solche. Die häufigsten Vorkommnisse, auf die Sie achten sollten, sind:

  • Ein Anstieg fehlgeschlagener oder blockierter Zahlungen. Sie können die Trends auf der Dashboard-Startseite, der Listenansicht für Transaktionen und die Blockierungsgründe auf der Seite mit den Zahlungsdetails einsehen.
  • Ein Anstieg der Anfragen mit 402-Fehlern. Den Volumenanstieg können Sie auf der Seite Entwickler/innen und den 402-Fehler auf der Seite Fehlgeschlagene Logs anzeigen. Außerdem können Sie Webhooks und API-Antworten überwachen, insbesondere wenn das Ergebnis „generic_decline“ lautet.
  • Ein Anstieg verdächtiger Zahlungen mit niedrigen Transaktionsbeträgen, oft im Zusammenhang mit unsinnigen Kundennamen und E-Mail-Adressen. Um Zahlungsanfechtungen zu vermeiden, empfehlen wir, diese verdächtigen Transaktionen zu erstatten, wenn sie es durch die bestehenden Schutzmaßnahmen geschafft haben.
Kartentests identifizieren

Zahlung wegen Verdachts auf Kartentests gesperrt

Kartentests verhindern

Kartentester verwenden eine Vielzahl von Techniken, um die Blockierung ihrer betrügerischen Aktivitäten zu erschweren. Daher reichen einfache Firewall-Regeln oder Filter, die auf einer einzigen Heuristik wie IP-Adressen basieren, in der Regel nicht aus, um Kartentests zu verhindern.

Kartentester können Ihren veröffentlichbaren Schlüssel verwenden und damit eine große Anzahl von Zahlungen auf Ihrer Website erneut versuchen. Es gibt zwei Hauptstrategien dafür, wie Sie solche Angriffe abwenden:

  • Verwenden Sie eine von Stripe empfohlene Integration: Wählen Sie eine von Stripe empfohlene Integration, um unseren erprobten Schutz vor Kartentests zu nutzen.
  • Implementierung kontrollieren: Investieren Sie in eine Reihe von Betrugskontrollen, die Kartentester davon abhalten, anfällige Endpoints anzugreifen.

Zusätzlich zur Implementierung von Strategien zur Risikominimierung sollten Sie stets Ihre Schlüssel sicher aufbewahren und Ihren Geheimschlüssel nicht öffentlich zugänglich machen. Wenn Ihre Anmeldedaten offengelegt oder gestohlen wurden, können Kartentester Zahlungen erstellen und Karten mit Ihrem Geheimschlüssel einrichten.

Vorsicht

Sie sind kein Entwickler? Verwenden Sie ein Plugin oder eine Plattform? Um Kartentests zu verhindern und zu mildern, sind in der Regel Änderungen auf Code-Ebene erforderlich. Sie müssen diese Dokumentation daher den Entwickler/innen oder Anbieter/innen vorlegen, die den Code geschrieben haben, und mit ihnen zusammenarbeiten, um Kartentests zu verhindern.

Von Stripe empfohlene Integration verwenden

Wenn Sie das neueste Payment Element oder Checkout von Stripe nutzen, können Sie von vielen unserer automatisierten und manuellen Kontrollen Gebrauch machen, um Kartentests zu minimieren. So bieten wir beispielsweise Ratenbegrenzer, KI-Modelle, CAPTCHA-Auslöser, laufende Überprüfungen und mehr. Wenn wir feststellen, dass Sie einem Kartentestangriff ausgesetzt sind, wählen wir Maßnahmen dynamisch aus, um den Angriff so gut wie möglich abzuwehren. Gleichzeitig geben wir legitimen Nutzer/innen jedoch mit minimalen Einschränkungen weiterhin die Möglichkeit, Transaktionen über das Konto zu tätigen. Ihnen werden diese Zahlungen als Blocked by Stripe angezeigt.

Der Erfolg der Stripe-Steuerungen hängt jedoch von Ihrer Integration und den Signalen ab, die Sie an uns senden. Wir verwenden viele Signale, um zwischen Kartentests und legitimen Zahlungen zu unterscheiden. Während wir einige dieser Signale automatisch berechnen, hängen viele von ihnen von den Informationen ab, die Ihre Integration bereitstellt. Generell gilt: Je mehr Daten Ihre Integration bereitstellt, desto erfolgreicher ist die Prävention von Kartentests.

Wir empfehlen die Verwendung einer der von Stripe empfohlenen Integrationen, mit denen Sie Ihr Unternehmen dank der automatisierten CAPTCHA-Lösung vor Betrug schützen. Moderne CAPTCHA-Lösungen wenden mehrere Signale an, damit risikoreiches Verhalten besser erkannt wird. Diese Maßnahmen bleiben für legitime Nutzer/innen Ihres Dienstes weitgehend unbemerkt. Wenn Sie unsere CAPTCHA-Integration nicht nutzen möchten, wenden Sie sich bitte an den Stripe-Support.

Wenn Sie eine unserer empfohlenen Zahlungsintegrationen verwenden, können Sie die Schutzmaßnahmen von Stripe für Kartentests optimal nutzen. Wenn Sie keine der empfohlenen Integrationen verwenden können, fügen Sie so viele Daten wie möglich ein oder implementieren Sie Ihre eigenen Kontrollen. Die Kontrollen für Kartentests unterscheiden sich zwar vom Schutz vor betrügerischen Zahlungsanfechtungen von Radar, sie profitieren jedoch von den gleichen Signalen, die Radar nutzt.

Wenn Sie folgende Informationen in Ihren Zahlungsvorgang aufnehmen, kann sich dies erheblich auf die Leistung der Kartentestmodelle von Stripe auswirken. Mit unseren empfohlenen Integrationen können Sie diese Informationen einfach erfassen, während die Daten bei einer direkten Integration möglicherweise gesondert aufgenommen werden müssen.

Kontrollimplementierung

Durch das Hinzufügen von Einschränkungen zu bestimmten Endpoints können Sie Kartentests abwenden und verhindern. Die Einschränkungen, die Sie implementieren, sollten das Testen von Karten unmöglich machen und sich gleichzeitig gar nicht oder in sehr geringem Maße auf Ihren legitimen Datenverkehr auswirken.

Endpoints, auf die Kartentester abzielen, ermöglichen in der Regel Folgendes:

  • Karte speichern.
  • Eine Zahlung zu tätigen.

Die spezifischen Sicherheitsmaßnahmen, die Sie zu Ihrer Integration hinzufügen, variieren je nach Ihrer Situation und den Anforderungen Ihres Unternehmens. Im Folgenden beschreiben wir einige gängige Ansätze.

CAPTCHA implementieren

Kartentester verwenden häufig automatisierte Skripte, die CAPTCHA blockieren kann. Die Skripte sind besonders effektiv, wenn Sie keine der empfohlenen Integrationen verwenden, die CAPTCHA unterstützen. Moderne CAPTCHA-Lösungen bieten je nach Bedarf Optionen für sichtbare und unsichtbare CAPTCHAS. Wenn Sie ein CAPTCHA zu Ihrer Integration hinzugefügt haben, aber die Kartentests nicht gestoppt wurden, überprüfen Sie Folgendes:

  • Stellen Sie sicher, dass das CAPTCHA bei allen Anfragen, die Kartenvalidierungen oder Zahlungen mit Stripe ermöglichen, eine Validierung erfordert.
  • Überprüfen Sie die Captcha-Dokumentation, um sicherzustellen, dass Sie sie serverseitig implementiert haben.
  • Wenn Sie ein CAPTCHA-Lösung mit einer Punktzahl verwenden, passen Sie den Schwellenwert für die erfolgreiche Ausführung von Anfragen an.
  • Probieren Sie eine andere CAPTCHA-Lösung aus, wechseln Sie z. B. von einer unsichtbaren CAPTCHA-Lösung zu einer sichtbaren oder verwenden Sie eine komplett andere CAPTCHA-Lösung.

Zugriff auf Ihr Zahlungsformular einschränken

Je einfacher es für betrügerische Akteure ist, zu Ihrem Bezahlformular zu gelangen (z. B. über den Bezahlvorgang als Gast), desto einfacher können sie Kartentestangriffe durchführen. Sie können Kartentestern ihre Absichten erschweren, indem Sie von Kundinnen/Kunden verlangen, dass sich diese vor einer Zahlung auf Ihrer Plattform anmelden oder die Sitzung validieren müssen. Einige der Sicherheitsvorkehrungen zum Schutz vor CSRF-Angriffen (Cross-Site Request Forgery) sind auch gegen einige Arten von Kartentests, wie CSRF-Token effektiv.

Ratenbegrenzungen hinzufügen

In einigen Fällen können Sie Kartentests reduzieren, indem Sie Netzwerkratenbegrenzungen hinzufügen (z. B. in Ihrem Webshop-Frontend). Passen Sie diese Ratenbegrenzungen an, um die spezifische Art von Kartentests zu stoppen, mit denen Angriffe auf Ihre Systeme unternommen werden. Wenn Kartentester beispielsweise Ihre Integration verwenden, um Karten zu validieren, indem sie diese neuen Kundinnen/Kunden zuordnen, kann es abschreckend wirken, die Anzahl neuer Kundinnen/Kunden zu begrenzen, die an einem Tag über eine einzige IP-Adresse erstellt werden können.

Zusätzlich zu den Ratenbegrenzungen der Netzwerke können Sie Ratenbegrenzungen zu Ihren Zahlungen und dem Warenkorb hinzufügen, um selbst nach der Anmeldung oder Registrierung ungewöhnliches Verhalten zu erkennen und zu verhindern.

Ungewöhnliches Verhalten erkennen und verhindern

Verwenden Sie das Dashboard, Webhooks oder die kontinuierliche Überwachung mit Stripe Sigma oder Data Pipelines, um Abweichungen Ihres Datenverkehrs zu verfolgen. Sie können die Kartentestaktivität mit dem typischen legitimen Datenverkehr vergleichen und dann Filter erstellen, die nur die Kartentestaktivität einschränken oder verhindern. An Ihrem System können Sie beispielsweise folgende Änderungen vornehmen:

  • Anzahl der Karten einschränken, die zu einem Konto hinzugefügt werden können
  • Begrenzen Sie die Anzahl der Kund/innen, die mit einer einzigen IP-Adresse erstellt werden können
  • Anzahl der Käufe einschränken, die mit demselben Produkt getätigt werden können
  • Anzahl der Kundinnen/Kunden desselben Typs einschränken, die erstellt werden können
  • Anfragen mit bestimmten User Agents oder anderen Parametern herausfiltern

Dazu können Sie benutzerdefinierte Regeln in Radar for Fraud Teams nutzen. Darauf gehen wir im nächsten Abschnitt ein.

Verwenden Sie eine Kombination aus Risikominderungen

Es könnte sinnvoll sein, mehrere Ansätze zu kombinieren, um Kartentests zu reduzieren und so die Auswirkungen auf betrügerische Aktivitäten zu maximieren, ohne den legitimen Datenverkehr zu beeinträchtigen. Sie können beispielsweise CAPTCHAS und Ratenbegrenzungen kombinieren, damit der erste Zahlungsversuch von einer IP-Adresse ohne Einschränkung erfolgt, nachfolgende Anfragen, die in den nächsten Stunden von derselben IP-Adresse gestellt werden, jedoch eine Captcha-Überprüfung erfordern, um erfolgreich zu sein.

Vorsichtig sein mit Wiederholungsversuchen

Übermäßige Wiederholungsversuche (Dunning) von Zahlungen können wie Kartentests aussehen, wenn sie mit extremen Anstiegen und geringen Erfolgsquoten verbunden sind. Dunning und echte Kartentestangriffe können ähnliche Auswirkungen auf Ihr Unternehmen haben. Dazu gehört auch, dass die Kartenaussteller ihre Risikobereitschaft verschärfen. Stellen Sie sicher, dass Sie nach einem Kartentestangriff keine Wiederholungsversuche für Karten durchführen, die für betrügerische Kundinnen/Kunden eingerichtet wurden, da dadurch der ursprüngliche Angriff wiederholt wird. Die Smart Retries von Stripe berücksichtigen dies bereits.

Schutz an Ihre Risikobereitschaft anpassen

Abgesehen von den implementierten Gegenmaßnahmen können Sie Ihren Schutz mithilfe von Radar weiter optimieren. Radar enthält integrierte Regeln zum Blockieren auf der Grundlage von Banküberprüfungen, wie zum Beispiel CVC-Prüfungen.

Wenn Sie das Kundenverhalten kennen und die Geschwindigkeit von Zahlungen detailliert anpassen möchten, können Sie benutzerdefinierte Regeln unter Radar for Fraud Teams aufstellen.

Beispiele finden Sie im Radar 101-Leitfaden.

Siehe auch

War diese Seite hilfreich?
JaNein
Benötigen Sie Hilfe? Kontaktieren Sie den Kundensupport.
Nehmen Sie an unserem Programm für frühzeitigen Zugriff teil.
Schauen Sie sich unser Änderungsprotokoll an.
Fragen? Sales-Team kontaktieren.
LLM? Lesen Sie llms.txt.
Unterstützt von Markdoc