Kreditkartenbetrug

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

Der Kreditkartenbetrug ist eine Form des Wirtschaftsbetruges, bei der gefälschte oder gestohlene Kreditkarten-Daten verwendet werden und den Kontoinhabern und/oder den beteiligten Händlern ein finanzieller Schaden zugefügt wird.

Diebstahl von Kreditkartendaten[Bearbeiten]

Nebst der physischen Entwendung der Karte, beispielsweise durch Taschendiebe, werden Kreditkartenangaben vermehrt mittels elektronischer Methoden gestohlen. Hierzu bedienen sich die Täter verschiedener Möglichkeiten wie beispielsweise:

  • Erschleichung durch E-Mails (siehe Phishing)

(Beispiel: der Täter gibt sich als Mitarbeiter eines Kreditkarteninstituts oder einer Bank aus und erfragt die Daten der Karte)

  • Gefälschte Internetdienste und Shops

(die Täter locken in Onlineshops mit unausschlagbar guten Angeboten und erreichen damit, dass das Opfer gutgläubig seine Daten preisgibt.)

  • Zugriff auf E-Mail-Korrespondenz

(Cracker nutzen Sicherheitslöcher und meist Insiderwissen, um an die Kundendateien zu gelangen, in welchen vielfach auch Kreditkartendaten gespeichert sind.)

  • Hackerangriffe auf Kaufhausketten, bei denen Kreditkartendaten gestohlen werden: Wie das Fachportal Kreditkartenvergleich.org[1] im Februar 2014 berichtete, hatte vermutlich ein Hackerangriff auf eine amerikanische Kaufhauskette zum Diebstahl von Millionen Kreditkartendaten geführt, mit denen anschließend Kleinstbeträge über ein Bot-Netz abgebucht wurden. Den Vorgang bemerkten viele Kunden gar nicht.
  • In letzter Zeit nimmt auch der Diebstahl der Daten inklusive PIN mittels manipulierter Kreditkartenlesegeräte in Geschäften zu.[2]
  • Vermehrt wird auch von Fällen berichtet, bei denen die Opfer unter KO-Tropfen gesetzt werden um deren Willenlosigkeit für eine Kontoplünderung zu nutzen.[3]

Fälschung von Kreditkartendaten[Bearbeiten]

Die Methode der Fälschung nutzt die Tatsache, dass die meisten Kreditkarten-Herausgeber aufsteigende Kreditkartennummern vergeben. Gelangt der Täter in den Besitz einer Karte mit Verfalldatum, so kann er leicht die nächst folgenden Kartennummern erraten. Die eingerechnete Prüfziffer birgt hierbei keinen ausreichenden Schutz, da deren Berechnung mit dem Luhn-Algorithmus (gemäß ISO/IEC 7812-1) öffentlich bekannt ist.

Daneben existieren Kreditkartennummern-Generatoren, die durch den Einsatz der Brute-Force-Methode und dem Abgleich von Parametern eine gültige, virtuelle Kreditkarte erstellen. Diese werden nach dem Vorbild der Kreditkartennummern-Generatoren der Kreditkartenunternehmen entwickelt.

Schutz vor dem Kreditkartenmissbrauch[Bearbeiten]

Kunden müssen die zugestellten Abrechnungen innerhalb einer Frist (meist 30 Tage) auf deren Korrektheit überprüfen. Ungereimtheiten müssen umgehend dem Kreditkarteninstitut schriftlich (auch wenn telefonisch teilweise andere Aussagen gemacht werden) gemeldet werden. Der Betrag wird dann zurück überwiesen, da keine verbindliche Unterschrift seitens des Karteneigentümers nachgewiesen werden kann.

Händler hingegen haben bisher das vollumfängliche Risiko beim Kreditkartenbetrug getragen. Obwohl die vorgängige Autorisierung ohne Probleme erfolgte, wurde das Geld im Betrugsfalle vom Händler zurückgefordert. Dies geschah deshalb, da die Autorisierung lediglich geprüft hat, ob die angegebene Kartennummer gültig und gedeckt war, jedoch nicht, ob die Identität mit dem Karteneigentümer übereingestimmte. Begründet wird dies mit dem Datenschutz.

Jetzt ist dies, der am 21. Februar 2011 gesendeten ZDF-Wiso-Sendung zufolge, zumindest bei Einkäufen im Internet anders.[4] Die Einführung des neuen Sicherheitscodes 3-D Secure täuscht dem Kunden vor, seine Sicherheit würde dadurch erhöht. Tatsächlich geht dem Kunden die bisher vorhandene Sicherheit jedoch verloren. Es ist nämlich, Wiso zufolge, eine Rückbuchung, wenn vom Kunden – oder vom Betrüger – der richtige Sicherheitscode eingegeben worden war, nicht mehr möglich. Somit trägt jetzt der Kreditkarten-Inhaber das volle Risiko. Ebenfalls trägt der Kreditkarten-Inhaber das volle Risiko wenn er unter räuberischer Erpressung, Zwang oder Bewusstlosigkeit die Belege selbst unterschrieben hat. Das ist beispielsweise dann der Fall, wenn der Kreditkarteninhaber unter Wirkung von KO-Tropfen zu einer Unterschrift genötigt wird.

Trotzdem stellt der neue Sicherheitscode 3-D Secure einen erhöhten Schutz vor Kreditkartenmissbrauch dar. Im Gegensatz zur bloßen Nutzung der vermeintlich sicheren Standards des CVC2- oder CVV2-Codes erschwert das neue Verfahren die gewinnbringende Nutzung einer rechtswidrig angeeigneten Kreditkarte erheblich. Ist der Täter nicht im Besitz dieses persönlichen Passworts, so besteht für ihn beinahe keine Möglichkeit mit der Kreditkarte zu bezahlen. Falls der Täter aber im Besitz der Kontonummer und des Geburtsdatums des Kreditkarteninhabers ist, so kann das Passwort zurückgesetzt werden. Eine Transaktion ist nun möglich.[5]

Online-Zahlungsdienstleister wie PayPal bieten eine sog. Gastzahlung an. Somit können Täter sofort mit einem Datensatz bezahlen. Dies wird ermöglicht, da PayPal keine Überprüfung der Identität vornimmt, bevor eine Transaktion gestattet wird. Zwar werden Cent-Beträge auf das Kreditkartenkonto überwiesen, um sicherzugehen, dass der rechtmäßige Inhaber der Kreditkarte die Transaktion vornimmt, allerdings kann der Täter ungehindert dessen einkaufen, da PayPal einen Rahmen von 1500 ohne Bestätigung der Überprüfung einräumt. Ebenso ermöglicht PayPal eine Nutzung der Daten ohne Kenntnis des 3-D-Secure-Passworts.[6]

Dadurch, dass das Passwort des 3-D-Secure-Codes nicht an den Online-Händler übertragen und dort gespeichert wird, haben Täter nicht die Möglichkeit einen kompletten Datensatz durch das Eindringen in eine solche Händlerdatenbank zu erhalten.

Der Händler sollte daher folgende Ratschläge beachten:

  • Zusätzliche Überprüfung des CVC2- oder CVV2-Codes.
  • Adressverifikation sofern möglich
  • Erhöhte Vorsicht, wenn der Kunde mit anderer Kartennummer als beim letzten Mal bestellt.
  • Erhöhte Vorsicht, wenn der Kunde mit einer Kartennummer bestellt, die schon ein anderer verwendet hat.
  • Einrichtung von Bestellwert-Limits (v. a. für Neukunden)
  • Persönliche Kontaktierung bei Zahlung mittels Kreditkarte und einer Packstation als Lieferanschrift
  • Ware nur gegen unterschriebenen Lieferschein aushändigen. Die Unterschrift des Kunden auf dem Kreditkartenbeleg ersetzt nicht die schriftliche Bestätigung, dass er die Ware erhalten hat. Der Kunde kann nach dem Kauf reklamieren, dass er die Ware nicht erhalten hat. Da die Beweispflicht beim Händler liegt, muss er den Kaufpreis zurückerstatten, wenn er keinen Beleg für die Lieferung nachweisen kann.

Darüber hinaus sind Händler dazu verpflichtet, sich an die Regelungen des PCI Data Security Standards zu halten, wenn sie die Daten von Kreditkartenbesitzern vorhalten.

Strafrecht[Bearbeiten]

„Kreditkartenbetrug“ ist eine kriminologische Bezeichnung; sie ist im Strafrecht nicht üblich (s. u.). Der versuchte und vollendete Betrug mit Kreditkarten und die Fälschung echter oder die Herstellung falscher Kreditkarten ist in Deutschland mit Strafe (Vergehen und Verbrechen) bewehrt. Einschlägig sind u. a.

  • § 152a StGB („Fälschung von Zahlungskarten, Schecks und Wechseln“): (1) Wer zur Täuschung im Rechtsverkehr oder, um eine solche Täuschung zu ermöglichen, 1. inländische oder ausländische Zahlungskarten, Schecks oder Wechsel nachmacht oder verfälscht oder 2. solche falschen Karten, Schecks oder Wechsel sich oder einem anderen verschafft, feilhält, einem anderen überlässt oder gebraucht, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft. (2) Der Versuch ist strafbar. (3) Handelt der Täter gewerbsmäßig oder als Mitglied einer Bande, die sich zur fortgesetzten Begehung von Straftaten nach Absatz 1 verbunden hat, so ist die Strafe Freiheitsstrafe von sechs Monaten bis zu zehn Jahren. (4) Zahlungskarten im Sinne des Absatzes 1 sind Karten, 1. die von einem Kreditinstitut oder Finanzdienstleistungsinstitut herausgegeben wurden und 2. durch Ausgestaltung oder Codierung besonders gegen Nachahmung gesichert sind. (5) § 149, soweit er sich auf die Fälschung von Wertzeichen bezieht, und § 150 Abs. 2 gelten entsprechend.
  • § 152b StGB („Fälschung von Zahlungskarten mit Garantiefunktion und Vordrucken für Euroschecks“): (1) Wer eine der in § 152a Abs. 1 bezeichneten Handlungen in Bezug auf Zahlungskarten mit Garantiefunktion oder Euroscheckvordrucke begeht, wird mit Freiheitsstrafe von einem Jahr bis zu zehn Jahren bestraft. (2) Handelt der Täter gewerbsmäßig oder als Mitglied einer Bande, die sich zur fortgesetzten Begehung von Straftaten nach Absatz 1 verbunden hat, so ist die Strafe Freiheitsstrafe nicht unter zwei Jahren. (3) In minder schweren Fällen des Absatzes 1 ist auf Freiheitsstrafe von drei Monaten bis zu fünf Jahren, in minder schweren Fällen des Absatzes 2 auf Freiheitsstrafe von einem Jahr bis zu zehn Jahren zu erkennen. (4) Zahlungskarten mit Garantiefunktion im Sinne des Absatzes 1 sind Kreditkarten, Euroscheckkarten und sonstige Karten, 1. die es ermöglichen, den Aussteller im Zahlungsverkehr zu einer garantierten Zahlung zu veranlassen, und 2. durch Ausgestaltung oder Codierung besonders gegen Nachahmung gesichert sind. (5) § 149, soweit er sich auf die Fälschung von Geld bezieht, und § 150 Abs. 2 gelten entsprechend.
  • § 266b StGB („Missbrauch von Scheck- und Kreditkarten“): (1) Wer die ihm durch die Überlassung einer Scheckkarte oder einer Kreditkarte eingeräumte Möglichkeit, den Aussteller zu einer Zahlung zu veranlassen, mißbraucht und diesen dadurch schädigt, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. (2) § 248a gilt entsprechend.

Siehe auch[Bearbeiten]

Einzelnachweise[Bearbeiten]

  1. Kreditkartenvergleich.org: Kreditkartenbetrug nach Hackerangriff
  2. stern.de: Skimming an der Baumarktkasse
  3. Spiegel.de: Skandal um K.O.-Tropfen In Düsseldorfer Bordellen
  4. Inhaltsangabe, Video unbekannt in der ZDFmediathek, abgerufen am 3. Februar 2014 (offline)
  5. Verified by Visa Passwort Vergessen Funktion – AUDI Bank
  6. 'PayPal lässt Einkäufe mit gestohlenen Kreditkarten zu' ZEIT ONLINE – 27. September 2010

Weblinks[Bearbeiten]

Rechtshinweis Bitte den Hinweis zu Rechtsthemen beachten!