Was ist Kardieren? Wie es funktioniert und wie man es verhindern kann

Illustration mit dem Titel “Carding”, die einen vermummten Cyberkriminellen zeigt, der mehrere Zahlungskarten vor einem Laptop hält, mit Online-Kasse, genehmigtem Zahlungsterminal, Einkaufswagen, Schloss, Phishing-Haken, Bargeld und Geschenkbox-Symbolen, die gestohlenen Kreditkartenbetrug und nicht autorisierte Einkäufe darstellen. — ist captcha.eu

Online-Unternehmen bemerken Carding oft erst dann, wenn sich etwas falsch anfühlt. Die Zahl der fehlgeschlagenen Autorisierungen nimmt zu, kleine Zahlungsversuche treten gehäuft auf, und die Aktivitäten an der Kasse sehen nicht mehr wie normales Kundenverhalten aus. Hinter diesem Muster verbirgt sich eine Form des automatisierten Zahlungsmissbrauchs, mit dem Kriminelle herausfinden können, welche gestohlenen Kartendaten noch funktionieren.

Deshalb ist die Kartenvergabe weit über das Zahlungsteam hinaus von Bedeutung. Es wirkt sich auf die Betrugsrate, das Kundenvertrauen, die Arbeitsbelastung und die Stabilität der Online-Einnahmen aus. Selbst wenn die meisten Versuche fehlschlagen, kann es zu Rückbuchungen, manuellen Überprüfungen, Zahlungslärm und vermeidbarem Druck auf die Kassensysteme kommen.

Inhaltsverzeichnis

Was ist Kardieren?
Wie das Kardieren funktioniert
Kardieren vs. Kartenprüfung und damit verbundener Betrug
Warum Kardieren für Unternehmen wichtig ist
Anzeichen für einen Kardierangriff
Wie man das Kardieren verhindert
Ausblick auf die Zukunft
Fazit
FAQ – Häufig gestellte Fragen

Was ist Kardieren?

Kardieren ist eine Art von Zahlungsbetrug bei dem Angreifer gestohlene Kredit- oder Debitkartendaten verwenden, um festzustellen, welche Karten noch gültig sind, und diese dann für betrügerische Transaktionen oder den Weiterverkauf verwenden. Dieser Validierungsschritt wird im E-Commerce und im Zahlungsverkehr oft als Kartentest bezeichnet.

In der Praxis ist die Testphase oft der wichtigste Teil. Betrüger beginnen nicht immer mit einem Großeinkauf. Sie beginnen oft mit kleinen, risikoarmen Versuchen, um zu sehen, ob eine Kartennummer, das Ablaufdatum, die Rechnungsdaten oder der Sicherheitscode noch funktionieren. Sobald eine Karte bestätigt ist, wird sie für Geschenkkartenbetrug, digitale Einkäufe, Kontomissbrauch oder den Weiterverkauf an andere Kriminelle nützlicher.

Wie das Kardieren funktioniert

Die meisten Carding-Angriffe folgen einem einfachen Muster. Zunächst verschaffen sich die Angreifer gestohlene Kartendaten. Diese Daten können aus Phishing oder Malware stammen, Digital Skimming, ältere Sicherheitslücken oder kriminelle Marktplätze. Wenn Zahlungsseiten nicht ordnungsgemäß geschützt sind, können browserseitige Skripte und andere Schwachstellen an der Kasse auch Kartendaten preisgeben, die später zu Betrugsaktivitäten an anderer Stelle führen.

Als nächstes folgt die Validierung. Angreifer verwenden automatisierte Tools, um die gestohlenen Daten in Echtzeit durch Zahlungsströme laufen zu lassen. Diese Tests erfolgen häufig über E-Commerce-Kassenseiten, Spendenformulare, Testanmeldungen, Formulare für Kartenzahlungen, Zahlungsvorgänge oder einfache Autorisierungsanfragen. Das Ziel ist Geschwindigkeit und Skalierbarkeit. Ein Bot kann eine große Anzahl von Kartendaten viel schneller durchlaufen als ein Mensch.

Wenn einige Versuche erfolgreich sind, verfügt der Angreifer über eine Liste von funktionierenden Karten. Diese Karten können dann für Geschenkkarten, digitale Güter, Abonnements oder Produkte verwendet werden, die sich leicht weiterverkaufen lassen. In anderen Fällen werden die validierten Daten weiterverkauft, da bestätigte Karten wertvoller sind als ungeprüfte. Für den Händler sieht das Muster eher chaotisch als dramatisch aus: viele fehlgeschlagene Versuche, ein paar verdächtige Erfolge und Ausbrüche von Zahlungsaktivitäten, die nicht dem normalen Käuferverhalten entsprechen.

Diese Begriffe sind eng miteinander verwandt, aber nicht identisch.

Kartenbetrug ist die umfassendere Form des Betrugs. Er umfasst das Testen und den späteren Missbrauch gestohlener Kartendaten. Das Testen von Karten bezieht sich in der Regel auf die Validierungsphase, in der Angreifer prüfen, welche gestohlenen Karten noch funktionieren. Betrug mit nicht vorhandenen Karten ist die umfassendere Kategorie, die betrügerische Online-Zahlungen umfasst, bei denen keine physische Karte vorgelegt wird. E-Skimming ist wieder etwas anderes. Dabei handelt es sich um eine Methode zum Diebstahl von Zahlungsdaten direkt von einer Kassenseite. Nachdem die gestohlenen Daten getestet oder für Betrugszwecke verwendet wurden, folgt oft das Carding. Rückbuchungen sind nicht der eigentliche Angriff. Sie sind eine der Hauptfolgen für den Händler, nachdem betrügerische Zahlungen angefochten wurden.

Diese Unterscheidung ist wichtig, weil sich Unternehmen oft auf die falsche Ebene konzentrieren. Ein Carding-Problem ist nicht nur ein Zahlungsbetrugsproblem. Es kann auch Bot-Missbrauch, schwache Checkout-Kontrollen, mangelhafte Sicherheit der Zahlungsseite und begrenzte Transparenz bei verdächtigen Zahlungsmustern beinhalten.

Warum Kardieren für Unternehmen wichtig ist

Er verursacht Schaden, lange bevor ein großer Betrugsfall bestätigt wird. Selbst fehlgeschlagene Versuche verbrauchen Zahlungsressourcen, verzerren Analysen, lösen Betrugsüberprüfungen aus und sorgen für Unruhe in der Berichterstattung. Ein Unternehmen kann ungewöhnliche Rückgänge, ein höheres Supportvolumen oder Probleme mit Geschenkkarten feststellen, bevor es merkt, dass Bots gestohlene Daten auf der Website testen.

Wenn betrügerische Transaktionen erfolgreich sind, hat das schnell Konsequenzen. Der Händler muss mit Rückbuchungen, dem Verlust von Waren oder Dienstleistungen, der Bearbeitung von Rückerstattungen und einer höheren Bewertung des Zahlungsrisikos rechnen. Manche Unternehmen sehen sich auch mit indirekten Schäden konfrontiert, da die Qualität der Konvertierung sinkt und mehr manuelle Überprüfungen anfallen. Große Mengen an fehlgeschlagenen Autorisierungen können auch die Aufmerksamkeit von Acquiring- und Zahlungsrisikoteams auf sich ziehen.

Das Risiko ist nicht auf Einzelhändler mit physischen Waren beschränkt. Abonnementdienste, SaaS-Anbieter, Reiseplattformen, Marktplätze, digitale Waren, Testanmeldungen, Spenden und Geschenkkartenflüsse können allesamt zum Testfeld werden, wenn die richtigen Kontrollen fehlen. Mit anderen Worten: Ein Unternehmen kann auch dann von Carding betroffen sein, wenn die gestohlenen Kartendaten an anderer Stelle kompromittiert wurden. Der letzte Punkt ist eine Schlussfolgerung aus der Art und Weise, wie Zahlungssysteme von Live-Händlern zur Validierung gestohlener Karten verwendet werden.

Anzeichen für einen Kardierangriff

Viele Unternehmen erkennen es zunächst nicht, weil es oft wie ein lärmender Zahlungsverkehr aussieht. Das Muster wird klarer, wenn man weiß, worauf man achten muss.

Ein häufiges Anzeichen ist ein plötzlicher Anstieg von fehlgeschlagenen Genehmigungen oder Zahlungen, insbesondere innerhalb eines kurzen Zeitfensters. Ein weiteres Anzeichen ist eine Häufung von Transaktionen mit geringem Wert, die nicht dem normalen Kaufverhalten entspricht. Geschenkkarten, Prepaid-Produkte und andere Käufe mit geringem Wert sind häufige Ziele, da sie leicht zu Geld zu machen sind und nach der Lieferung nur schwer wieder eingezogen werden können. Ungewöhnliche Aktivitäten bei der Überprüfung des Kontostands oder wiederholte Versuche, digitale Produkte mit geringem Wert zu kaufen, können ebenfalls darauf hinweisen, dass die Angreifer gestohlene Kartendaten testen.

Sie können auch wiederholte Zahlungsversuche für denselben Zahlungsstrom mit fehlgeschlagenen Verifizierungsprüfungen feststellen, wie z. B. CVC-, Postleitzahlen- oder Rechnungsadressenübereinstimmungen. Einige Angriffe verteilen die Versuche auf viele Konten oder Sitzungen, um einfache Erkennungsregeln zu umgehen. Andere Angriffe zielen eher auf die Einrichtung der Zahlung als auf die normale Kaufabwicklung ab, da diese Schritte aus Sicht des Kunden ruhiger ablaufen können.

Auch betriebliche Signale sind wichtig. Die Warteschlangen für Betrugsfälle können wachsen. Die Support-Teams erhalten möglicherweise mehr Beschwerden. Zahlungsdaten können schwieriger zu interpretieren sein, weil sich normale Kundenaktivitäten mit Bot-gesteuerten Tests vermischen. Wenn mehrere dieser Anzeichen zusammen auftreten, sollte die Kartenprüfung Teil der Untersuchung sein.

Wie man das Kardieren verhindert

Die stärkste Verteidigung ist vielschichtig. Beginnen Sie mit den Grundlagen der Zahlung. Erfassen und überprüfen Sie gegebenenfalls sicherheitsrelevante Informationen, einschließlich CVC, Postleitzahl und Rechnungsadresse. Diese Überprüfungen sind nicht die alleinige Lösung, aber sie verbessern die Betrugserkennung und erschweren einfache Tests.

Dann konzentrieren Sie sich auf Missbrauchsmuster. Ratenbegrenzung, Geschwindigkeitsprüfungen, Transaktionsschwellenwerte und Verhaltensüberwachung helfen bei der Erkennung wiederholter Tests. Geschenkkartenkäufe, Testanmeldungen, Kontoerstellung und Card-on-File-Vorgänge verdienen besondere Aufmerksamkeit, da Angreifer sie oft für eine schnelle Validierung nutzen. Einfaches IP-Blockieren allein reicht selten aus, wenn Angreifer ihre Versuche über die gesamte Infrastruktur und die Sitzungen verteilen.

Auch die Sicherheit der Zahlungsseite ist wichtig. Wenn Angreifer durch unzureichende Sicherheitsvorkehrungen an der Kasse Kartendaten aus anderen Quellen stehlen können, wird es schwieriger, das gesamte Ökosystem der Kartenzahlung zu kontrollieren. Die aktuellen PCI-Richtlinien für den E-Commerce betonen die Notwendigkeit, Zahlungsseiten-Skripte zu autorisieren, ihre Integrität zu überprüfen und sie auf Manipulationen zu überwachen. Das macht die Sicherheit von Zahlungsseiten auch dann relevant, wenn Ihr unmittelbares Anliegen die Kartenprüfung ist.

CAPTCHA kann diesen Schutz unterstützen, aber nur als eine Ebene. Schwache Zahlungsregeln oder ein unsicheres Design der Kasse werden damit nicht behoben. Es kann jedoch automatisierte Tests auf exponierte Formulare, verdächtige Sitzungen, Kontoerstellungsabläufe oder ausgewählte Checkout-Schritte erschweren. Für europäische Unternehmen ist captcha.eu hier relevant, weil es seinen Service um GDPR-konformen Bot-Schutz, kein Tracking, keine Cookies und Hosting in Österreich positioniert.

Ausblick auf die Zukunft

Das Carding wird immer anpassungsfähiger. Angreifer verteilen ihre Versuche auf verschiedene Geräte, Konten und Infrastrukturen, um einfache Erkennungsregeln zu umgehen. Außerdem wechseln sie zwischen Checkout, Anmeldung, Geschenkkarte und Zahlungseinrichtung, je nachdem, wo die Reibung am geringsten ist. In den Händlerleitfäden von Stripe und anderen Zahlungsanbietern wird weiterhin der Schwerpunkt auf Schadensbegrenzung, Überwachung und gezielte Kontrollen gelegt und nicht auf ein einzelnes Patentrezept.

Das bedeutet, dass statische Kontrollen allein selten ausreichen. Der bessere Ansatz ist die kontinuierliche Überwachung des Zahlungsverhaltens, kombiniert mit gezielten Reibungen dort, wo das Risiko am größten ist. Für die meisten Unternehmen besteht die Herausforderung nicht nur darin, offensichtlichen Betrug zu verhindern. Es geht darum, automatische Tests früh genug zu stoppen, damit der Zahlungsfluss für legitime Kunden nutzbar und für Angreifer unrentabel bleibt.

Fazit

Unter Carding versteht man das automatisierte Testen und den Missbrauch von gestohlenen Zahlungskartendaten. Für Händler besteht die Gefahr nicht nur in betrügerischen Käufen. Es sind auch die versteckten Kosten für fehlgeschlagene Autorisierungen, Rückbuchungen, Reibungsverluste beim Kunden, manuelle Überprüfungsarbeiten und eine missbrauchte Zahlungsinfrastruktur.

Die beste Antwort ist praktisch und vielschichtig. Verstehen Sie, welche Abläufe getestet werden können. Achten Sie auf verdächtige Aktivitäten mit geringem Wert. Verstärken Sie die Zahlungskontrollen. Überwachen Sie das Verhalten. Erhöhen Sie die Reibung dort, wo Automatisierung sichtbar wird. Sichern Sie die Zahlungsseite und die dahinter liegende Checkout-Logik.

Wenn Bots auf offene Formulare oder Checkout-bezogene Abläufe abzielen, kann ein CAPTCHA eine nützliche unterstützende Kontrolle sein. In dieser Rolle, ist captcha.eu passt in ein europäisches, datenschutzorientiertes Modell mit GDPR-konformem Schutz, das in Österreich gehostet wird.

FAQ – Häufig gestellte Fragen

Was ist Kardieren in einfachen Worten?

Carding ist eine Form des Zahlungsbetrugs, bei der Angreifer gestohlene Kartendaten testen, um herauszufinden, welche Karten noch funktionieren. Anschließend verwenden sie die gültigen Karten für betrügerische Einkäufe, Geschenkkarten, Kontomissbrauch oder den Weiterverkauf.

Ist das Kardieren dasselbe wie das Testen von Karten?

Nicht ganz. Kartentests sind in der Regel die Validierungsphase innerhalb eines umfassenderen Kartenbetrugs. In alltäglichen Diskussionen über Betrug werden die beiden Begriffe jedoch oft eng miteinander verbunden.

Warum werden bei Angriffen auf Kartenzahlungen kleine Beträge oder Autorisierungsanfragen verwendet?

Mit kleinen Transaktionen und autorisierungsähnlichen Prüfungen können Angreifer testen, ob die gestohlenen Kartendaten noch funktionieren, und dabei weniger Aufmerksamkeit erregen als bei einem großen betrügerischen Kauf. Die Einrichtung von Zahlungen und ähnliche Abläufe können ebenfalls nützlich sein, da sie für Karteninhaber weniger offensichtlich sind.

Kann es zu einer Kardierung kommen, auch wenn meine Website nicht angegriffen wurde?

Ja. Angreifer nutzen oft öffentliche Zahlungsströme, um gestohlene Karten zu testen, die anderswo kompromittiert wurden. In diesem Fall ist Ihre Website nicht die Quelle des Diebstahls, aber sie wird dennoch zum System, das für die Validierung und Betrugsversuche verwendet wird. Diese Schlussfolgerung wird durch die Beschreibung von Live-Zahlungssystemen, die für Kartentests verwendet werden, in den aktuellen Händlerleitfäden unterstützt.

Wie kann ein Unternehmen Carding erkennen?

Häufige Anzeichen sind viele fehlgeschlagene Autorisierungen, ungewöhnliche Bestellungen mit geringem Wert, wiederholte fehlgeschlagene Verifizierungsprüfungen, verdächtige Aktivitäten im Zusammenhang mit Geschenkkarten oder der Einrichtung von Zahlungssystemen sowie ein hohes Verkehrsaufkommen, das nicht dem normalen Kundenverhalten entspricht.

Kann CAPTCHA das Kardieren verhindern?

Das allein reicht nicht aus. Um Kartenmissbrauch zu verhindern, sind auch Zahlungskontrollen erforderlich, Betrugserkennung, und Überwachung. Aber CAPTCHA kann helfen, Bot-gesteuerte Tests auf exponierten Formularen und verdächtigen Checkout-Schritten zu reduzieren.