Card not present

Eine Card-not-present-Transaktion (abgekürzt CNP-Transaktion, auch bezeichnet als „MO/TO“ für „Mail Order/Telephone Order“) ist eine Zahlungskarten-Transaktion, bei der der Karteninhaber die Karte für die Prüfung eines Händlers zum Zeitpunkt der Bestellung nicht physisch vorlegt oder nicht vorlegen kann, wie z. B. bei Bestellungen über Katalog per Post, Fax, Telefon oder Internet.

Karte-nicht-präsent-Transaktionen machen einen Großteil des Kreditkartenbetrugs aus, weil es für einen Händler schwierig ist zu überprüfen, ob der tatsächliche Karteninhaber einen Kauf autorisiert.

Wenn eine betrügerische CNP-Transaktion gemeldet wird, muss der Acquirer, bei dem das Händlerkonto geführt wird und der das Geld von der betrügerischen Transaktion erhalten hat, eine Rückgabe machen. Dahingegen ist bei einer betrügerischen Swiped Transaction (d. h. mit Karte) der Emittent der Karte zur Rückgabe verpflichtet.^[1] Wegen des größeren Risikos berechnen einige Kartenherausgeber eine höhere Transaktionsgebühr für Händler, die routinemäßig Transaktionen ohne Karten ausführen.

Der Card Validation Code wurde eingeführt, um die Häufigkeit von Kreditkartenbetrug aus CNP zu reduzieren.

Versandbetrug[Bearbeiten | Quelltext bearbeiten]

Wenn beim Kauf durch einen Kunden eine Karte nicht physisch vorgelegt wird, muss sich der Händler auf den Karteninhaber verlassen oder auf denjenigen, der vorgibt, der Karteninhaber zu sein, indem dieser Informationen indirekt, sei es per Post, Telefon oder über das Internet, präsentiert.

Kurierdienste können die Lieferung von Waren an einen Ort garantieren, aber sie sind normalerweise nicht verpflichtet, die Identifizierung zu überprüfen, und sie sind in der Regel nicht an der Verarbeitung von Zahlungen für die Ware beteiligt. Eine übliche Maßnahme für Händler, um Versandbetrug vorzubeugen ist es, den Versand nur an eine vom Karteninhaber genehmigte Adresse zuzulassen. Händlerbanksysteme bieten einfache Methoden zur Überprüfung dieser Informationen.

Kleine Transaktionen werden in der Regel weniger geprüft und es ist eher wahrscheinlich, dass sie weder vom Kartenaussteller noch vom Händler untersucht werden. CNP-Händler müssen zusätzliche Vorsichtsmaßnahmen gegen Betrug und damit verbundene Verluste ergreifen, und sie zahlen höhere Preise für das Privileg der Kartenannahme. Betrüger nutzen die Tatsache, dass viele Methoden zur Vermeidung von Betrug für kleine Transaktionen nicht angewendet werden.

Handelsvereinigungen haben einige Präventionsmaßnahmen entwickelt, wie z. B. Einmal-Kartennummern, aber diese waren nicht sehr erfolgreich. Kunden erwarten, dass sie ihre Kreditkarte ohne Probleme nutzen können, und haben wenig Anreiz, aufgrund von Gesetzen, die die Haftung der Kunden im Falle von Betrug einschränken, zusätzliche Sicherheit zu erlangen. Händler können diese Präventionsmaßnahmen umsetzen, laufen aber Gefahr, Umsätze zu verlieren, wenn sich der Kunde entscheidet, die Maßnahmen nicht zu nutzen.

Betrug[Bearbeiten | Quelltext bearbeiten]

Die US-amerikanische Federal Trade Commission deckte einen Betrug auf, der zwischen 2006 und 2010 mehr als 10 Millionen US-Dollar in betrügerischen Gebühren auf Kredit- und Debitkarten verrechnete. Die Täter benutzten mehr als 100 Handelskonten, die sie für die Abrechnung eröffnet hatten.^[1][2]

Jedes Handelskonto wurde an eine Taxpayer Identification Number angehängt, die zu einem echten Händler mit einem ähnlich klingenden Namen gehörte. Jedes Händlerkonto wurde mit einer 0800-Nummer von CallMe800 verknüpft. Jedes Konto wurde außerdem mit einer eigens dafür erstellten Website verknüpft. Zusätzlich wurden für jedes Händlerkonto physische Adressen von Unternehmen gemietet, die virtuelle Büros vermieten, wie z. B. Regus. Diese virtuellen Bürofirmen, die von dem Betrug nichts wussten und ansonsten nicht beteiligt waren, leiteten dann alle Post, die im virtuellen Büro empfangen wurde, an die Earth Class Mail weiter, einen digitalen Mailroom-Dienst, der die Post von der physischen Adresse des Händlerkontos einscannte und als PDF an die von den Betrügern erstellten E-Mail-Konten weiterleitete. Die Betrüger achteten darauf, dass sie zum Überprüfen ihrer Online-Händler-Konten eine IP-Adresse in der Nähe der Rechnungsadresse verwendeten, um keinen Verdacht zu erwecken.

Eine Gebühr von jeweils 9 US-Dollar wurde auf etwa einer Million Kreditkarten über den Vierjahreszeitraum verarbeitet. Jede Karte wurde ein einziges Mal abgerechnet. Kreditkarten-Unternehmen untersuchen nur, wenn die Gebühr mehr als 10 US-Dollar beträgt, da es sich darunter nicht lohnt, eine Untersuchung durchzuführen. Dann wurde das Geld auf Bankkonten in Litauen, Estland, Lettland, Bulgarien, Zypern und Kirgisistan überwiesen, wo das Geld nicht verfolgt werden konnte. Die Täter experimentierten mit einer 20-Cent-Gebühr; das war verdächtiger als die 9-Dollar-Gebühr. Nur etwa 10 Prozent der betrügerischen Gebühren wurden jemals von dem tatsächlichen Karteninhaber gemeldet oder bestritten.^[2][3]

Betrugsvermeidung bei CNP-Transaktionen[Bearbeiten | Quelltext bearbeiten]

Da Online-Ausgaben auf dem Vormarsch sind, wird auch ein Anstieg des Online-Transaktionsbetrugs erwartet. Es wurden weltweit Anstrengungen unternommen, um den Online-Transaktionsbetrug zu bekämpfen, der bei der Verwendung von CNP-Transaktionen auftritt. Im Jahr 2001 erstellte Visa einen Authentifizierungsstandard für CNP eCommerce-Zahlungen namens 3 Domain Secure, der gemeinhin als 3-D Secure bezeichnet wird. 3D Secure bietet einen dreischichtigen Schutz für zusätzliche Sicherheit für die Verbraucher.^[4]

Durch die Bemühungen eines Netzwerks von Unternehmen, darunter American Express, Discover, JCB, Mastercard, UnionPay und Visa, wurde 3D Secure auf seine neueste Form, 3D Secure 2.0, entwickelt. Diese sechs Unternehmen arbeiten als eine Gruppe namens EMVCo zusammen, um ein weltweites System aufzubauen, das die Annahme von sicheren Zahlungsvorgängen ermöglicht. Der Einsatz von 3D Secure ist in europäischen Ländern wie Belgien, der Schweiz und den Niederlanden am häufigsten verbreitet, obwohl es in den kommenden Jahren weltweit an Dynamik gewinnen soll.

Das 3D-Secure-2.0-System ist nicht ohne Kritik, da die Kritiker der Methode auf ihre Defizite hindeuten, wie eine Verlangsamung von Transaktionen und die Einführung komplexer rechtlicher Bedenken. Ein weiteres Problem ist, dass die 3D-Secure-Authentifizierung die Transaktionsumwandlungsrate negativ beeinflusst. Die zusätzlichen Ebenen der Authentifizierung bedeuten mehr Arbeit für die Verbraucher, und infolgedessen können einige Verbraucher durch die zusätzlichen Anstrengungen demotiviert werden, ihre Transaktion abzuschließen.

Einige Kritiker schlagen einen Weg vor, der der Chiptechnologie sehr ähnlich ist, die erlassen wurde, um Kreditkartenbetrug zu bekämpfen. Um Kreditkartenbetrug zu begehen, replizieren Kriminelle gestohlene Kundendaten auf leere Karten, um sie für betrügerische Einkäufe zu verwenden. Dieser Ansatz zur Verringerung der Prävalenz von CNP-Transaktionsbetrug würde die gleiche Chip-Technologie verwenden, die auch auf Geräten wie Computer, Tablets und Smartphones Kreditkartenbetrug reduziert. Dieser Ansatz, der Hardware verwendet, wird von einigen als eine sicherere Methode zur Reduzierung von CNP-Transaktionsbetrug betrachtet.

Eine alternative Methode wurde durch dynamische oder kontinuierlich wechselnde CVV-Nummern eingeführt.^[5] Die CVV-Nummer funktioniert ähnlich einer Zwei-Faktor-Authentifizierung, indem eine zusätzliche Bestätigung gegeben wird, dass die Person, die den Kauf tätigt, tatsächlich auch die Karte hat, die sie zu haben vorgibt. Das macht die Daten aus den Datenpannen der letzten Jahre weniger wertvoll, da die CVV-Nummern nicht mehr statisch sind: Was auch immer die CVV-Nummer in der Datenbank ist, sie ist nicht mehr relevant, da sich die Zahl dynamisch ändert. Dies stellt eine Herausforderung dar, mit der viele Einzelhändler konfrontiert sind. CVV-Nummern wurden aufgrund der umfangreichen Datenpannen, die viele öffentlich machten, unbrauchbar. In einer Präsentation über eine Fallstudie mit dem Online-Digital-Güter-Markt Fiverr stellte Forter, ein Unternehmen zur Betrugsprävention, fest, dass die gestohlenen Daten, die auf kriminellen Online-Marktplätzen verkauft werden, standardmäßig mit CVV geliefert werden. Aus diesem Grund stellte Fiverr fest, dass die Beseitigung der Anforderung für CVV auf ihrer Website nicht zu mehr Betrug führte. Dynamische CVVs würden bedeuten, dass CVV-Zahlen wieder nützlich werden könnten, um betrügerische Versuche zu blockieren.

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

1. ↑ ^{a b} Randall Stross: $9 Here, 20 Cents There and a Credit-Card Lawsuit In: New York Times, 21. August 2010. Abgerufen am 24. August 2010 „If a credit card is physically swiped in the transaction, the bank that issued the card is on the hook for fraudulent charges. If it is a phone or Internet purchase — called a card-not-present transaction — the bank that hosted the merchant account that received the ill-gotten charges must make restitution, said Ms. Litan, the Gartner analyst.“ 
2. ↑ ^{a b} FTC Says Scammers Stole Millions, Using Virtual Companies In: PCWorld, 27. Juni 2010. Abgerufen am 27. April 2017 „The scammers stayed under the radar by charging very small amounts — typically between $0.25 and $9 per card — and by setting up more than 100 bogus companies to process the transactions. … According to the FTC, the fraudsters charged 1.35 million credit cards a total of $9.5 million, but only 78,724 of these fake charges were ever noticed.“ 
3. ↑ FTC Cracks Down On Micropayment Credit Card Scam In: CRN Magazine, 28. Juni 1010. Abgerufen am 28. April 2017 „Altogether, the thieves charged a total of $9.5 million from a total of 1.35 million compromised cards over a period of four years starting in 2006. However, only about 10 percent of the fraudulent charges were ever reported or contested, according to the FTC.“ 
4. ↑ Global Card-Not-Present Authentication Standards in 2017. (PDF) GPayments, abgerufen am 28. April 2017. 
5. ↑ This breakthrough number-changing credit card may help eliminate fraud. ZDNet, abgerufen am 28. April 2017.